Arbor Networks выпускает платформу Arbor Spectrum

Александр Панасенко 27 Мая 2016 - 17:25

Системы реагирования и управления инцидентами (IRP)

...

Arbor Networks выпускает платформу Arbor Spectrum

Компания Arbor Networks выпускает новую платформу для обнаружения угроз и расследования сетевых кибератак — Arbor Spectrum. Официальным дистрибьютором нового продукта в России выступит компания Netwell.

Исследования показывают, что большинство успешных продвинутых атак, проведенных в последние два года, не использовали критическую уязвимость, а в 40% случаев для обхода защиты атакуемого объекта не понадобилось вредоносное ПО.

Arbor Spectrum обеспечивает полный просмотр всей активности в сети с возможностью анализа пакетных и потоковых данных в режиме реального времени. Также в платформе предусмотрен быстрый и простой поиск в истории сетевой активности до 3-6 месяцев. Этот революционный подход объединяет в себе наблюдение за глобальными атаками в Интернете и активностью во внутренней сети.

Ключевые функции платформы Arbor Spectrum:

Обнаружение. Благодаря интеграции с программой ATLAS Intelligence новое решение Arbor может анализировать угрозы в режиме реального времени. Исследовательская инфраструктура ATLAS использует анонимные данные более чем 330 заказчиков для мониторинга около трети всего интернет-трафика. Разработанные Arbor алгоритмы анализа в режиме реального времени угроз, поступающих из сети поставщика услуг, подключаются к шаблонам внутреннего трафика организации для обнаружения наиболее вредоносных и опасных угроз.
Расследование. Поиск и выявление любых угроз в рамках сети в режиме реального времени. Предоставляет возможность всестороннего просмотра всей прошлой и текущей сетевой активности при минимальных затратах.
Подтверждение. Благодаря тому, что продукт разработан именно для пользователя системы безопасности, интеллектуальные схемы работы и средства анализа в режиме реального времени позволяют службам безопасности расследовать и подтверждать атаки, прошедшие 3–6 месяцев назад, в случае обнаружения их в сети при значительно меньших издержках, чем традиционными методами.

«Рынок ИБ в России продолжает расти, несмотря на экономическую ситуацию. Мы видим, что бизнес заинтересован в эффективных решениях по информационной безопасности. Совместно с компанией Netwell, нашим надежным партнером в России, мы предлагаем уникальное решение для выявления и расследования сложных кибератак для компаний любого уровня вне зависимости от масштаба и сложности их инфраструктуры» - комментирует Ярослав Росомахо, менеджер по развитию партнерских отношений Arbor Networks.

Основные заказчики этого продукта в РФ – это финансы, промышленность, государственные предприятия, операторы связи и сервисов, ТЭК и прочие организации, непосредственно связанные с работой с конфиденциальной информацией.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Апреля 2026 - 19:08

MaxPatrol EDR Целевые атаки Таргетированные атаки Корпорации Positive Technologies

APT-группа 2 недели хозяйничала в сети компании, пока атаку не выявил PT X

В январе 2026 года в инфраструктуре одной из компаний была выявлена вредоносная активность, связанная с группировкой PhantomCore. Атаку заметили ещё на этапе внедрения облачного решения для мониторинга безопасности и реагирования на инциденты PT X. В итоге инцидент удалось локализовать, а сама компания, как утверждается, позже полностью восстановилась.

Судя по описанию кейса, всё началось с того, что во время установки продукта специалисты заметили нетипичную активность на хостах, защищённых с помощью MaxPatrol EDR.

Уже через 15 минут после обнаружения клиенту рекомендовали заблокировать доменную учётную запись подозрительного администратора. Примерно через полтора часа компания подтвердила, что речь действительно идёт об инциденте, после чего начались совместные действия по его сдерживанию.

К расследованию подключилась и команда PT ESC IR, которая занялась атрибуцией атаки. По её оценке, за инцидентом стояла группировка PhantomCore, впервые публично отмеченная в 2024 году. Эту группу связывают в первую очередь с кибершпионажем, а среди её типичных целей называют российские организации из сфер госуправления, судостроения, ИТ и промышленности.

Как выяснилось в ходе расследования, точкой входа стала платформа видео-конференц-связи, в которой обнаружили уязвимость. Именно через неё злоумышленники, по версии исследователей, получили первоначальный доступ. Дальше они воспользовались слабыми местами в самой инфраструктуре: запустили вредоносную программу с управляющего сервера, похитили пароль доменного администратора и начали двигаться по сети.

Дополнительную роль сыграли и внутренние проблемы с безопасностью. Недостаточно корректная сегментация сети и отсутствие разделения привилегий для административных учётных записей позволили атакующим развивать атаку дальше. В числе скомпрометированных активов в итоге оказались один из контроллеров домена и служба сертификации Active Directory. Для перемещения по инфраструктуре, как сообщается, использовалась утилита atexec.py.

По данным Positive Technologies, злоумышленники оставались незамеченными около двух недель — до тех пор, пока скомпрометированные хосты не попали под защиту внедряемого решения. При этом основные меры по локализации удалось принять довольно быстро: менее чем за сутки были заблокированы соединения с C2-сервером и сброшены пароли у скомпрометированных учётных записей.

Дальнейшие работы по расследованию и устранению последствий заняли несколько дней. Параллельно в компании исправляли ошибки конфигурации и усиливали базовые меры защиты — в том числе пересматривали парольную политику и общую устойчивость инфраструктуры.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!