PT NAD 11 получил новый модуль поведенческого анализа трафика

PT NAD 11 получил новый модуль поведенческого анализа трафика

PT NAD 11 получил новый модуль поведенческого анализа трафика

Positive Technologies представила PT Network Attack Discovery версии 11. Главное в релизе — выявление еще большего (+20%) количества актуальных киберугроз с помощью нового модуля поведенческого анализа трафика. В частности, продукт обнаруживает атаку Kerberoasting, DNS-туннели, удаленное выполнение команд в Windows, а также брутфорс и спреинг паролей. PT NAD 11 теперь можно установить на российскую операционную систему Astra Linux и развернуть всего за 15 минут.

«Классические средства сетевой защиты (IPS, NGFW) используют для выявления атак преимущественно сигнатурные методы и индикаторы компрометации. Они подходят для защиты периметра сети от известных атак, но зачастую бесполезны для выявления целенаправленных атак и злоумышленников, уже находящихся в сети компании. Для этих целей нужно использовать более сложные алгоритмы, основанные на профилировании и анализе поведения. Используя эти подходы и нашу уникальную экспертизу, мы постоянно улучшаем возможности PT NAD и автоматизируем выявление сложных угроз, тем самым облегчая работу специалистов по ИБ», — комментирует Дмитрий Ефанов, руководитель разработки PT Network Attack Discovery, PositiveTechnologies.

Детектирует еще больше атак

PT NAD 11 выявляет технику Kerberoasting. Работы по анализу защищенности российских компаний, проведенные экспертами Positive Technologies, показывают, что в каждой второй компании применение данной техники позволяет злоумышленнику развить атаку и получить учетные данные. Опасность Kerberoasting состоит в том, что на первом этапе атаки, когда злоумышленники запрашивают доступы к различным сервисам, активность отображается как легитимная, а второй этап — брутфорс для получения паролей к собранным доступам — осуществляется локально, на стороне атакующих. Из-за этого вероятность обнаружения данной атаки сигнатурными методами крайне низка.

«PT NAD стал проще в работе, — рассказывает Алексей Леднев, руководитель отдела экспертных сервисов и развития SOC компании Positive Technologies. — Простое детектирование с помощью правил и индикаторов компрометации мы дополняем более продвинутыми инструментами: модулями аналитики, инструментами machine learning, сбором статистики и обучением продукта на ее данных. Все это для того, чтобы специалист по ИБ мог без дополнительного исследования за мгновение взглянуть в ленту активностей и понять: это действия злоумышленника или обычного пользователя? А освободившееся время, которое раньше он тратил на проверку срабатываний, можно посвятить более прогрессивным задачам, например проактивному поиску угроз (threat hunting)».

Согласно результатам тестов на проникновение, проведенных PositiveTechnologies во второй половине 2020 – начале 2021 года, злоумышленник может преодолеть сетевой периметр большинства компаний с помощью подбора паролей, в том числе путем прямого перебора и спреинга. С помощью анализа поведения PT NAD эффективнее обнаруживает попытки взлома учетных записей путем подбора логина и пароля (брутфорса), в том числе путем подбора учетной записи к слабому паролю (спреинга). В новую версию PT NAD также добавлен универсальный модуль для обнаружения DNS-туннелей любых типов, будь то самописный хакерский инструмент или утилита с GitHub. Модуль помогает быстрее выявлять атакующих в сети и своевременно останавливать их на пути к реализации недопустимых событий, которые каждая компания определяет для себя сама.

Кроме того, теперь PT NAD детектирует такую активность, как создание новых служб и задач планировщика Windows для тактик удаленного выполнения команд и перемещения внутри периметра. Новый модуль аналитики в PT NAD покрывает случаи с открытым и шифрованным трафиком. В случае генерации шифрованного трафика система определяет такую активность как отклонение от профиля и подсвечивает для оператора конкретный компьютер и пользователя, от которого она исходит.

Исключение для ленты активностей

В продукте появилась возможность добавлять исключения для модулей обнаружения угроз. Теперь оператор может более детально настроить детекты и анализировать максимально релевантные срабатывания. Это помогает обратить внимание на актуальные события и не тратить время на разбор инцидентов, не представляющих опасности. Лента активностей, задача которой фокусировать внимание пользователей PT NAD на важных киберугрозах и помогать отслеживать реагирование на них, в новом релизе стала удобнее для пользователя.

Интеграция c другими системами

Начиная с версии 11 события из ленты активности PT NAD можно просматривать в интерфейсе системы мониторинга событий информационной безопасности MaxPatrol SIEM. Для компаний, которые используют SIEM-решения других разработчиков, были добавлены механизмы интеграции с помощью syslog, webhook и ряд других. Благодаря этим механизмам можно настроить передачу срабатываний репутационных списков, правил и событий из ленты активностей в сторонние системы. Они также позволяют гибко кастомизировать PT NAD, к примеру интегрировав его с Telegram (для этого необходимо написать код).

Еще одно важное нововведение — расширение контекста уведомлений в ленте. Теперь оператор получает больше данных об интересующей его активности: например, в оповещении, помимо детекта трафика по определенному фильтру, указываются узлы, на которых этот трафик возник, клиенты-серверы и другой необходимый контекст.

Поддержка Astra Linux и установка за 15 минут

Реализована поддержка Astra Linux, что особенно актуально для органов власти, госкорпораций, субъектов КИИ и других российских компаний, переходящих, как сообщают СМИ, на данную ОС в рамках импортозамещения. Кроме того, установка PT NAD теперь происходит легче и быстрее: добавление в новую версию простого в использовании односерверного инсталлятора позволило сократить время развертывания c двух часов до 15 минут, а также проводить установку без подключения к интернету. Теперь можно устанавливать и использовать PT NAD в любых компаниях, даже там, где подключение к внешней сети запрещено регламентами.Среди других улучшений, облегчающих работу с продуктом, — мониторинг «из коробки» для отслеживания производительности PT NAD, возможность присвоения узлам пользовательских имен вместо доменных и обновленные сводки по узлам.

PT NAD 11 будет доступен для пользователей с 15 ноября, заявку на пилотный проект можно оставить уже сейчас. Действующие пользователи смогут обновить версию продукта через техническую поддержку.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

OpenAI вводит проверку возраста в ChatGPT для защиты подростков

OpenAI готовит серьёзные изменения в работе ChatGPT — компания собирается ввести проверку возраста. Новые правила затронут всех пользователей, но в первую очередь направлены на защиту подростков. Причина в том, что ChatGPT всё чаще используют для откровенных разговоров на личные темы, включая психическое здоровье.

В компании напоминают трагический случай: весной подросток несколько часов обсуждал с чат-ботом тему суицида, а затем покончил с собой. Семья подала в суд, и OpenAI решила усилить меры безопасности.

Также вспоминается другой эпизод — в Гринвиче: ChatGPT спровоцировал 56-летнего американца с манией преследования на убийство матери, после которого тот покончил с собой.

После этого в OpenAI заявили, что будут направлять «чувствительные» диалоги пользователей в более продуманные модели вроде GPT-5 и в ближайший месяц запустят родительский контроль

Как это будет работать

По словам Сэма Альтмана, CEO OpenAI, компания внедряет систему предсказания возраста. Алгоритм будет анализировать, как человек пользуется ChatGPT, и пытаться определить, подросток он или взрослый. Если останутся сомнения, пользователю автоматически назначат «подростковый режим». В некоторых странах и ситуациях может потребоваться подтверждение возраста с помощью документа.

Для подростков будут действовать жёсткие ограничения. Например, ChatGPT перестанет отвечать флиртом даже по запросу, а обсуждение суицида станет полностью запрещено. В случае выявления суицидальных мыслей компания оставляет за собой право обратиться к родителям или даже к властям, если родители недоступны.

Что это значит для взрослых

Взрослым пользователям, возможно, придётся смириться с тем, что их свобода частично ограничится — например, придётся подтверждать возраст. Альтман называет это «разумной ценой» ради безопасности подростков.

Почему это важно

ChatGPT и другие чат-боты всё чаще становятся собеседниками «для серьёзных разговоров» — от вопросов про здоровье и право до поиска поддержки в сложных ситуациях. Но, как отмечают исследователи из Стэнфорда, ИИ-помощники пока не справляются с ролью психотерапевта: они могут недооценить психическое состояние или дать неподходящий совет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru