Сигнатурный движок PT NAD теперь обрабатывает трафик в три раза быстрее

Positive Technologies представила новую версию системы поведенческого анализа трафика PT Network Attack Discovery (PT NAD) — 12.2. Главное в релизе: централизованное управление и кардинальные изменения в сигнатурном движке PT NAD.

В PT NAD 12.2 обновлен сигнатурный движок правил, который теперь анализирует трафик в три раза быстрее. Это позволяет обрабатывать больший объем трафика, не увеличивая при этом аппаратные требования. Ускорение сигнатурного движка стало следующим шагом в постоянном процессе оптимизации производительности различных компонентов продукта.

Начиная с этого релиза PT NAD движется в сторону централизованного управления, чтобы упростить эксплуатацию продукта в больших географически распределенных инфраструктурах. Раньше в организациях с распределенной структурой оператору SOC необходимо было работать с несколькими независимыми инсталляциями. Сейчас центральная консоль объединяет данные всех дочерних площадок и оператор может работать с ними из единого окна. Это значительно сокращает время, которое эксперты SOC тратят на мониторинг, расследования и проактивный поиск угроз.

В PT NAD 12.2 уже доступна основная функциональность централизованного управления: просмотр в единой консоли ленты активности, узлов, сессий и дашбордов. Следующим шагом команда продукта добавит централизованную выгрузку PCAP-файлов[1], работу с исключениями и единое управление базой знаний.

«В PT NAD 12.2 нам удалось выйти на новый уровень зрелости системы, — рассказал Виктор Еременко, лидер продуктовой практики PT NAD в Positive Technologies. — Мы сосредоточились не только на повышении производительности, но и на оптимизации рабочего процесса пользователя. Начиная с этой версии продукта обеспечение кибербезопасности крупных организаций с распределенной инфраструктурой можно осуществлять централизованно: аналитика по всем консолям доступна в едином окне. Это позволяет сэкономить самый ценный ресурс работы специалиста по ИБ — время. А бизнесу открывает возможность масштабировать использование продукта во всех офисах компаний».

В новой версии PT NAD также добавлен модуль экспертизы, который профилирует соединения по управляющему протоколу WinRM[2]. Протокол часто используется злоумышленниками для горизонтального перемещения внутри инфраструктуры, а модуль позволяет обнаруживать целый класс атак с использованием протокола WinRM, например, Evil-WinRM.

Кроме того, PT NAD теперь обнаруживает и разбирает сообщения протокола HTTP/2, что позволяет в том числе выявлять атаки с его использованием. Опция является частью интеграции PT NAD с устройствами, обеспечивающими межсетевой захват трафика (MITM): NGFW или программным SSL splitter, например ArtX TLSproxy.

В релизе 12.2 обновление получил и механизм репутационных списков. У оператора появилась возможность задавать направление, в котором будут срабатывать отдельные списки. Это поможет операторам PT NAD точнее настраивать работу механизма и не обращать внимания на низкоприоритетные срабатывания индикаторов. Репутационные списки экспертного центра безопасности Positive Technologies (PT Expert Security Center) уже поставляются с этим параметром, что в сумме с общими улучшениями качества репутационных списков позволило в отдельных случаях сократить количество ложных срабатываний в пять раз.

Кроме того, начиная с версии PT NAD 12.2 оператор может видеть всю цепочку прикладных протоколов в сетевой сессии, что повышает прозрачность сети.

PT NAD 12.2 уже доступен для пользователей. Действующие пользователи могут обновить продукт через техническую поддержку или обратиться к партнерам Positive Technologies.