Network Attack Discovery от компании Positive Technologies (PT NAD) — система глубокого анализа сетевого трафика (NTA, Network Traffic Analysis) для выявления сложных целенаправленных атак на периметре и внутри сети в реальном времени. PT NAD позволяет обнаружить активность злоумышленников даже в зашифрованном трафике и оперативно локализовать угрозы, контролировать соблюдение регламентов, выявлять и расследовать инциденты.
Архитектура решения
Основные возможности
- Захват и хранение сетевого трафика с пропускной способностью 100 Мбит/с — 10 Гбит/с, его индексация и хранение в формате *.pcap;
- Разбор свыше 85 сетевых протоколов (в частности, IPv4, IPv6, ICMP, TCP, UDP, HTTP, DNS, NTP, FTP, TFTP), извлечение метаданных о параметрах сетевых взаимодействий и запись этих метаданных в файлы формата JSON;
- Использование полученных файлов операторами безопасности при расследовании инцидентов, встроенные механизмы поиска и фильтрации обеспечивают навигацию в массивах сохраненных данных;
- Извлечение и хранение объектов, передаваемых по протоколам прикладного уровня (например, через HTTP, FTP, POP3, SMTP, SMB, NFS);
- Анализ не только внешнего, но и внутреннего трафика, обнаружение горизонтальных перемещений злоумышленников, попыток эксплуатации уязвимостей, атак на конечных пользователей в домене и на внутренние сервисы;
- Выявление вирусного ПО, угроз в зашифрованном трафике;
- Использование эвристических методов и поведенческого анализа для выявления сетевых аномалий, скрытого присутствия, активности вредоносного ПО;
- Поддержка открытого HTTP API. Возможность разработки сторонних приложений для работы с проанализированным трафиком;
- Передача сведений об обнаруженных атаках в системы SIEM (Security Information and Event Management, управление событиями и информацией о безопасности) в том числе в Positive Technologies MaxPatrol SIEM (PT MaxPatrol SIEM), для инвентаризации активов и проверки результативности атак;
- Интеграция с внешней аналитической системой:
- Передача извлеченных из сетевого трафика файлов на проверку в Positive Technologies MultiScanner (PT MS) для выполнения антивирусного сканирования и репутационного анализа;
- Направление данных в Positive Technologies Sandbox (PT Sandbox) для выполнения антивирусного сканирования, экспертной оценки и поведенческого анализа.
- Автоматический повторный анализ захваченного трафика с использованием обновленной базы знаний для обнаружения новейших угроз в сетевой инфраструктуре организации (ретроспективный анализ);
- Самостоятельный анализ трафика, полученного из внешних источников, для расследования инцидентов;
- Оповещение операторов безопасности о результатах ретроспективного анализа/ поступлении или непоступлении в информационную инфраструктуру организации определенного трафика (уведомления могут отображаться в интерфейсе PT NAD, получены на электронную почту или с помощью системного журнала);
- Визуализация данных, отображение статистики сетевых взаимодействий в виде отчетов и графиков, а также наглядной карты сетевых взаимодействий.
Ключевые преимущества
- Подробная картина активностей в инфраструктуре, выявление проблем в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак;
- Автоматическое обнаружение попыток злоумышленников проникнуть в сеть и их присутствие в инфраструктуре по целому ряду признаков, например применение хакерских инструментов или передача данных на сервер атакующих;
- Повышение эффективности SOC (Security Operations Center, Центр обеспечения безопасности): PT NAD предоставляет SOC полную видимость сети, упрощает проверку успешности атаки, помогает восстановить хронологию и собрать доказательную базу;
- Выявление атак как на периметре, так и в инфраструктуре благодаря встроенным модулям глубокой аналитики, собственным правилам детектирования угроз и ретроспективному анализу;
- Повышение результативности расследований благодаря детальному анализу трафика, хранению метаданных без ограничения по времени, оперативному нахождению подозрительных сессий и т. д.;
- PT NAD позволяет выполнить требования по защите:
- Объектов критической информационной инфраструктуры (КИИ);
- Финансовых (банковских) операций;
- Информационных систем персональных данных;
- Информации в ГИС, АСУ ТП и информационных системах общего пользования.
- PT NAD сертифицирован по требованиям ФСТЭК России и ФСБ России;
- Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.
Отрасль
Платформа