Обнаружение новых угроз
В PT NAD 10.2 в 9 раз увеличено число подозрительных активностей, выявляемых с помощью модулей аналитики — всего их сейчас 37. Все они выводятся в единой ленте 1, что помогает пользователям быстрее реагировать на обнаруженные угрозы. Лента собирает на одной странице угрозы, выявленные с помощью модулей аналитики (несигнатурный метод), и дает возможность управлять ими. Теперь пользователи PT NAD будут своевременно узнавать, когда:- по сети передаются учетные данные в открытом виде (чем может воспользоваться злоумышленник во время атаки);
- наблюдаются активные VPN- и прокси-серверы (например, если внутренние узлы обращаются к внешним прокси-серверам OpenVPN или SOCKS5);
- используется ПО для удаленного управления (TeamViewer, AeroAdmin, RMS и пр.) либо выполняются удаленные команды с помощью PsExec и PowerShell;
- в сети есть активность вредоносного ПО.
Управление сетевыми узлами: роли и типы
Чтобы специалисты по ИБ обладали полной информацией о том, какие узлы участвуют в сетевом взаимодействии и как сеть устроена в целом, PT NAD начал автоматически определять типы и роли узлов. Тип указывает на то, каким устройством является конкретный узел: сервером, принтером, мобильным устройством или рабочей станцией. Роль обозначает функцию, которую выполняет устройство. В версии 10.2 определяются 15 ролей, в числе которых DNS-сервер, VPN, контроллер домена, прокси-сервер, система мониторинга. Пользователь может вручную переназначить тип и роль устройства.
«Знания о том, из чего состоит инфраструктура компании, необходимы, чтобы качественно защищать ее и точно выявлять в ней атаки, — комментирует Дмитрий Ефанов, руководитель разработки PT NAD Positive Technologies. — Эти сведения в PT NAD дают операторам безопасности понимание, какие в сети есть устройства и какие роли они выполняют, таким образом помогая проводить инвентаризацию сети».
Захват и анализ трафика
Начиная с этой версии PT NAD захватывает трафик в Linux с помощью механизма DPDK (библиотека Intel, обеспечивающая наиболее эффективный способ захвата трафика в Linux среди прочих механизмов), который обрабатывает его без потерь со скоростью в десятки гигабит в секунду.Для большей прозрачности внутреннего трафика в PT NAD 10.2 расширен список определяемых и разбираемых протоколов. Обновленная система теперь разбирает все существующие SQL-протоколы передачи данных: MySQL, PostgreSQL, Transparent Network Substrate компании Oracle и Tabular Data Stream (возможность его обнаружения была добавлена в предыдущем релизе). Еще PT NAD определяет протоколы системы Elasticsearch и печати PostScript — с помощью последнего взаимодействуют принтеры в корпоративной сети. Общее количество детектируемых протоколов достигло 86.
Другие UX-улучшения
Ряд изменений в PT NAD 10.2 направлен на повышение удобства работы с продуктом. Появилась возможность из интерфейса узнавать о текущем состоянии и сроке действия лицензии и самостоятельно добавить или поменять ее. Добавлена опция копирования ссылки на карточку определенной сессии или атаки, чтобы быстрее обмениваться информацией с другими пользователями.Увидеть новую версию PT NAD
На вебинаре 9 ноября команда Positive Technologies представит новые возможности PT NAD, поделится результатами актуального опроса о том, как компании защищаются от целевых атак, и расскажет, как при реагировании можно использовать матрицу MITRE ATT&CK.Регистрация
https://www.ptsecurity.com/ru-ru/about/news/pt-network-attack-discovery-vyyavlyaet-eshche-33-podozritelnye-setevye-aktivnosti/