Обновленный MaxPatrol Carbon: рост результативности в проактивном управлении киберугрозами

Positive Technologies представила обновленную версию системы для автоматического выявления потенциальных маршрутов кибератак и проактивного управления киберустойчивостью — MaxPatrol Carbon 25.6. После первых внедрений метапродукт подтверждает свою результативность на практике и планомерно развивается в сторону поддержки разнообразных по составу и масштабу инфраструктур, быстродействия и точности в определении ключевых мер для превентивного повышения защищенности компании.

Среди других важных улучшений — расширение вариаций действий злоумышленников по реализации атаки внутри инфраструктуры, новый подход к приоритизации угроз, рекомендации по усилению защищенности сети и контроля привилегий учетных записей.

«В новой версии MaxPatrol Carbon мы сосредоточились на развитии экспертного контента. Продукт автоматически моделирует многоэтапные кибератаки на критически важные системы компании. Это позволяет превентивно выявлять и устранять наиболее быстрые и опасные пути развития атак, лишая хакеров шанса нанести компании неприемлемый ущерб. Существенно выросла вариативность маршрутов, и, что особенно важно, зачастую они включают в себя те, о которых специалисты по ИТ и ИБ даже не подозревают, — отметил Михаил Помзов, управляющий директор Positive Technologies. — Благодаря этому появляется возможность определить ключевые недостатки и решить на практике сложный вопрос приоритизации задач со стороны ИБ и рационального распределения ресурсов ИТ. Так работает принцип fix less, secure more: фокус смещается с бесконечного исправления уязвимостей на выполнение тех мер защиты, которые принесут максимальный положительный эффект для киберустойчивости компании».

Продукт обновлен на основе обратной связи от пользователей. Результаты первых внедрений подтверждают эффективность подхода: решение выявляет наиболее критичные недостатки, приоритетное устранение которых, позволяет командам по ИБ и ИТ в четыре раза снизить трудозатраты на повышение уровня защищенности от недопустимых событий. Это достигается благодаря точной приоритизации задач и концентрации усилий на ключевых мерах.

Количество комбинаций тактик и техник злоумышленников, учитываемых системой при построении маршрутов, выросло на 58% в сравнении с предыдущим релизом. MaxPatrol Carbon 25.6 моделирует, в частности, возможность кражи учетных данных в процессе атаки Kerberoasting либо их получения из базы данных Active Directory (ntds.dit). Атака на протокол аутентификации Kerberos, в ходе которой можно завладеть паролями доменных пользователей, опасна тем, что не требует привилегий администратора домена, очень проста в исполнении и ее практически невозможно обнаружить. Компонент NTDS, помимо данных о пользователях, группах и компьютерах, хранит хеши паролей и поэтому может быть целью атакующих. MaxPatrol Carbon также моделирует возможность подключения к серверу центра распространения ключей Active Directory, эксплуатации уязвимостей в инфраструктуре и компрометации конечных устройств.

В MaxPatrol Carbon появились рекомендации по соответствию требованиям безопасности, сегментации сети и по управлению учетными записями, помогающие среди прочего избежать выдачи избыточных прав. Следуя предлагаемым системой критически важным мерам, компании смогут существенно сократить возможности атакующего в инфраструктуре и усложнить ему задачу по развитию атаки. Там, где полностью исключить легитимные способы подключения нельзя, MaxPatrol Carbon помогает максимально затруднить хакерам продвижение, чтобы команды SOC получили дополнительное время как для выявления подозрительной активности, так и для реагирования на нее.

Продукт применяет новый подход к приоритизации угроз: наряду с оценкой количества шагов на маршруте атаки, также анализируются их сложность и длительность (время, необходимое атакующему для достижения целевой системы). Автоматическое ранжирование потенциальных киберугроз происходит еще точнее, благодаря чему специалисты по ИБ и ИТ могут сфокусироваться на наиболее важных задачах — устранении самых опасных маршрутов и выполнении приоритетных рекомендаций.

Версия 25.6 имеет высокую масштабируемость и подходит для крупных инфраструктур с количеством активов более 20 тыс. Переработанный движок анализа топологии сети существенно ускорил создание цифровых моделей: сейчас он поддерживает большинство популярных на российском рынке сетевых устройств. Моделирование потенциальных маршрутов атакующих занимает от 30 минут до нескольких часов в зависимости от состава инфраструктуры. Таким образом, MaxPatrol Carbon предоставляет оперативную и всестороннюю оценку текущего состояния защищенности.

Помимо этого, работать с системой стало проще и удобнее. Например, добавлены автоматическое определение целевых систем с типовыми сценариями реализации рисков, а также детальная визуализация маршрутов атак с возможностью ее экспорта в PNG или XLSX. Специалисты также могут создавать отчеты о выполненных рекомендациях и анализировать количество и опасность маршрутов до целевых систем и, таким образом, всегда иметь четкое представление о текущем уровне киберустойчивости компании.

С момента коммерческого запуска MaxPatrol Carbon получил значительное технологическое и экспертное развитие, подтверждая на первых внедрениях результативность проактивного управления не только уязвимостями, но и всеми источниками угроз в инфраструктуре.