PT Network Attack Discovery (PT NAD) — система поведенческого анализа сетевого трафика (NTA) для обнаружения зараженных узлов, нарушений политик безопасности и инсайдеров.
Positive Technologies Network Attack Discovery (PT NAD) — система поведенческого анализа сетевого трафика (NTA) для обнаружения зараженных узлов, нарушений политик безопасности и инсайдеров. Эксперты Positive Technologies постоянно исследуют актуальные хакерские техники, инструменты и образцы вредоносных программ и передают эти знания в продукт. Благодаря этому PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.
Ключевые задачи
Выявлять присутствие злоумышленника в сети;
Обнаруживать скрытые угрозы;
Контролировать выполнение регламентов ИБ;
Обогащать SOC знаниями;
Ускорять расследование инцидентов.
Как работает
PT NAD захватывает и детально разбирает сетевой трафик как на периметре, так и внутри сети. Это позволяет выявлять активность злоумышленников и на самых ранних этапах проникновения в сеть, и во время попыток закрепиться и развить атаку внутри сети. Сценарии использования NAD Positive Technologies
Контроль соблюдения регламентов ИБ
Нарушения регламентов ИБ наблюдаются в 100% компаний. PT NAD помогает обнаружить ошибки конфигурации и нарушения регламентов безопасности, например учетные записи в открытом виде, незашифрованные почтовые сообщения, использование утилит для удаленного доступа или инструментов для сокрытия сетевой активности.
Выявление атак на периметре и в инфраструктуре
Детальный разбор протоколов, собственные правила детектирования угроз, несигнатурные методы обнаружения сетевых атак, индикаторы компрометации, машинное обучение и ретроспективный анализ — все это позволяет детектировать атаки и на ранних стадиях, и тогда, когда злоумышленник уже проник в инфраструктуру.
Расследование атак
Оператор ИБ отслеживает атаки с помощью ленты активностей и, анализируя метаданные, делает вывод об их успешности. Специалист по расследованию восстанавливает хронологию атаки с помощью данных в PT NAD и вырабатывает компенсирующие меры.
Threat hunting — проактивный поиск угроз
PT NAD помогает выстроить в организации процесс threat hunting — проверять гипотезы, например о присутствии хакеров в сети, и выявлять даже скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности.
Вопрос-ответ
Как PT NAD выявляет события информационной безопасности?
PT NAD анализирует сетевой трафик и выявляет события информационной безопасности в несколько этапов:
1. Сенсор собирает информацию — захватывает сетевой трафик или его копию. Сенсор также анализирует трафик: разбирает протоколы (в частности, IPv4, IPv6, ICMP, TCP, UDP, HTTP, DNS, NTP, FTP, TFTP) и формирует данные для записей о сессиях.
2. Исходная копия трафика в виде файлов формата Рсар передается в подсистему хранения.
3. Сенсор передает трафик в подсистему обогащения. В ней трафик подвергается дополнительной обработке, после которой список атрибутов сетевого взаимодействия может расшириться, могут быть зафиксированы атаки.
4. Обогащенный трафик передается в подсистему хранения.
5. Пользователь запрашивает данные из продукта через веб-интерфейс.
6. Подсистема пользовательского интерфейса запрашивает данные из подсистемы
хранения и предоставляет их пользователю через веб-интерфейс.
Какие существуют способы установки PT NAD?
Вы можете устанавливать PT NAD одним из способов:
• Все модули подсистем (сенсор, ptdpi-broker, Elasticsearch, nad-web-server) установлены на одном физическом сервере. При этом кластер Elasticsearch установлен на виртуальных машинах KVM.
• Сенсор и модуль ptdpi-broker установлены на одном физическом сервере. Кластер Elasticsearch и модуль nad-web-server установлены на другом физическом сервере на виртуальных машинах KVM.
Как осуществляется проверка целостности PT NAD?
Проверка целостности помогает выявлять несанкционированные изменения бинарных и конфигурационных файлов продукта. Контроль целостности осуществляется при помощи утилиты checksum, входящей в комплект поставки PT NAD. В ходе первичной настройки контроля целостности утилита вычисляет и записывает в текстовые файлы эталонные SHA256-хеш-суммы бинарных и конфигурационных файлов продукта. В дальнейшем вы можете запускать утилиту checksum, чтобы сравнивать текущие хеш-суммы файлов с эталонными и таким образом узнавать, выполнялось ли изменение продукта в обход его системы безопасности. Для защиты эталонных списков хеш-сумм от изменений файлы с этими списками подписываются криптографическим ключом.
Как подсистемы PT NAD работают с трафиком?
Работа с трафиком делится на следующие этапы:
Сенсоры захватывают копию сетевого трафика организации.
Сенсоры обрабатывают захваченную копию трафика: выполняют ее разбор и одновременно с этим записывают ее в формате PCAP в подсистему хранения.
Сенсоры передают результаты разбора трафика, в том числе информацию об обнаруженных атаках, в виде метаданных в подсистему обогащения.
Подсистема обогащения дополняет метаданные трафика сессий информацией о доменных именах и странах отправителей и получателей запросов, а также индикаторами компрометации.
Подсистема обогащения анализирует метаданные трафика сессий для поиска потенциально опасных и опасных активностей. Активности выявляются при помощи правил для обнаружения активностей.
Подсистема обогащения передает метаданные трафика, включая результаты обогащения, в подсистему хранения, а информацию об обнаруженных событиях ИБ — как в подсистему хранения, так и в базу данных подсистемы пользовательского интерфейса.
Подсистема пользовательского интерфейса получает из подсистемы хранения метаданные трафика и исходную копию трафика в виде файлов PCAP.
Метаданные трафика используются подсистемой пользовательского интерфейса:
для автоматического регулярного поиска опасных и потенциально опасных активностей в сети организации;
отображения данных о трафике в веб-интерфейсе;
сборки отчетов.
PCAP-файлы могут запрашиваться (экспортироваться) из подсистемы пользовательского интерфейса операторами для ретроспективного анализа в PT NAD и импорта во внешние программы.
Как осуществляется работа PT NAD с хранилищами ?
PT NAD захватывает трафик и выполняет его разбор. Исходная копия захваченного трафика и результаты разбора хранятся в хранилищах.
В интерфейсе продукта вы выбираете те хранилища, с данными из которых вам нужно работать. Например, вы можете просматривать детали сессий, данные о которых записаны в определенное хранилище. По типу хранилища бывают потоковыми и выделенными.
Потоковые хранилища
В потоковые хранилища поступает поток трафика с сенсоров. Каждый сенсор в режиме реального времени записывает данные в свое потоковое хранилище. Таким образом, при выборе потокового хранилища вы работаете с информацией о только что или недавно захваченном трафике организации. Кроме того, такие хранилища нужны для настройки уведомлений и регулярных отчетов по текущему трафику, экспорта исходной копии и метаданных поступающего трафика, формирования ленты активностей и составления списка узлов.
Чтобы избежать переполнения дискового пространства, PT NAD удаляет старые данные из потоковых хранилищ. Новые PCAP-файлы с исходной копией трафика записываются поверх старых в зависимости от занятого ими места на диске, а метаданные трафика удаляются по достижении предельного срока хранения.
Вы можете изменить ротацию данных в потоковых хранилищах. Выделенные хранилища
Для работы с определенным трафиком вы можете выделить под него отдельное хранилище. Например, для анализа трафика, связанного с инцидентом ИБ, можно выделить хранилище и скопировать в него трафик из потокового хранилища или импортировать PCAP-файл из сторонней программы. Вы можете быстро переключаться между выделенными хранилищами без необходимости вручную фильтровать потоковый трафик по метаданным и по времени для поиска нужного трафика. Кроме того, PT NAD не удаляет содержимое выделенных хранилищ автоматически, поэтому их можно использовать для сохранения данных для истории.
Вы можете создавать любое количество выделенных хранилищ. Неиспользуемые выделенные хранилища можно удалять.
Задать вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
Контроль соблюдения регламентов ИБ
Выявление атак на периметре и в инфраструктуре
Расследование атак
Threat hunting — проактивный поиск угроз