Positive Technologies выпустила новый релиз системы анализа трафика PT Network Attack Discovery (PT NAD) 10.2, которая определяет типы и роли сетевых узлов в автоматическом режиме, обнаруживает атаки сканирования, флуда и DDoS и обрабатывает трафик без потерь со скоростью до 10 Гбит/с.
Обнаружение новых угроз
В PT NAD 10.2 в 9 раз увеличено число выявляемых подозрительных активностей — всего их сейчас 37. Все они выводятся в единой ленте 1, что помогает пользователям быстрее реагировать на обнаруженные угрозы. Лента собирает на одной странице угрозы, выявленные с помощью модулей аналитики (несигнатурный метод), и дает возможность управлять ими.
Теперь пользователи PT NAD будут своевременно узнавать, когда:
- по сети передаются учетные данные в открытом виде (чем может воспользоваться злоумышленник во время атаки);
- наблюдаются активные VPN- и прокси-серверы (например, если внутренние узлы обращаются к внешним прокси-серверам OpenVPN или SOCKS5);
- используется ПО для удаленного управления (TeamViewer, AeroAdmin, RMS и пр.) либо выполняются удаленные команды с помощью PsExec и PowerShell;
- в сети есть активность вредоносного ПО.
Помимо этого, в ленте активностей продолжают отображаться пользовательские уведомления, сообщения о срабатывании индикаторов компрометации при ретроспективном анализе, случаи использования словарных паролей и информация о неизвестных DHCP-серверах.
В ленту активностей PT NAD попадает 37 видов угроз, которые требуют реагирования
В PT NAD 10.2 встроен механизм обнаружения сканирования сети, флуда и DDoS-атак. Во время таких атак в сети компании создается много сессий. Вместо сохранения информации о каждом соединении по отдельности PT NAD теперь создает одну запись сессии и одну запись об атаке в ленте активностей, которые содержат агрегированные данные обо всем сеансе атаки. Такое объединение «бережет» систему: защищает от переполнения базы данных и повышает стабильность работы сенсора.
Управление сетевыми узлами: роли и типы
Чтобы специалисты по ИБ обладали полной информацией о том, какие узлы участвуют в сетевом взаимодействии и как сеть устроена в целом, PT NAD начал автоматически определять типы и роли узлов. Тип указывает на то, каким устройством является конкретный узел: сервером, принтером, мобильным устройством или рабочей станцией. Роль обозначает функцию, которую выполняет устройство. В версии 10.2 определяются 15 ролей, в числе которых DNS-сервер, VPN, контроллер домена, прокси-сервер, система мониторинга. Пользователь может вручную переназначить тип и роль устройства.
С помощью обновленного фильтра пользователь может найти интересующие узлы по IP-адресу, типу, роли, принадлежности к группе и другим параметрам
«Знания о том, из чего состоит инфраструктура компании, необходимы, чтобы качественно защищать ее и точно выявлять в ней атаки, — комментирует Дмитрий Ефанов, руководитель разработки PT NAD Positive Technologies. — Эти сведения в PT NAD дают операторам безопасности понимание, какие в сети есть устройства и какие роли они выполняют, таким образом помогая проводить инвентаризацию сети».
Захват и анализ трафика
Начиная с этой версии PT NAD захватывает трафик в Linux с помощью механизма DPDK (библиотека Intel, обеспечивающая наиболее эффективный способ захвата трафика в Linux среди прочих механизмов), который обрабатывает его без потерь со скоростью в десятки гигабит в секунду.
Для большей прозрачности внутреннего трафика в PT NAD 10.2 расширен список определяемых и разбираемых протоколов. Обновленная система теперь разбирает все существующие SQL-протоколы передачи данных: MySQL, PostgreSQL, Transparent Network Substrate компании Oracle и Tabular Data Stream (возможность его обнаружения была добавлена в предыдущем релизе). Еще PT NAD определяет протоколы системы Elasticsearch и печати PostScript — с помощью последнего взаимодействуют принтеры в корпоративной сети. Общее количество детектируемых протоколов достигло 86.
Другие UX-улучшения
Ряд изменений в PT NAD 10.2 направлен на повышение удобства работы с продуктом. Появилась возможность из интерфейса узнавать о текущем состоянии и сроке действия лицензии и самостоятельно добавить или поменять ее. Добавлена опция копирования ссылки на карточку определенной сессии или атаки, чтобы быстрее обмениваться информацией с другими пользователями.