Positive Technologies представила новую версию системы поведенческого анализа сетевого трафика — PT Network Attack Discovery 12. Главное в продукте: обнаружение аномалий с помощью профилирования, анализ шифрованного трафика, автоматическое обновление экспертных модулей без дистрибутива, поддержка ОС Debian 11 и Astra Linux 1.7.4 и 1.7.5.
Ключевые возможности PT Network Attack Discovery 12 связаны с внедрением технологий machine learning (ML) для создания пользовательских правил профилирования и обнаружения приложений в шифрованном трафике. Ранее в интерфейсе PT NAD можно было настроить уведомления по пользовательским фильтрам, а также работать с отдельными модулями, которые выявляют частные случаи аномалий, например аномальные LDAP-запросы, медленные сканирования, успешную эксплуатацию уязвимостей, kerberoasting. Сейчас оператор SOC сможет создавать свои уникальные правила профилирования, которые, используя ML-алгоритмы, обучатся на типичном трафике и будут выявлять аномалии, интересующие именно оператора. Профилировать трафик можно по различным метрикам (количество соединений, объем трафика и так далее) и по произвольным фильтрам, что дает широкие возможности кастомизации продукта под свои задачи.
«Мы дали аналитику SOC механизм, с помощью которого он может выстроить алгоритмы обнаружения аномалий в трафике, — комментирует Кирилл Шипулин, руководитель группы обнаружения атак в сети, экспертный центр безопасности Positive Technologies. — Теперь PT NAD детектирует ранее не обнаруживаемые техники и тактики злоумышленников, любые узконаправленные кейсы из инструментария злоумышленников, например, эксфильтрацию данных на облачные сервисы, такие как Dropbox и «Яндекс Диск», или всплеск количества RDP-сессий в серверном сегменте».
Также PT NAD научился применять ML-алгоритмы для анализа шифрованных соединений и определения в них приложений. Это помогает в тех случаях, когда классические методы сигнатурного анализа или анализа полей протоколов перестают работать. Сейчас эта функциональность реализована для детектирования протокола мессенджера Telegram, который известен своими способами обхода обнаружения, но в последующем механизм будет добавлен и для детекта других замаскированных протоколов и приложений.
«PT Network Attack Discovery держит марку продукта—визионера Positive Technologies. В 2015 году мы начали разработку системы анализа трафика, через год у нас было первое внедрение продукта и только спустя пару лет Gartner выделил Network Traffic Analysis в новый класс продуктов, — рассказывает Дмитрий Ефанов, руководитель продукта PT Network Attack Discovery. — Сейчас мы снова меняем рынок, совершенствуя анализ сложных, изощренных аномалий в трафике с помощью ML-алгоритмов, которые действительно упрощают работу аналитикам SOC и снижают риск реализации недопустимых событий в компании. Аналогичных технологий в продуктах российских вендоров нет».
Изменился в PT NAD 12 и процесс доставки экспертных модулей. Теперь они будут обновляться вместе с новыми правилами и индикаторами компрометации (IoC) от экспертного центра безопасности Positive Technologies (PT Expert Security Center) — они поступают в продукт автоматически, без дистрибутива. Это значит, что пользователи PT NAD 12 практически мгновенно получают обновления алгоритмов детектирования сложных атак.
Начиная с новой версии PT NAD поддерживает операционные системы Debian 11 и последние версии Astra Linux — 1.7.4 и 1.7.5.
Также в продукте появился еще один инсталлятор в виде инсталляционного диска (ISO-образа), с которого можно установить PT NAD 12 и ОС Debian 11.
