Метапродукты Positive Technologies

Помогают компаниям построить результативную кибербезопасность, обеспечивают комплексную автоматизированную защиту с минимальным участием человека. Объединяют продукты Positive Technologies и держат под контролем защищенность IT-инфраструктуры и бизнес-процессов: динамически определяют векторы атак и возможности злоумышленника, останавливают его до того, как он успеет нанести компании непоправимый ущерб.


Обзор MaxPatrol O2

Метапродукт MaxPatrol O2 обнаруживает злоумышленника, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учетом недопустимых для компании событий и останавливает атаку до того, как компании будет нанесен непоправимый ущерб.


Почему метапродукты формируют новый класс решений

В чем заключается концепция метапродуктов и почему их нельзя отнести к классам SIEM/SOAR/XDR? Разбираем механизмы работы автопилота для результативной кибербезопасности в интервью с экспертом Positive Technologies.

Ключевые возможности

Моделирует действия злоумышленников

  • Предсказывает, к каким недопустимым событиям может привести подозрительная активность и сколько шагов осталось до реализации рисков.
  • Прогнозирование строится на основе:
    • — сетевой достижимости узлов: маршрутизация, списки доступа, правила NAT;
    • — прав учетных записей на удаленный вход;
    • — наличия RCE-уязвимостей на узлах;
    • — возможности удаленного входа через VPN;
    • — возможности чтения памяти процесса lsass.exe.
dashboardg

Выявляет цепочки хакерской активности

  • Анализирует данные от сенсоров Positive Technologies, включенных в состав метапродукта, и выделяет атакующие, атакованные и захваченные ресурсы.
  • Сопоставляет ресурсы и строит цепочки активности с учетом знаний о техниках и тактиках злоумышленников.
  • В каждой цепочке есть визуализация пути, пройденного злоумышленником, а также прогноз, куда он будет двигаться дальше.
dashboardg

Автоматизирует расследования

  • Использует данные от сенсоров Positive Technologies, чтобы построить полный контекст атаки и провести расследование.
  • Обращается за обогащением следующих активностей:
    • — запуска процессов: Process -> Session -> User
    • — удаленных входов: RDP, SMB, WMI
    • — перемещений в инфраструктуре: IP -> IP
    • — создания VPN-сессий: IP Client -> IP External + Username
dashboardg

Оценивает степень опасности угроз

  • MaxPatrol O2 видит захваченные злоумышленником ресурсы и предсказывает близость реализации недопустимого события.
    Основываясь на этих данных, система переводит цепочку атаки в статус «Требует внимания», после чего автоматически останавливает хакера или информирует оператора, чтобы он принял решение.
  • Механизм расчета степени опасности угроз постоянно улучшается благодаря регулярным киберучениям Positive Technologies и участникам платформы для поиска уязвимостей Standoff 365 Bug Bounty.
dashboardg

Останавливает злоумышленника

  • Учитывает риски для бизнес-процессов и предлагает оптимальный сценарий реагирования.
    Сценарий может быть реализован автоматически или в ручном режиме, если его нужно скорректировать.
  • Возможные действия по реагированию:
    • — блокировка учетной записи: в домене/локально, Windows/Linux/Mac
    • — блокировка IP на межсетевом экране: входящий и исходящий трафик
    • — сетевая изоляция узла
    • — остановка запущенного процесса
    • — отзыв токена OpenVPN
    • — удаление письма
dashboardg

Как работает метапродукт

Как работает метапродукт
  1. MaxPatrol O2 основывается на топологии и сетевой достижимости узлов, учитывает данные об уязвимостях, моделирует возможные пути реализации недопустимых событий. Если риски не были определены заранее, система рассчитает векторы атак до наиболее важных узлов в инфраструктуре.
  2. MaxPatrol O2 анализирует срабатывания сенсоров, определяет захваченные, атакованные и атакующие ресурсы: учетные записи, узлы, сессии, процессы, файлы, письма и т. п.
  3. Чтобы составить детальную цепочку активности злоумышленника, MaxPatrol O2 обращается к соответствующим сенсорам за данными, которые позволяют составить полный контекст атаки, приоритизировать цепочки и принять решение по реагированию.
  4. MaxPatrol O2 анализирует данные и безошибочно связывает новые срабатывания сенсоров с уже существующими цепочками активностей в системе. Если ни одна из имеющихся цепочек активностей не подходит под критерии «склейки», MaxPatrol O2 создает новую цепочку, к которой привязывает поступившую сработку от сенсора.
  5. Основываясь на данных модуля прогнозирования угроз, MaxPatrol O2 оценивает уровень опасности цепочки атаки. Если он превышает пороговое значение, система переводит цепочку в статус «Требует внимания» и оповещает оператора о необходимости выбрать меры по реагированию.
  6. MaxPatrol O2 предлагает оператору варианты реагирования для каждого типа ресурса, чтобы остановить хакера и вернуть под контроль захваченные ресурсы. Все, что останется сделать оператору, ― это верифицировать цепочку и согласиться с предложенным сценарием реагирования, сформированным с учетом минимизации влияния на критически важные бизнес-процессы компании.

Параллельно с классическим SOC на киберучениях в тестовом режиме работает первый метапродукт компании — MaxPatrol O2. Его задача — автоматически выявлять и предотвращать хакерские атаки до того, как бизнесу будет нанесен неприемлемый ущерб.

Подробнее

Преимущества MaxPatrol O2

Схема взаимодействия

Схема взаимодействия

Продукты в составе MaxPatrol O2

Полезные материалы

Видео

Что такое MaxPatrol O2

Стоимость продукта

Права на использование программного изделия MaxPatrol O2 предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация.