Сканер сети | Network Attack Discovery | PT | Softmart
support_agent Заказать
звонок

PT Network Attack Discovery

PT Network Attack Discovery

  • Описание

Positive Technologies Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети. PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.


  • Дает понимание того, что происходит в сети.
    PT NAD определяет 85 протоколов, разбирает до уровня L7 включительно 30 наиболее распространенных из них. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак.

  • Обнаруживает скрытые угрозы.
    Система автоматически обнаруживает попытки злоумышленников проникнуть в сеть и их присутствие в инфраструктуре по большому количеству признаков — от применения хакерского инструментария до передачи данных на серверы атакующих.

  • Повышает эффективность работы SOC.
    PT NAD дает SOC полную видимость сети, упрощает проверку успешности атаки, помогает восстановить ее хронологию и собрать доказательную базу. Для этого он хранит метаданные и сырой трафик, позволяет оперативно находить сессии и отбирать из них подозрительные, экспортировать и импортировать трафик.

Как работает

PT NAD захватывает и разбирает сетевой трафик на периметре и в инфраструктуре. Главное отличие решений класса NTA от других средств защиты, анализирующих сетевой трафик, в том, что они используют специальные технологии для обнаружения угроз внутри сети. PT NAD выявляет активность злоумышленника и на самых ранних этапах проникновения в сеть, и во время попыток закрепиться и развить атаку внутри сети.


PT NAD выявляет


  • Угрозы в зашифрованном трафике.
    Глубокая аналитика позволяет PT NAD с высокой точностью детектировать скрытые под TLS или кастомным протоколом вредоносные программы. Посмотрите запись вебинара, чтобы узнать подробнее, как нам это удается.

  • Горизонтальное перемещение злоумышленника.
    PT NAD обнаруживает попытки расширения присутствия злоумышленников в инфраструктуре, детектируя их действия: разведку, удаленное выполнение команд, атаки на Active Directory и Kerberos.

  • Хакерский инструментарий.
    Экспертный центр PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD, которые выявляют применение всех популярных хакерских инструментов.

  • Эксплуатацию уязвимостей в сети.
    Собственная база уязвимостей постоянно пополняется информацией о новых уязвимостях, в том числе о тех, которые еще не попали в базу данных CVE. Это позволяет PT NAD оперативно выявлять попытки их эксплуатации.

  • Активность вредоносного ПО.
    PT NAD выявляет вирусное ПО по его сетевой активности. Это важно для локализации угрозы, поскольку вредоносное ПО легко сделать незаметным для антивирусных систем, но скрыть его сетевую активность труднее.

  • Признаки атак, не обнаруженных ранее.
    Как только база знаний PT NAD пополняется данными о новых киберугрозах, выполняется ретроспективный анализ трафика. Это позволяет максимально быстро обнаружить скрытое присутствие злоумышленника.

  • Сокрытие активности от средств защиты.
    PT NAD детектирует DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты.

  • Автоматически сгенерированные домены.
    С помощью технологии машинного обучения PT NAD распознает доменные имена, созданные при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует подобные домены для поддержания связи с командным сервером.

  • Нарушения регламентов ИБ.
    PT NAD помогает отслеживать словарные пароли, передачу учетных данных в незашифрованном виде, использование VPN-туннелей, Tor, утилит для удаленного доступа, прокси, мессенджеров — всего того, что, как правило, запрещено политиками ИБ в крупных компаниях.
Видео тут