NAD -Network Attack Discovery

PT Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети. PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.

Дает понимание, что происходит в сети

PT NAD определяет более 50 протоколов, разбирает до уровня L7 включительно 30 наиболее распространенных из них. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак.

Обнаруживает скрытые угрозы

Система автоматически обнаруживает попытки злоумышленников проникнуть в сеть и их присутствие в инфраструктуре по большому количеству признаков — от применения хакерского инструментария до передачи данных на серверы атакующих.

Повышает эффективность работы SOC

PT NAD дает SOC полную видимость сети, упрощает проверку успешности атаки, помогает восстановить ее хронологию и собрать доказательную базу. Для этого он хранит метаданные и сырой трафик, позволяет оперативно находить сессии и отбирать из них подозрительные, экспортировать и импортировать трафик.

Видит активность злоумышленников во внутреннем трафике

PT NAD анализирует не только внешний, но и внутренний трафик, поэтому он детектирует горизонтальные перемещения злоумышленников, попытки эксплуатации уязвимостей, атаки на конечных пользователей в домене и на внутренние сервисы.

PT NAD выявляет

Угрозы в зашифрованном трафике

Глубокая аналитика позволяет PT NAD с высокой точностью детектировать скрытые под TLS или кастомным протоколом вредоносные программы. Посмотрите запись вебинара, чтобы узнать подробнее, как нам это удается.

Горизонтальное перемещение злоумышленника

PT NAD обнаруживает попытки расширения присутствия злоумышленников в инфраструктуре, детектируя их действия: разведку, удаленное выполнение команд, атаки на Active Directory и Kerberos.

Хакерский инструментарий

Экспертный центр PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD, которые выявляют применение всех популярных хакерских инструментов.

Эксплуатацию уязвимостей в сети

Собственная база уязвимостей постоянно пополняется информацией о новых уязвимостях, в том числе о тех, которые еще не попали в базу данных CVE. Это позволяет PT NAD оперативно выявлять попытки их эксплуатации.

Активность вредоносного ПО

PT NAD выявляет вирусное ПО по его сетевой активности. Это важно для локализации угрозы, поскольку вредоносное ПО легко сделать незаметным для антивирусных систем, но скрыть его сетевую активность труднее.

Признаки атак, не обнаруженных ранее

Как только база знаний PT NAD пополняется данными о новых киберугрозах, выполняется ретроспективный анализ трафика. Это позволяет максимально быстро обнаружить скрытое присутствие злоумышленника.

Сокрытие активности от средств защиты

PT NAD детектирует DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты.

Автоматически сгенерированные домены

С помощью технологии машинного обучения PT NAD распознает доменные имена, созданные при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует подобные домены для поддержания связи с командным сервером.

Нарушения регламентов ИБ

PT NAD помогает отслеживать передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, Tor, утилит для удаленного доступа, прокси, мессенджеров — всего того, что, как правило, запрещено политиками ИБ в крупных компаниях.

Выявляет даже модифицированное вредоносное ПО

Для создания собственных правил наши эксперты постоянно исследуют актуальные хакерские техники, инструменты и образцы вредоносных программ. При этом одно правило покрывает целое семейство вирусного ПО. Благодаря этому PT NAD уведомляет обо всех действительно опасных угрозах и выявляет даже модифицированные версии вредоносов.

Как работает

PT NAD захватывает и разбирает сетевой трафик на периметре и в инфраструктуре. Главное отличие решений класса NTA от других средств защиты, анализирующих сетевой трафик, в том, что они используют специальные технологии для обнаружения угроз внутри сети. PT NAD выявляет активность злоумышленника и на самых ранних этапах проникновения в сеть, и во время попыток закрепиться и развить атаку внутри сети.

Сценарии использования

Для мониторинга сетевой безопасности

PT NAD помогает обнаружить ошибки конфигурации и нарушения регламентов ИБ. С помощью предустановленных фильтров пользователи могут оперативно обнаружить учетные записи в открытом виде, нешифрованные почтовые сообщения, использование утилит для удаленного доступа и инструментов сокрытия активности в сети.

Подробнее о том, как PT NAD помогает выявить проблемы ИБ, смотрите в записи вебинара:

Для выявления атак на периметре и в инфраструктуре

Встроенные технологии машинного обучения, глубокая аналитика, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют обнаруживать атаки и на ранних стадиях, и когда злоумышленник уже проник в инфраструктуру.

Набор индикаторов компрометации и правил еженедельно пополняют эксперты PT Expert Security Center.

Для расследования атак

Оператор ИБ (или специалист PT ESC в рамках услуг по экспертному мониторингу) отслеживает атаки и, анализируя метаданные, делает вывод об их успешности. Можно выбрать отдельные типы атак, и PT NAD будет уведомлять о них автоматически. В случае подтверждения атаки специалист по расследованию с помощью PT NAD:

  • локализует атаку,
  • восстанавливает ее хронологию,
  • выявляет уязвимые места в инфраструктуре,
  • вырабатывает компенсирующие меры для предотвращения аналогичных атак,
  • собирает доказательную базу.

Threat hunting

PT NAD помогает выстроить в организации процесс threat hunting и выявлять даже скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности. Аналитик ИБ, имея необходимую квалификацию и знания об инфраструктуре, выдвигает гипотезы, например о присутствии хакерской группировки в сети, проведении конкурентной разведки, о наличии внутреннего нарушителя или утечке данных. PT NAD помогает проверять такие гипотезы и выявлять угрозы.

Помогает выполнить требования по защите информации

PT NAD позволяет выполнить требования по защите:
— критической информационной инфраструктуры (приказы ФСТЭК № 239 и 235),
— персональных данных (приказ ФСТЭК № 21),
— информации в ГИС, в АСУ ТП и в информационных системах общего пользования (приказы ФСТЭК № 19, 31 и 489).



Система Orphus