15, июнь 2018  —  Компания Positive Technologies объявляет о выходе коммерческой версии комплексного решения сетевой безопасности, предназначенного для анализа сетевого трафика и расследования инцидентов PT Network Attack Discovery ( PT NAD ) . Продукт успешно прошел длительную   апробацию в крупных инфраструктурных проектах, в том числе в системе ГосСОПКА, и готов к промышленной эксплуатации.

В последние годы среднее время присутствия атакующих в корпоративных инфраструктурах увеличилось до трех лет и лишь 10% атак выявлялись самими жертвами. Это связано с растущим числом специфических и многоступенчатых угроз, для многих из которых отсутствуют сигнатуры и признаки аномалий. Чтобы предотвратить серьезный ущерб на ранней стадии атаки, ИБ-специалисту необходим доступ к сохраненному за долгое время « сырому » трафику для получения полной картины действий злоумышленников. Однако наша практика показывает, что трафик для расследования хранит лишь одна компания из десяти, а срок хранения, как правило, не превышает двух недель.

Система PT Network Attack Discovery позволяет вести захват « сырого » трафика со скоростью до 10   Гбит/с, обеспечивает хранение больших объемов данных, их обработку, индексацию и запись в файлы формата Pcap. При использовании внешних хранилищ в зависимости от бизнес-задачи данные могут храниться до нескольких месяцев (при необходимости до полугода и дольше).

Выявление атак, случившихся в прошлом, и распределенных во времени угроз реализуется в PT Network Attack Discovery посредством механизма ретроспективного анализа. Система позволяет отслеживать хронологию и векторы развития атак, а также проводить ретроспективный анализ не только по сохраненным с помощью PT Network Attack Discovery данным, но и по файлам с трафиком, загруженным из внешних источников.

В коммерческой версии системы появилась возможность разбора протоколов до уровня L7, что позволяет на лету извлекать и сохранять метаданные, характерные для каждого сетевого соединения: используемые приложения, значения полей протоколов, репутационные списки, IP-адреса, порты. Была также увеличена стабильность работы и скорость обработки трафика. При гигабитном потоке данных (1   Гбит/с) и двухнедельном времени хранения поиск по метаданным может занимать меньше минуты.

Для обнаружения замаскированной сетевой активности в PT Network Attack Discovery используется собственная база сигнатур, нацеленных на выявление удаленной эксплуатации уязвимостей, вредоносного ПО. В перечень сигнатур входят правила для обнаружения использования эксплойта EternalBlue (удаленное исполнение команд в системах на базе Windows), модулей Cobalt Strike (удаленное управление взломанными узлами), техники DCShadow (новый вид атак на Active Directory), уязвимостей в Cisco SMI и других угроз. База сигнатур постоянно пополняется: в настоящее время она состоит из более 3000 правил, разработанных экспертами Positive Technologies. Высокое качество этих правил признано ведущими международными поставщиками сигнатур.

« По нашим оценкам, в 2017 году число жертв целевых атак увеличилось почти вдвое , — отмечает Евгения Красавина, руководитель отдела продвижения и развития технологий Positive Technologies . — Атаки становятся сложнее: киберпреступники применяют средства антифорензики, вредоносное ПО все чаще имеет цифровые подписи, увеличилось число бесфайловых атак. До нескольких дней сократилось время между появлением уязвимости и принятием ее на вооружение злоумышленниками. Например, группировка Cobalt одной из первых получила доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 для создания файлов, эксплуатирующих уязвимость CVE-2017-0199. Все это требует от компаний использования более интеллектуальных средств выявления угроз, позволяющих повысить скорость выявления атак ».

Система PT Network Attack Discovery уже используются в энергетической и телекоммуникационной отраслях, на транспорте, в банках, государственных организациях и СМИ. Так, в крупнейшей медиакорпорации России ВГТРК продукт обеспечивает выявление вредоносной активности в сетевом трафике и выполнение требований регуляторов — в частности, новых требований к операторам связи и интернет-проектам, предусмотренных Федеральным законом № 35-ФЗ « О противодействии терроризму ».

В 2018 году возможности PT Network Attack Discovery были продемонстрированы на международном форуме по практической безопасности Positive Hack Days 8 . Продукт позволил наблюдать за вредоносной сетевой активностью в ходе соревнования The Standoff: хакерские команды со всего мира атаковали макет городской инфраструктуры. Только в отношении системы ДБО конкурсного банка с помощью PT Network Attack Discovery было выявлено 536 уникальных атак.

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов. Подробнее — на ptsecurity.com , facebook.com/PositiveTechnologies , facebook.com/PHDays .