PT NAD теперь выявляет еще 33 подозрительные сетевые активности

PT NAD теперь выявляет еще 33 подозрительные сетевые активности

Компания Positive Technologies выпустила новую версию PT Network Attack Discovery (PT NAD) — 10.2. В список подозрительных активностей, которые отслеживает система анализа трафика, добавлены еще 33. Система обнаруживает атаки сканирования, флуда и DDoS и обрабатывает трафик без потерь со скоростью до 10 Гбит/с.

В PT NAD также увеличилась скорость обработки трафика, обновился фильтр для узлов, участвующих в сетевом взаимодействии, и пополнился список определяемых протоколов. Начиная с предыдущего выпуска, выявленная с помощью модулей подозрительная активность выводится пользователю в единой ленте, что позволяет быстрее реагировать на угрозы.

В частности, юзер теперь может своевременно узнавать о таких потенциальных и явных нарушениях ИБ:

  • передача учетных данных в открытом виде;
  • обращения к внешним VPN и прокси-серверам (OpenVPN, SOCKS5);
  • использование инструментов удаленного администрирования (TeamViewer, AeroAdmin, RMS и проч.), выполнение удаленных команд с помощью PsExec и PowerShell;
  • активность вредоносного ПО;
  • срабатывание IoC;
  • использование словарных паролей;
  • подключение неизвестной DHCP-службы.

 

Из новшеств, которыми может похвастаться PT NAD 10.2, стоит особо отметить реализацию механизма обнаружения сканов, флуда и DDoS-атак, который к тому же способен обеспечить защиту от переполнения базы данных. Вместо раздельного сохранения информации о каждом соединении система создает всего две записи, но с агрегированными данными: одну — о сессии, другую — об атаке (в ленте активностей). Такое нововведение также повышает стабильность работы сенсора.

Кроме того, система анализа трафика научилась автоматически определять типы и роли узлов – участников подозрительной активности. По типу узлы разделяются на рабочие станции, серверы, мобильные устройства, принтеры. При определении их роли (функции) PT NAD руководствуется списком из 15 вариантов — DNS-сервер, VPN, контроллер домена, прокси-сервер, система мониторинга и т. п. Примечательно, что оба новых признака пользователь может переназначить вручную.

«Знания о том, из чего состоит инфраструктура компании, необходимы, чтобы качественно защищать ее и точно выявлять в ней атаки, — поясняет Дмитрий Ефанов, руководитель разработки PT NAD. — Эти сведения в PT NAD дают операторам безопасности понимание, какие в сети есть устройства и какие роли они выполняют, таким образом, помогая проводить инвентаризацию сети».

Повышение скорости PT NAD до десятков Гбит/с было достигнуто за счет использования DPDK (Data Plane Development Kit) — библиотеки Intel, способной, среди прочего, эффективно и без потерь захватывать трафик в Linux. Список определяемых и разбираемых протоколов теперь включает 86 позиций; в него добавлены такие варианты SQL, как MySQL, PostgreSQL, Transparent Network Substrate, а также протоколы системы Elasticsearch и печати PostScript.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT Sandbox получила сертификат ФСТЭК России

Песочница для риск-ориентированной защиты PT Sandbox прошла сертификационные испытания ФСТЭК России и теперь может применяться в государственных информационных системах, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Сертификат № 4604 действителен до 25 октября 2027 года.

Песочница Positive Technologies подтвердила соответствие техническим условиям и требованиям нормативного документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утв. приказом ФСТЭК России от 2 июня 2020 г. № 76) по 4-му уровню доверия.

PT Sandbox — передовая песочница, которая позволяет защитить компании от целевых и массовых атак с применением современного вредоносного ПО. Она поддерживает гибкую кастомизацию виртуальных сред для анализа, обнаруживает угрозы в файлах и трафике (в том числе шифрованном) и закрывает все основные векторы проникновения вредоносов в сеть организации. Кроме того, продукт выявляет неизвестное вредоносное ПО, нацеленное на компоненты АСУ ТП (SCADA) иностранных и отечественных производителей.

PT Sandbox используется компаниями в государственном секторе, кредитно-финансовой сфере и промышленности. По данным финансовой отчетности Positive Technologies за III квартал, продукт демонстрирует высокие темпы роста продаж к аналогичному периоду прошлого года — на 369%.

Сертификат соответствия ФСТЭК позволяет применять PT Sandbox:

  • в государственных информационных системах до первого класса защищенности;
  • информационных системах персональных данных до первого уровня защищенности;
  • автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) до первого класса защищенности;
  • на значимых объектах критической информационной инфраструктуры (КИИ) России.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru