Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Компания Positive Technologies представила новую версию MaxPatrol SIEM — системы, предназначенной для выявления инцидентов ИБ в реальном времени. Обновленные механизмы продукта оперативно обнаруживают и локализуют эпидемии типа WannaCry и NotPetya.

Пользователи системы также могут создавать стойкие и растянутые во времени правила корреляции, что позволяет обнаружить даже многолетние APT-атаки несмотря на изменения в IТ-инфраструктуре компании.

«За последние пару месяцев жертвами вирусов-вымогателей стали сотни компаний по всему миру: автозаводы, банки, розничные сети, фармацевтические и судоходные компании. Мы стараемся оперативно реагировать на подобные события, поэтому основные изменения в новой версии MaxPatrol SIEM связаны с обнаружением и локализацией эпидемий криптолокеров. Новые технологии проверки сетевой достижимости, гибкой работы с активами и событиями сетевого взаимодействия позволят значительно проще выявлять любые угрозы такого типа. Кроме того, наши эксперты оперативно создали соответствующие правила корреляции для обнаружения атак WannaCry и NotPetya», —отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов.

Распознавание активов с новыми параметрами

Новый алгоритм идентификации аппаратных и программных элементов IТ-инфраструктуры (активов) учитывает десятки параметров актива и дает им разный «вес». В результате MaxPatrol SIEM распознает актив даже после изменения IP-адреса, MAC-адреса, hostname или других параметров, что особенно важно при использовании DHCP-сервера и работе за NAT. Таким образом, MaxPatrol SIEM теперь строит еще более точную модель IТ-инфраструктуры и позволяет создавать стойкие правила корреляции.

Локализация очагов эпидемий

Реализованная в новой версии MaxPatrol SIEM технология проверки сетевой достижимости позволит быстро понять, доступны ли тот или иной узел или сеть, с точностью до протокола и порта. И если в большой территориально распределенной сети началась эпидемия вируса и известны варианты его распространения, например определенные порты, администратор сможет быстро локализовать очаг и сохранить информацию на десятках тысяч компьютеров — либо убедиться, что критической инфраструктуре предприятия эпидемия этого вируса не угрожает.

«Для противодействия атакам типа WannaCry или NotPetya необходимо следовать прописным истинам, содержащимся в каждой политике безопасности: сегментация сети, фильтрация по протоколам и т. п. Но действительность вносит в эти правила свои коррективы, и на практике нередко оказывается, что там, где по данным ИБ-службы доступа нет, трафик "гуялет" без каких-либо ограничений, — объясняет Владимир Бенгин, директор департамента поддержки продаж Positive Technologies. — А в результате, как это было во время эпидемии NotPetya, сотрудники служб безопасности, изучая информацию о новой угрозе и будучи уверены, что связи по протоколу SMB между головной компанией и ее дочерними подразделениями нет, — ошибаются в выборе контрмер и вынуждены сражаться уже с последствиями инцидента».

MaxPatrol SIEM не только представит актуальные маршруты до искомого актива на карте сети, но и подсветит все доступные альтернативы. Это позволит быстро обнаружить ошибки в конфигурации сетевых устройств и не допустить нарушения политик доступа. Кроме того, для проверки наличия в сети зараженных WannaCry или NotPetya узлов достаточно нескольких секунд за счет новой функции группировки сетевых событий по нескольким признакам (например, по отправителям и получателям пакетов на порт 445, за исключением файловых серверов общего доступа).

Группировка активов по сложным правилам

MaxPatrol SIEM теперь позволяет формировать динамические группы активов по правилам, включающим логику И, ИЛИ, НЕ, и настраивать на них точные правила корреляции для обнаружения инцидентов ИБ и реагирования на них. Например, можно создать группу подверженных уязвимости WannaCry активов, добавив три условия: наличие уязвимости CVE-2017-0145 и открытых портов 139 или 445, а также отсутствие антивируса на узле.

Выявление APT за счет растянутых во времени корреляций

В новой версии MaxPatrol SIEM можно создавать табличные списки, которые существенно расширяют возможности привнесения экспертизы Positive Technologies в продукт. Теперь инциденты ИБ могут выявляться на основе сложных корреляций длиной до нескольких лет, что особенно важно для обнаружения advanced persistent threats, при которых среднее «время жизни» злоумышленника в организации составляет 3 года.

Помимо новых возможностей по выявлению и анализу инцидентов, система получила множественные улучшения в интерфейсе и стала значительно удобнее в работе. Появились новые виджеты с возможностью просмотра подробной информации по двойному щелчку мыши, отображение событий на топологии IТ-инфраструктуры, выгрузка карты сети в векторном и растровом форматах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК «Солар» выпустила NGFW для ретейла, МСБ и филиалов корпораций

ГК «Солар» представила новую линейку межсетевых экранов Solar NGFW — решения с меньшей производительностью, рассчитанные на защиту филиалов, удалённых офисов и небольших сетей. Новинки — это ПАКи Solar NGFW S (до 10 Гбит/с) и Solar NGFW М (до 20 Гбит/с) — подойдут как для малого и среднего бизнеса, так и для крупных компаний с распределённой инфраструктурой.

По данным самой компании, 56% российских организаций используют NGFW для защиты периметра, а 72% из них — это региональные заказчики и филиалы с типичной нагрузкой до 6 Гбит/с.

При этом стандартные решения с высокой производительностью (например, на 100 Гбит/с) для таких сценариев часто оказываются избыточными. Новые модели как раз закрывают этот сегмент.

По задумке, компактные NGFW от «Солара» могут применяться в разных отраслях. Например:

  • телеком-операторы — для защиты границ сетей в каждом филиале;
  • ретейл — для касс самообслуживания и других точек взаимодействия с клиентами;
  • добывающие и нефтегазовые компании — для защиты сетей на скважинах, станциях и перерабатывающих объектах.

Решения обеспечивают базовую фильтрацию трафика, контроль доступа, мониторинг, обнаружение угроз и защиту от атак. При этом важна не только производительность, но и устойчивость к сбоям и отказам.

Отдельно в компании подчёркивают рост атак в 2024 году: по данным Solar JSOC, доля сетевых атак удвоилась — с 14% до 27% от всех подтверждённых инцидентов. Это тоже подтолкнуло разработку решений для распределённых систем с невысокой нагрузкой.

Новые NGFW продолжают линейку продуктов, которую «Солар» активно обновляет: в 2025 году уже вышли версии 1.5 и 1.6. Среди ключевых изменений — централизованное управление, интеграции через API, автоматическое обновление сигнатур и более 26 тысяч встроенных сигнатур от центра Solar 4RAYS.

Весь стек Solar NGFW представлен как в виде виртуального решения, так и в виде ПАКов (всего 5 моделей), имеет сертификацию ФСТЭК по 4-му уровню доверия и включён в реестр отечественного ПО. Сейчас с NGFW от «Солара» работают более 100 крупных компаний, включая представителей госсектора, телекомов, нефтегаза, энергетики и промышленности.

По оценкам компании «Б1», рынок сетевой безопасности в России уже составляет около 88 млрд рублей — это 42% всего рынка ИБ-продуктов. До 2030 года ожидается рост этого направления на 15% в год, в том числе за счёт постепенного ухода от иностранных NGFW в пользу отечественных решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru