Positive Technologies сообщила о запуске коммерческой версии системы анализа трафика и сетевого расследования инцидентов

Софт Безопасность Новости поставщиков Российское ПО
мобильная версия

Positive Technologies объявляет о выходе коммерческой версии комплексного решения сетевой безопасности, предназначенного для анализа сетевого трафика и расследования инцидентов PT Network Attack Discovery (PT NAD). Продукт успешно прошел длительную апробацию в крупных инфраструктурных проектах, в том числе в системе «ГосСОПКА», и готов к промышленной эксплуатации.

В последние годы среднее время присутствия атакующих в корпоративных инфраструктурах увеличилось до трех лет и лишь 10% атак выявлялись самими жертвами. Это связано с растущим числом специфических и многоступенчатых угроз, для многих из которых отсутствуют сигнатуры и признаки аномалий. Чтобы предотвратить серьезный ущерб на ранней стадии атаки, ИБ-специалисту необходим доступ к сохраненному за долгое время «сырому» трафику для получения полной картины действий злоумышленников. Однако практика показывает, что трафик для расследования хранит лишь одна компания из десяти, а срок хранения, как правило, не превышает двух недель.

Система PT Network Attack Discovery позволяет вести захват «сырого» трафика со скоростью до 10 Гбит/с, обеспечивает хранение больших объемов данных, их обработку, индексацию и запись в файлы формата Pcap. При использовании внешних хранилищ в зависимости от бизнес-задачи данные могут храниться до нескольких месяцев (при необходимости до полугода и дольше).

Выявление атак, случившихся в прошлом, и распределенных во времени угроз реализуется в PT Network Attack Discovery посредством механизма ретроспективного анализа. Система позволяет отслеживать хронологию и векторы развития атак, а также проводить ретроспективный анализ не только по сохраненным с помощью PT Network Attack Discovery данным, но и по файлам с трафиком, загруженным из внешних источников.

В коммерческой версии системы появилась возможность разбора протоколов до уровня L7, что позволяет на лету извлекать и сохранять метаданные, характерные для каждого сетевого соединения: используемые приложения, значения полей протоколов, репутационные списки, IP-адреса, порты. Была также увеличена стабильность работы и скорость обработки трафика. При гигабитном потоке данных (1 Гбит/с) и двухнедельном времени хранения поиск по метаданным может занимать меньше минуты.

Для обнаружения замаскированной сетевой активности в PT Network Attack Discovery используется собственная база сигнатур, нацеленных на выявление удаленной эксплуатации уязвимостей, вредоносного ПО. В перечень сигнатур входят правила для обнаружения использования эксплойта EternalBlue (удаленное исполнение команд в системах на базе Windows), модулей Cobalt Strike (удаленное управление взломанными узлами), техники DCShadow (новый вид атак на Active Directory), уязвимостей в Cisco SMI и других угроз. База сигнатур постоянно пополняется: в настоящее время она состоит из более 3 тыс. правил, разработанных экспертами Positive Technologies.

«По нашим оценкам, в 2017 г. число жертв целевых атак увеличилось почти вдвое, — отметила Евгения Красавина, руководитель отдела продвижения и развития технологий Positive Technologies. — Атаки становятся сложнее: киберпреступники применяют средства антифорензики, вредоносное ПО все чаще имеет цифровые подписи, увеличилось число бесфайловых атак. До нескольких дней сократилось время между появлением уязвимости и принятием ее на вооружение злоумышленниками. Например, группировка Cobalt одной из первых получила доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 для создания файлов, эксплуатирующих уязвимость CVE-2017-0199. Все это требует от компаний использования более интеллектуальных средств выявления угроз, позволяющих повысить скорость выявления атак».

Система PT Network Attack Discovery уже используются в энергетической и телекоммуникационной отраслях, на транспорте, в банках, государственных организациях и СМИ. Так, в медиакорпорации России ВГТРК продукт обеспечивает выявление вредоносной активности в сетевом трафике и выполнение требований регуляторов — в частности, новых требований к операторам связи и интернет-проектам, предусмотренных Федеральным законом № 35-ФЗ «О противодействии терроризму».

В 2018 г. возможности PT Network Attack Discovery были продемонстрированы на международном форуме по практической безопасности Positive Hack Days 8. Продукт позволил наблюдать за вредоносной сетевой активностью в ходе соревнования The Standoff: хакерские команды со всего мира атаковали макет городской инфраструктуры. Только в отношении системы ДБО конкурсного банка с помощью PT Network Attack Discovery было выявлено 536 уникальных атак.

Колонка эксперта

CNews100: Крупнейшие ИТ-компании России 2016

№ 2016 Название компании Совокупная выручка компании в 2016 г., c НДС, ₽тыс. Рост выручки 2016/2015
1 НКК 163 958 372 16,4%
2 Ланит 114 514 106 11,4%
3 Epam* 77 612 831 40,0%
4 Softline 57 291 368 20,5%
5 Техносерв 52 442 285 1,3%
6 Газпром Автоматизация*** 50 756 310 -15,9%

смотреть полный рейтинг

Крупнейшие ИТ-разработчики России 2016

№ 2016 Название компании Город (расположение центрального офиса) Выручка от продажи продуктов собственной разработки (АО, ПО, в том числе продукты, поставляемые по модели SaaS) в 2016 г., с НДС, ₽тыс.
1 Epam* Ньютаун (США) 77 612 831
2 Luxoft * Цуг (Швейцария) 50 215 140
3 Лаборатория Касперского* Москва 43 083 600
4 1С** Москва 37 300 000
5 Cognitive Technologies Москва 28 390 373

смотреть полный рейтинг