27.10.2021 | PT Network Attack Discovery выявляет еще 33 подозрительные сетевые активности |
Positive Technologies выпустила новый релиз системы анализа трафика PT Network Attack Discovery (PT NAD) 10.2, которая определяет типы и роли сетевых узлов в автоматическом режиме, обнаруживает атаки сканирования, флуда и DDoS и обрабатывает трафик без потерь со скоростью до 10 Гбит/с. Обнаружение новых угроз В PT NAD 10.2 в 9 раз увеличено число выявляемых подозрительных активностей — всего их сейчас 37. Все они выводятся в единой ленте [1], что помогает пользователям быстрее реагировать на обнаруженные угрозы. Лента собирает на одной странице угрозы, выявленные с помощью модулей аналитики (несигнатурный метод), и дает возможность управлять ими. Теперь пользователи PT NAD будут своевременно узнавать, когда:
Помимо этого, в ленте активностей продолжают отображаться пользовательские уведомления, сообщения о срабатывании индикаторов компрометации при ретроспективном анализе, случаи использования словарных паролей и информация о неизвестных DHCP-серверах. В PT NAD 10.2 встроен механизм обнаружения сканирования сети, флуда и DDoS-атак. Во время таких атак в сети компании создается много сессий. Вместо сохранения информации о каждом соединении по отдельности PT NAD теперь создает одну запись сессии и одну запись об атаке в ленте активностей, которые содержат агрегированные данные обо всем сеансе атаки. Такое объединение «бережет» систему: защищает от переполнения базы данных и повышает стабильность работы сенсора. Управление сетевыми узлами: роли и типы Чтобы специалисты по ИБ обладали полной информацией о том, какие узлы участвуют в сетевом взаимодействии и как сеть устроена в целом, PT NAD начал автоматически определять типы и роли узлов. Тип указывает на то, каким устройством является конкретный узел: сервером, принтером, мобильным устройством или рабочей станцией. Роль обозначает функцию, которую выполняет устройство. В версии 10.2 определяются 15 ролей, в числе которых DNS-сервер, VPN, контроллер домена, прокси-сервер, система мониторинга. Пользователь может вручную переназначить тип и роль устройства. «Знания о том, из чего состоит инфраструктура компании, необходимы, чтобы качественно защищать ее и точно выявлять в ней атаки, — комментирует Дмитрий Ефанов, руководитель разработки PT NAD Positive Technologies. — Эти сведения в PT NAD дают операторам безопасности понимание, какие в сети есть устройства и какие роли они выполняют, таким образом помогая проводить инвентаризацию сети». Захват и анализ трафика Начиная с этой версии PT NAD захватывает трафик в Linux с помощью механизма DPDK (библиотека Intel, обеспечивающая наиболее эффективный способ захвата трафика в Linux среди прочих механизмов), который обрабатывает его без потерь со скоростью в десятки гигабит в секунду. Для большей прозрачности внутреннего трафика в PT NAD 10.2 расширен список определяемых и разбираемых протоколов. Обновленная система теперь разбирает все существующие SQL-протоколы передачи данных: MySQL, PostgreSQL, Transparent Network Substrate компании Oracle и Tabular Data Stream (возможность его обнаружения была добавлена в предыдущем релизе). Еще PT NAD определяет протоколы системы Elasticsearch и печати PostScript — с помощью последнего взаимодействуют принтеры в корпоративной сети. Общее количество детектируемых протоколов достигло 86. Другие UX-улучшения Ряд изменений в PT NAD 10.2 направлен на повышение удобства работы с продуктом. Появилась возможность из интерфейса узнавать о текущем состоянии и сроке действия лицензии и самостоятельно добавить или поменять ее. Добавлена опция копирования ссылки на карточку определенной сессии или атаки, чтобы быстрее обмениваться информацией с другими пользователями. [1] Добавлена в релизе PT NAD 10.1 |
|
Проверить безопасность сайта
