Компаниям, где есть специалисты SOC корпоративных сетей КИИ и необходимо повысить видимость сети и научиться расследовать атаки и инциденты на сетевом уровне
Организациям, где есть проблема с периметровой защитой
Если Ваша компания стала жертвой целевой атаки или криптолокера
В организации предположительно произошел инцидент и нужно провести расследование, но нет инструментов. Или был инцидент и не хочет повторения
В компании было зарубежное решение и нужно переходить на российское ПО (На основании указа Президента от 30.03.2022 № 166 " О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры";
Есть необходимость выполнять требования регуляторов по защите:
- персональных данных(согласно приказу ФСТЭК №21);
- КИИ (согласно приказам ФСТЭК №239 и № 235)
- информации в ГИС, в АСУ ТП и в информационных системах общего пользования (приказы ФСТЭК № 19, 31 2014 г. и 489).
Что такое PT NAD и какие задачи он выполняет?
PT Network Attack Discovery— система анализа сетевого трафика (network traffic analysis, NTA) для контроля вредоносной активности на периметре и внутри сети. Это удобный инструмент для расследований, который обнаруживает активность злоумышленников даже в зашифрованном трафике.Защищает от направленных и APT-атак, криптолокеров и нарушений сотрудниками внутренних политик.
Проверка сетевой активности
PT NAD знает все о каждом сетевом узле, минимизирует использование неконтролируемых компонентов ИТ-инфраструктуры и снижает риск взлома компании через них.
Обнаружение сложных целевых атак
Система автоматически обнаруживает попытки проникновения в сеть и присутствие злоумышленников в инфраструктуре по множеству признаков, например по примененным инструментам или по данным, переданным на серверы атакующих.
Необходимый инструмент SOC
PT NAD гарантирует полную видимость сети для SOC, упрощает проверку успешности атаки, помогает восстановить хронологию и собрать доказательную базу.
Какие угрозы выявляет Network Attack Discovery?
Угрозы в зашифрованном трафике
Применение хакерского инструментария
Перемещение злоумышленника внутри периметра
Зараженные сетевые узлы
Признаки не обнаруженных ранее атак
Эксплуатацию уязвимостей в сети
Признаки сокрытия активности от средств защиты
Автоматически сгенерированные домены
Атаки на контроллер домена
Нарушения регламентов ИБ
Как работает PT NAD?
Захватывает и разбирает сетевой трафик на периметре и в инфраструктуре с помощью собственной технологии DPI. В качестве источника трафика можно использовать устройства TAP, брокеры сетевых пакетов и активное сетевое оборудование. Анализируя копию сетевого трафика статистическими и поведенческими модулями, система определяет активность злоумышленника на самых ранних этапах проникновения в сеть, а также во время попыток закрепиться и развить атаку внутри сети. PT NAD хранит копию сырого трафика и на его основе генерирует метаданные для ретроспективного анализа. После обновления правил обнаружения угроз и репутационных списков от PT Expert Security Center продукт автоматически перепроверяет собранные данные о трафике и сообщает аналитикам SOC о скрытом присутствии злоумышленника в сети. Сочетая в себе несколько механизмов обнаружения сложных угроз, PT NAD обеспечивает видимость сети компании, обнаруживает подозрительные соединения и сетевые аномалии и помогает контролировать регламенты ИБ.
Рис.1 Схема работы
Преимущества PT Network Attack Discovery
Показывает злоумышленников во всей сети
Выявляет хакерский инструментарий и модифицированное вредоносное ПО
Помогает выполнить требования к защите информации, в том числе к безопасности объектов КИИ и финансовых операций
Интегрируется с решениями класса SIEM и sandbox
Быстрая инсталляция
Меньше 1 часа на внедрение в промышленную эксплуатацию
Результаты обнаружения PT NAD распространенных угроз ИБ в сетевом трафике
В результате исследований по обнаружению распространенных угроз ИБ в сетевом трафике, в которых проводились пилотные проекты по внедрению PT NAD среди 60 компаний в 2021-2022 году, было обнаружено, что:
во всех компаниях встречались нарушения регламентов ИБ: использование устаревших и незащищенных протоколов передачи данных, ПО для удаленного доступа;
практически в каждой организации были выявлены следы применения инструментов для сокрытия трафика, аномальные подключения к внешним узлам и запросы на получение данных с контроллеров доменов — все это можно классифицировать как подозрительную сетевую активность;
активность вредоносного ПО по-прежнему остается актуальной угрозой для многих организаций: чаще всего злоумышленники используют майнеры, ВПО для удаленного управления и шифровальщики. Помимо использования вредоносов, для компрометации систем преступники активно пытаются эксплуатировать уязвимости ПО.
Рис.2 Категории выявленных угроз (доля компаний)
Средства класса NTA позволяют оперативно выявлять сетевую активность атакующих и реагировать на их действия как в реальном времени, так и с помощью ретроспективного анализа сетевой активности на узлах.
Сценарии применения PT NAD
Мониторинг сетевой безопасности
Выявление атак на периметре и в инфраструктуре
Поиск угроз
Расследование атак
Мониторинг сетевой безопасности
Мониторинг сетевой безопасности. PT NAD помогает обнаружить ошибки конфигурации и нарушения регламентов ИБ, например незавершенные сеансы, словарные пароли, использование утилит для удаленного доступа или инструментов для сокрытия сетевой активности.
Рис.3 Вкладка “Мониторинг” обнаружение ошибок конфигурации и нарушения регламентов
Выявление атак на периметре и в инфраструктуре
Выявление атак на периметре и в инфраструктуре. Встроенные модули глубокой аналитики, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют отследить атаки на ранних стадиях и после проникновения злоумышленника в инфраструктуру.
Рис.4 Вкладка “Атаки” с количеством нападений за сутки
Поиск угроз
Поиск угроз. PT NAD помогает выстроить процесс threat hunting в организации, проверять гипотезы, например о присутствии хакеров в сети, и выявлять скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности.
Рис.5 Вкладка “Сессии”. Список исходящих сессий с соединениями с сервером базы данных.
Расследование атак
Расследование атак. Оператор ИБ отслеживает атаки и определяет их успешность на основе анализа метаданных. PT NAD определяет тактики и техники по модели MITRE ATT&CK. В карточке атаки отображаются данные об использованных тактиках и техниках из матрицы ATT&CK. Это помогает понять, на какой стадии атаки находятся злоумышленники, и быстрее определить компенсирующие меры.
Рис.6 Виджет в PT NAD: тепловая карта техник по модели ATT&CK
Лицензирование и сертификаты PT Network Attack Discovery
Продукт поставляется в двух вариантах: в виде программно-аппаратного комплекса или ПО для развертывания на виртуальной машине. Лицензирование — годовое. Права на использование продукта включают базовую лицензию (по пропускной способности трафика) и инфраструктурные лицензии на ядро системы и сенсоры.
Минимальные требования, предъявляемые к аппаратным ресурсам серверов с PT NAD, зависят от расчетной скорости захвата трафика заказчика. Количество подключаемых серверов может варьироваться в зависимости от инфраструктуры, потока обрабатываемого трафика и срока хранения сырого трафика и метаданных. Подробнее о аппаратных и программных требованиях вы можете узнать, получив консультацию нашего специалиста.
