Positive Technologies сообщила о запуске коммерческой версии системы анализа трафика и сетевого расследования инцидентов

ПО Безопасность Новости поставщиков Российское ПО
, Текст: Дмитрий Степанов

Positive Technologies объявляет о выходе коммерческой версии комплексного решения сетевой безопасности, предназначенного для анализа сетевого трафика и расследования инцидентов PT Network Attack Discovery (PT NAD). Продукт успешно прошел длительную апробацию в крупных инфраструктурных проектах, в том числе в системе «ГосСОПКА», и готов к промышленной эксплуатации.

В последние годы среднее время присутствия атакующих в корпоративных инфраструктурах увеличилось до трех лет и лишь 10% атак выявлялись самими жертвами. Это связано с растущим числом специфических и многоступенчатых угроз, для многих из которых отсутствуют сигнатуры и признаки аномалий. Чтобы предотвратить серьезный ущерб на ранней стадии атаки, ИБ-специалисту необходим доступ к сохраненному за долгое время «сырому» трафику для получения полной картины действий злоумышленников. Однако практика показывает, что трафик для расследования хранит лишь одна компания из десяти, а срок хранения, как правило, не превышает двух недель.

Система PT Network Attack Discovery позволяет вести захват «сырого» трафика со скоростью до 10 Гбит/с, обеспечивает хранение больших объемов данных, их обработку, индексацию и запись в файлы формата Pcap. При использовании внешних хранилищ в зависимости от бизнес-задачи данные могут храниться до нескольких месяцев (при необходимости до полугода и дольше).

Выявление атак, случившихся в прошлом, и распределенных во времени угроз реализуется в PT Network Attack Discovery посредством механизма ретроспективного анализа. Система позволяет отслеживать хронологию и векторы развития атак, а также проводить ретроспективный анализ не только по сохраненным с помощью PT Network Attack Discovery данным, но и по файлам с трафиком, загруженным из внешних источников.

В коммерческой версии системы появилась возможность разбора протоколов до уровня L7, что позволяет на лету извлекать и сохранять метаданные, характерные для каждого сетевого соединения: используемые приложения, значения полей протоколов, репутационные списки, IP-адреса, порты. Была также увеличена стабильность работы и скорость обработки трафика. При гигабитном потоке данных (1 Гбит/с) и двухнедельном времени хранения поиск по метаданным может занимать меньше минуты.

Для обнаружения замаскированной сетевой активности в PT Network Attack Discovery используется собственная база сигнатур, нацеленных на выявление удаленной эксплуатации уязвимостей, вредоносного ПО. В перечень сигнатур входят правила для обнаружения использования эксплойта EternalBlue (удаленное исполнение команд в системах на базе Windows), модулей Cobalt Strike (удаленное управление взломанными узлами), техники DCShadow (новый вид атак на Active Directory), уязвимостей в Cisco SMI и других угроз. База сигнатур постоянно пополняется: в настоящее время она состоит из более 3 тыс. правил, разработанных экспертами Positive Technologies.

«По нашим оценкам, в 2017 г. число жертв целевых атак увеличилось почти вдвое, — отметила Евгения Красавина, руководитель отдела продвижения и развития технологий Positive Technologies. — Атаки становятся сложнее: киберпреступники применяют средства антифорензики, вредоносное ПО все чаще имеет цифровые подписи, увеличилось число бесфайловых атак. До нескольких дней сократилось время между появлением уязвимости и принятием ее на вооружение злоумышленниками. Например, группировка Cobalt одной из первых получила доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 для создания файлов, эксплуатирующих уязвимость CVE-2017-0199. Все это требует от компаний использования более интеллектуальных средств выявления угроз, позволяющих повысить скорость выявления атак».

Система PT Network Attack Discovery уже используются в энергетической и телекоммуникационной отраслях, на транспорте, в банках, государственных организациях и СМИ. Так, в медиакорпорации России ВГТРК продукт обеспечивает выявление вредоносной активности в сетевом трафике и выполнение требований регуляторов — в частности, новых требований к операторам связи и интернет-проектам, предусмотренных Федеральным законом № 35-ФЗ «О противодействии терроризму».

В 2018 г. возможности PT Network Attack Discovery были продемонстрированы на международном форуме по практической безопасности Positive Hack Days 8. Продукт позволил наблюдать за вредоносной сетевой активностью в ходе соревнования The Standoff: хакерские команды со всего мира атаковали макет городской инфраструктуры. Только в отношении системы ДБО конкурсного банка с помощью PT Network Attack Discovery было выявлено 536 уникальных атак.

CNews100: Крупнейшие ИТ-компании России 2018

№ 2018 Название компании Совокупная выручка компании в 2018 г., c НДС, ₽тыс. Рост выручки 2018/2017
1 НКК 207 948 225 10%
2 Ланит 164 241 330 20%
3 Epam 115 255 716 36%
4 Softline 94 820 000 32%
5 51 400 000 20%
6 Лаборатория Касперского 45 404 040 12%

смотреть полный рейтинг

Крупнейшие ИТ-разработчики России 2018

№ 2018 Название компании Город (расположение центрального офиса) Выручка от продажи продуктов собственной разработки (АО, ПО, в том числе продукты, поставляемые по модели SaaS) в 2018 г., с НДС, ₽тыс.
1 Москва 51 400 000
2 Лаборатория Касперского Москва 45 404 040
3 ЦФТ (Центр Финансовых Технологий) Москва 16 445 791
4 СКБ Контур Екатеринбург 13 400 001
5 Nexign (Петер-Сервис) Санкт-Петербург 7 066 838

смотреть полный рейтинг