PT NAD. Система глубокого анализа сетевого трафика

Network Attack Discovery от компании Positive Technologies (PT NAD) — система глубокого анализа сетевого трафика (NTA, Network Traffic Analysis) для выявления сложных целенаправленных атак на периметре и внутри сети в реальном времени. PT NAD позволяет обнаружить активность злоумышленников даже в зашифрованном трафике и оперативно локализовать угрозы, контролировать соблюдение регламентов, выявлять и расследовать инциденты.

Архитектура решения

Основные возможности

  • Захват и хранение сетевого трафика с пропускной способностью 100 Мбит/с — 10 Гбит/с, его индексация и хранение в формате *.pcap;
  • Разбор свыше 85 сетевых протоколов (в частности, IPv4, IPv6, ICMP, TCP, UDP, HTTP, DNS, NTP, FTP, TFTP), извлечение метаданных о параметрах сетевых взаимодействий и запись этих метаданных в файлы формата JSON;
  • Использование полученных файлов операторами безопасности при расследовании инцидентов, встроенные механизмы поиска и фильтрации обеспечивают навигацию в массивах сохраненных данных;
  • Извлечение и хранение объектов, передаваемых по протоколам прикладного уровня (например, через HTTP, FTP, POP3, SMTP, SMB, NFS);
  • Анализ не только внешнего, но и внутреннего трафика, обнаружение горизонтальных перемещений злоумышленников, попыток эксплуатации уязвимостей, атак на конечных пользователей в домене и на внутренние сервисы;
  • Выявление вирусного ПО, угроз в зашифрованном трафике;
  • Использование эвристических методов и поведенческого анализа для выявления сетевых аномалий, скрытого присутствия, активности вредоносного ПО;
  • Поддержка открытого HTTP API. Возможность разработки сторонних приложений для работы с проанализированным трафиком;
  • Передача сведений об обнаруженных атаках в системы SIEM (Security Information and Event Management, управление событиями и информацией о безопасности) в том числе в Positive Technologies MaxPatrol SIEM (PT MaxPatrol SIEM), для инвентаризации активов и проверки результативности атак;
  • Интеграция с внешней аналитической системой:
    • Передача извлеченных из сетевого трафика файлов на проверку в Positive Technologies MultiScanner (PT MS) для выполнения антивирусного сканирования и репутационного анализа;
    • Направление данных в Positive Technologies Sandbox (PT Sandbox) для выполнения антивирусного сканирования, экспертной оценки и поведенческого анализа.
  • Автоматический повторный анализ захваченного трафика с использованием обновленной базы знаний для обнаружения новейших угроз в сетевой инфраструктуре организации (ретроспективный анализ);
  • Самостоятельный анализ трафика, полученного из внешних источников, для расследования инцидентов;
  • Оповещение операторов безопасности о результатах ретроспективного анализа/ поступлении или непоступлении в информационную инфраструктуру организации определенного трафика (уведомления могут отображаться в интерфейсе PT NAD, получены на электронную почту или с помощью системного журнала);
  • Визуализация данных, отображение статистики сетевых взаимодействий в виде отчетов и графиков, а также наглядной карты сетевых взаимодействий.

Ключевые преимущества

  • Подробная картина активностей в инфраструктуре, выявление проблем в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак;
  • Автоматическое обнаружение попыток злоумышленников проникнуть в сеть и их присутствие в инфраструктуре по целому ряду признаков, например применение хакерских инструментов или передача данных на сервер атакующих;
  • Повышение эффективности SOC (Security Operations Center, Центр обеспечения безопасности): PT NAD предоставляет SOC полную видимость сети, упрощает проверку успешности атаки, помогает восстановить хронологию и собрать доказательную базу;
  • Выявление атак как на периметре, так и в инфраструктуре благодаря встроенным модулям глубокой аналитики, собственным правилам детектирования угроз и ретроспективному анализу;
  • Повышение результативности расследований благодаря детальному анализу трафика, хранению метаданных без ограничения по времени, оперативному нахождению подозрительных сессий и т. д.;
  • PT NAD позволяет выполнить требования по защите:
    • Объектов критической информационной инфраструктуры (КИИ);
    • Финансовых (банковских) операций;
    • Информационных систем персональных данных;
    • Информации в ГИС, АСУ ТП и информационных системах общего пользования.
  • PT NAD сертифицирован по требованиям ФСТЭК России и ФСБ России;
  • Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.
Отрасль
Банки и финансовые организации
Госсектор, образование и здравоохранение
Промышленность
Телеком
Транспорт и логистика
ТЭК и ЖКХ
Раздел
Защита объектов КИИ
Сетевая безопасность
Защита информации в АСУ ТП
Платформа
Positive Technologies
Запрос дополнительной информации

Запрос дополнительной информации