Positive Technologies выпустила новую версию системы поведенческого анализа трафика для выявления атак на периметре и внутри сети — PT NetworkAttackDiscovery (PTNAD). В PT NAD 11.1 появились статистические и поведенческие модули для обнаружения ранее неизвестных ICMP-туннелей, аномалий в SMB-трафике, признаков работы хакерских инструментовCobaltStrike и BruteRatel С4, а также модуль, подтверждающий успешную эксплуатацию уязвимостей на узлах.
Точное выявление атак при помощи поведенческого анализа трафика
«В новом релизе помимо сигнатурных методовпоявились новые способы обнаружения угроз с помощью сложных алгоритмов, основанных на профилированиикаждого устройства в сети, сборе данных и поиске отклонений. Команда разработки PTNADпереложила уникальную экспертизу по проактивному поиску угроз (threathunting) в сетевом трафике в автоматические детекты, — рассказывает Алексей Леднев, руководитель отдела обнаружения атакэкспертного центра безопасности Positive Technologies (PTESC). — Мы планомерно расширяем возможности настройки продукта под конкретную инфраструктуру, чтобы каждая компания с большей точностью могла обнаруживать аномалии и уникальные срабатывания, представляющие угрозу ее безопасности».
Для поддержки связи со взломанной инфраструктурой злоумышленники устанавливают скрытые каналы передачи данных — ICMP-туннели. Системы обнаружения, в частности файрволы, как правило, пропускают подобную активность. Анализируя статистические данные ICMP-пакетов, PT NAD 11.1 детектирует известные и новые утилиты, с помощью которых атакующие прячутся в сети.
Чтобы оставаться незамеченными, киберпреступники шифруют SMB-трафик, а также применяют вредоносное ПО и инструменты постэксплуатации, которые взаимодействуют со своими агентами по именованным каналам SMB (пайпам). Новые поведенческие модули в PT NAD определяют шифрованный протокол SMB и появление новых SMB-пайпов в трафике.
PT NAD 11.1 обнаруживает работу фреймворков Cobalt Strike и Brute Ratel C4, которые активно используются в целевых атаках. Они позволяют атакующим взаимодействовать со скомпрометированными узлами, выполнять на них команды и продвигаться внутри инфраструктуры. Для выявления вредоносной активности специалисты Positive Technologies разработали статистические модули, которые детектируют коммуникацию агентов этих фреймворков постэксплуатации неизвестных конфигураций с управляющим сервером.
Начиная с этой версии продукт получил новый модуль для выявления успешных попыток эксплуатации уязвимостей. Как показывает опыт экспертного центра безопасности Positive Technologies (PTExpertSecurityCenter), специализирующегося на расследовании сложных инцидентов, эксплуатация уязвимостей входит в топ-3 самых распространенных векторов атак на корпоративную сеть компаний. Новый модуль поведенческого анализа автоматически извлекает вредоносные индикаторы из сетевых запросов и проверяет обращения к ним после эксплуатации уязвимости на узле.
Настройка в два раза быстрее
Мастер настройки, доступный пользователям новой версии, помогает в два раза быстрее установить основные параметры работы PT NAD (сетевые интерфейсы, параметры захвата трафика, сроки хранения PCAP/ES и др.). Он также значительно упрощает развертывание продукта.
Другие изменения
Улучшен механизм исключений из ленты активностей — теперь оператор может из карточек одним кликом удалять срабатывания, которые типичны для его инфраструктуры. Обновленная функциональность снижает количество ложноположительных срабатываний в каждой защищаемой инфраструктуре. В числе других нововведений — возможность создавать общие фильтры и делиться ими с командой, проверка корректности захвата и обработки трафика, а также инженерные и UX-улучшения.
PT NAD 11.1 уже доступен для пользователей. Оставить заявку на бесплатный пилот можно по ссылке. Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к партнерам Positive Technologies.
Скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP.
Сетевой протокол для удаленного доступа к файлам, принтерам и другим сетевым ресурсам.