Компания Positive Technologies выпустила очередную версию системы глубокого анализа трафика PT Network Attack Discovery (10.1). Он позволяет обнаруживать атаки с помощью новых модулей аналитики, собирать актуальную информацию об узлах сети и централизованно узнавать об обнаруженных угрозах в одном фиде.
 
Лента активности
 
Чтобы пользователь мог своевременно узнавать о новых атаках и угрозах, в PT NAD добавлен новый раздел - лента активности. Лента собирает список обнаруженных угроз в одном месте, объединяет сообщения о похожих действиях в одно и позволяет управлять ими. Вы можете пометить проблему как решенную или больше не отслеживать такую ​​активность.
В PT NAD 10.1 сообщения появляются в ленте, когда:
пользователи сети используют словарные пароли;
индикаторы компрометации, сработавшие при ретроспективном анализе;
в сети появился неизвестный DHCP-сервер, который может быть поддельным (с его помощью злоумышленники могут перехватить трафик для получения учетных данных пользователя);
срабатывают установленные пользователем условия фильтрации трафика. Таким образом, вы можете получать уведомления о любой интересной активности в сети, например, о подключениях к определенным фишинговым доменам, о передаче большого количества информации с серверов баз данных, о действиях конкретных пользователей.
 
PT NAD изначально создавался как инструмент для следователей. Лента активности фокусирует внимание аналитика на важных угрозах и помогает отслеживать ответы на них.
 
Новые механизмы обнаружения атак
 
В новой версии PT NAD добавлены модули глубокой аналитики трафика, которые позволяют выявлять сложные угрозы. Они учитывают многие параметры поведения злоумышленников и не привязаны к анализу отдельных сессий, в отличие от правил обнаружения атак. Продукт автоматически обнаруживает аномальные запросы LDAP с помощью модулей. Такие запросы могут использоваться злоумышленниками во время разведки для сбора информации о домене: о пользователях, их группах, сетевых узлах, паролях.
С помощью новых механизмов обнаружения продукт также обнаруживает использование словарных паролей и неизвестных DHCP-серверов. Информация о таких событиях попадает в ленту активности.
 
В следующей версии PT NAD модули аналитики будут использоваться для выявления еще 30 типов угроз.
 
Мониторинг сетевых узлов
 
Пользователи PT NAD теперь имеют актуальную информацию об узлах сети: IP-адреса, доменное имя, установленную операционную систему, используемые протоколы передачи данных, членство в группах. Также отслеживаются изменения узлов. Пользователь PT NAD будет знать, есть ли в сети новый узел, новый открытый порт, протокол приложения или изменение ОС на узле. Эти данные могут, среди прочего, помочь выявить подозрительную активность. Например, если пользователь начал использовать протокол SSH для удаленного управления операционной системой, хотя раньше он этого не делал, это стоит изучить. Большая прозрачность сети
 
По данным опроса Positive Technologies, 72% специалистов по информационной безопасности оценивают видимость внешнего трафика как низкую или среднюю, уровень прозрачности внутреннего трафика также оценили 68% респондентов. Для большей прозрачности внутреннего и внешнего трафика в новой версии PT NAD расширен список определяемых и анализируемых протоколов. Продукт обнаруживает еще пять новых протоколов, которые встречаются в сетях российских компаний. Общее количество определенных протоколов достигло 85.
 
Еще четыре новых протокола анализирует PT NAD, собирая дополнительные данные о соединениях, которые устанавливаются этими протоколами. Анализ новых протоколов дает понимание того, что происходит в сети, например, к каким пользователям сервисов Google подключаются, какие запросы отправляются во время удаленного запуска команд, является ли это законным действием или компрометацией злоумышленников.
 
PT NAD 10.1 определяет зашифрованный трафик, который передается по нестандартным протоколам. Это необходимо для предупреждения системного оператора о подозрительной неизвестной активности в сети. Не исключено, что трафик шифруется злоумышленниками по собственным протоколам, и таким образом они пытаются замести следы.
 
Прочие улучшения
 
Теперь вы можете переключить язык интерфейса и выбрать часовой пояс - настройки применяются к учетной записи пользователя. Теперь из интерфейса PT NAD вы можете одним щелчком мыши перейти в PT Sandbox и просмотреть подробную информацию об обнаруженном вредоносном файле.