PT NAD разбирает и анализирует более 1200 параметров протоколов, строя сетевые модели узлов. Система определяет, когда был обнаружен, активен и изменен узел, автоматически выявляет доменные имена, логины, пароли, сетевые порты и протоколы
Обзор продукта
PT Network Attack Discovery — система поведенческого анализа сетевого трафика (network traffic analysis, NTA). Это инструмент для расследований, который обнаруживает вредоносную активность злоумышленников на периметре и внутри сети, в том числе в зашифрованном трафике.
Сценарии использования для службы ИБ
Сетевой asset management
Проверка соблюдения регламентов ИБ
Продукт помогает выявить ошибки конфигурации и нарушения регламентов ИБ. Пользователи PT NAD могут оперативно обнаружить учетные записи в открытом виде, словарные пароли, использование утилит для удаленного доступа и инструментов сокрытия активности в сети
Выявление атак на периметре и в инфраструктуре
Поведенческий анализ трафика, статистический анализ сессий, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют обнаруживать атаки и на ранних этапах, и когда злоумышленник уже проник в инфраструктуру.
Поведенческий анализ трафика и статистический анализ сессий позволяют выявлять аномалии и сложные угрозы. Они учитывают множество параметров поведения атакующих и обнаруживают то, что пропускают правила детектирования атак.
Набор индикаторов компрометации и правил еженедельно пополняют эксперты PT Expert Security Center
Расследование атак
Оператор (или специалист PT ESC, который оказывает услугу экспертного мониторинга) отслеживает атаки и, анализируя метаданные, делает вывод об их успешности. Можно выбрать отдельные типы атак, и PT NAD будет уведомлять о них автоматически. При подтверждении атаки специалист по расследованию с помощью PT NAD:
- локализует атаку,
- восстанавливает ее хронологию,
- выявляет уязвимые места в инфраструктуре,
- вырабатывает компенсирующие меры для предотвращения аналогичных атак,
- собирает доказательную базу
Threat hunting
PT NAD помогает выстроить в организации процесс threat hunting и выявлять даже скрытые угрозы, которые не обнаруживаются стандартными средствами защиты
37% специалистов по ИБ планируют начать использовать матрицу ATT&CK для мониторинга и расследования атак. Мы перевели ее на русский язык и опубликовали в интерактивном формате. Узнайте, какие угрозы из международной базы знаний можно выявить с помощью PT NAD.
УзнатьСценарии использования для IT-отдела
Сетевой asset management
Система профилирует все сетевые узлы и знает о появлении новых, собирает информацию об активах, протоколах, номерах портов, данные об ОС и ПО, автоматически определяет тип и роль устройства. Профиль узла всегда показывает актуальную информацию, поэтому специалисты network operations center (NOC) могут контролировать сетевую инфраструктуру в режиме реального времени.
Обнаружение теневой инфраструктуры
PT NAD помогает определить shadow IT и сообщить IT-специалистам о новом сетевом узле. На основе данных, полученных из трафика, система строит сетевой профиль актива, определяет его тип и роль
Обнаружение некорпоративного ПО и ОС
PT NAD помогает определить сетевые узлы, на которых работает некорпоративное ПО, а также быстро узнать, какой тип ОС на них используется (даже на BYOD-устройствах). Все это помогает сотрудникам NOC соблюдать IT-регламент компании и поддерживать информацию о сети в актуальном состоянии
Выявление средств удаленного администрирования
PT NAD определяет ПО, которое предназначено для удаленного администрирования систем: например, AnyDesk, TeamViewer, RemoteAdmin, Ammyy Admin. Нецелевое использование средств удаленного администрирования может свидетельствовать о неправильной конфигурации сетевых узлов, и продукт помогает IT-специалистам вовремя обратить на это внимание
Что выявляет PT NAD
Угрозы в зашифрованном трафике
Глубокий анализ позволяет с высокой точностью обнаруживать вредоносные программы, скрытые под самописными протоколами или TLS
Перемещение злоумышленника внутри периметра
PT NAD обнаруживает попытки злоумышленников расширить присутствие в инфраструктуре, провести разведку, удаленно выполнить команды, атаковать
Active Directory и Kerberos
Хакерский инструментарий
PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD
Эксплуатацию уязвимостей в сети
База знаний Positive Technologies регулярно пополняется информацией о новых уязвимостях, в том числе о тех, которым еще не присвоены CVE, а PT NAD может оперативно выявлять попытки их эксплуатации
Активность вредоносного ПО
PT NAD определяет ВПО по его сетевой активности. Это важно для локализации угрозы, поскольку ВПО легко сделать незаметным для антивирусных систем
Признаки атак, не обнаруженных ранее
Как только в базе знаний PT NAD появляются данные о новых киберугрозах, запускается ретроспективный анализ трафика. Обнаружить скрытое присутствие злоумышленника можно максимально быстро
Сокрытие активности от средств защиты
PT NAD определяет более 100 сетевых протоколов и 9 протоколов туннелирования, включая DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты. Продукт разбирает 35 самых распространенных протоколов до уровня L7
Автоматически сгенерированные домены
С помощью технологий машинного обучения PT NAD распознает доменные имена, созданные при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует подобные домены для поддержания связи с командным сервером
Нарушения регламентов ИБ
PT NAD помогает отслеживать словарные пароли, передачу учетных данных в незашифрованном виде, использование VPN-туннелей, Tor, прокси-серверов, утилит для удаленного доступа, мессенджеров ― всего того, что, как правило, запрещено политикой ИБ в крупных компаниях
Как работает
Отзывы
Антон Мельник
Начальник управления ИБ АО «Объединенная энергетическая компания»
«PT NAD — полезный инструмент для мониторинга безопасности сети. После внедрения продукта мы почти моментально увидели первые результаты, которые помогли нам снизить риски безопасности и улучшить защищенность инфраструктуры».
«PT NAD дает специалистам SOC около 70% полезной информации об инцидентах, выявленных в органах власти Калининградской области».
«Благодаря внедрению PT Network Attack Discovery мы получили полезный инструмент для расследования инцидентов, смогли решить проблему контроля вредоносной и злонамеренной активности в сетевом трафике, а также провели подготовку к выполнению требований регулирующих органов».
Новости
Материалы
►
Истории успеха
►
Лицензии и сертификаты
►
Выписка из единого реестра российских программ
Видео
PT NAD 11.1: новые технические возможности и экспертиза
Условия приобретения
Права на использование Positive Technologies Network Attack Discovery предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация↗
Positive Technologies Network Attack Discovery
Продукт внесен в единый реестр российских программ для электронных вычислительных машин и баз данных 19 сентября 2018 года, регистрационный номер 4710.
«Всего в „Ленте активностей“ за время работы PT NAD было зафиксировано 5700 потенциальных угроз, включая 90 высокого уровня опасности. При этом результаты мониторинга сети Генбанка не выявили успешных проникновений в сеть организации».