Поделиться
Пользователи PT NAD 12.4 могут управлять дочерними системами через центральную консоль
Positive Technologies представила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) — 12.4. Главное в релизе — расширение возможностей управления дочерними системами через центральную консоль, учет времени суток в пользовательских правилах профилирования, а также новые экспертные модули для контроля ИТ-инфраструктуры.
В новой версии PT NAD с помощью центральной консоли специалисты по ИБ могут не только анализировать результаты работы дочерних систем, но и непосредственно управлять ими. В PT NAD 12.4 существенно расширились возможности управления иерархией: в центральной консоли введена удобная система профилей и механизм управления исключениями, правилами обнаружения атак, группами узлов и портов, а также репутационными списками. Новая функциональность позволяет ускорить управление географически распределенной системой, тем самым упрощая обнаружение угроз и расследование инцидентов.
Кроме того, для более точной настройки PT NAD 12.4 операторы центральной консоли могут выключать репутационные списки, не представляющие интереса в конкретной ИТ-инфраструктуре. Помимо репутационных списков Positive Technologies, в комплект поставки PT NAD теперь также входят индикаторы компрометации от ФСТЭК, что помогает компаниям соответствовать требованиям регулятора.
Команда разработки PT NAD продолжает развивать возможности самообучения продукта на реальном трафике с помощью ML-технологий. Обновленная система автоматически определяет периоды высокой и низкой активности устройств в сети и снижает порог срабатывания пользовательских правил профилирования при низком уровне трафика. Функция позволяет быстрее и точнее выявлять действия злоумышленников, например, ночью — в период, когда особенно часто происходят атаки, в частности с использованием программ-вымогателей.
«В ответ на запрос пользователей PT NAD экспертиза в продукте обогатилась модулями, которые отслеживают потенциальное нарушение корпоративных политик, а также следят за IT-инфраструктурой, — отметил Кирилл Шипулин, руководитель экспертизы продукта PT NAD в Positive Technologies. — Так, PT NAD пополнился экспертными модулями для обнаружения служб, доступных из внешней сети по публичному IP-адресу. Именно доступные из интернета службы SMB стали одной из причин эпидемии WannaCry в 2017 г. Кроме того, система отслеживает истекающие в скором времени TLS-сертификаты и присутствие промышленных протоколов в трафике, что может свидетельствовать о недостаточной сегментации сети или ошибках конфигурации».
В новом релизе PT NAD реализован анализ отпечатков алгоритма JA4. Механизм позволяет определять особенности клиента по параметрам TLS-соединения и поведению в зашифрованных каналах, фиксировать подозрительные сессии и вредоносные инструменты. Также, начиная с версии 12.4, сигнатурный движок PT NAD совместим с синтаксисом правил Suricata 7.0. Обновление технологий позволяет специалистам по ИБ обогащать правила обнаружения атак актуальной экспертизой.
Короткая ссылка
