06/06/25
Positive Technologies представила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) — 12.3. Главное в релизе — рост производительности PT NAD на 30%, расширенные возможности централизованного мониторинга распределенных инфраструктур, добавление «облака» как опции для хранения метаданных, а также плейбуков для быстрого и точного реагирования на инциденты.
Команда PT NAD продолжает движение в сторону упрощения работы специалиста по информационной безопасности с продуктом. Так, в PT NAD 12.3 расширились возможности центральной консоли по управлению данными дочерних систем. Теперь операторы центральной консоли могут скачивать дампы трафика и переданные файлы, управлять ролями узлов и переименовывать их. Появилась возможность отключать отслеживание и менять статус выявленных активностей. В течение года команда PT NAD планирует реализовать централизованное управление исключениями и базой знаний, что позволит значительно упростить работу по обнаружению атак и администрирование PT NAD в географически распределенных сетях.
В результате комплексных изменений производительность продукта выросла более чем на 30%[1]. Снижение требований к центральному процессору (CPU) на 30%, оперативной памяти (RAM) на 50% и SSD-хранилищу на 50% позволило уменьшить требования к «железу» для слабонагруженных систем PT NAD[2] практически в два раза.
«Мы продолжаем делать работу с PT NAD проще и удобнее, в том числе в больших географически распределенных инфраструктурах. Благодаря централизованной консоли специалисты по ИБ могут работать с данными всех дочерних площадок из единого окна. Это экономит экспертам и силы, и время, вместе с тем повышая скорость реагирования на инциденты, — прокомментировал Дмитрий Ефанов, руководитель продукта PT NAD в Positive Technologies. — В рамках развития работы с филиальными сетями и небольшим бизнесом мы увеличиваем производительность PT NAD в инфраструктурах, не требующих высокой скорости захвата трафика. Например, инсталляция со скоростью 1 Гбит/с потребляет теперь в 2 раза меньше ресурсов. Требования к „железу” стали ниже, а значит, компании смогут сократить затраты на покупку оборудования».
Пользователи обновленной версии PT NAD могут хранить метаданные локально (во встроенном хранилище) либо перенести их в публичное или частное «облако». Облачное хранение метаданных позволит бизнесу оптимизировать расходы — платить только за необходимые объемы хранилища без потери скорости и контроля и гибко управлять глубиной хранения, а также обеспечить возможность легкого масштабирования PT NAD вслед за увеличением контролируемой инфраструктуры без бюджета на капитальные затраты.
В PT NAD 12.3 появились и новые инструменты для повышения эффективности SOC: обновленные экспертные модули, репутационные списки, а главной экспертной фичей нового релиза стали плейбуки по реагированию — документы, описывающие алгоритм проверки и реагирования на срабатывания сигнатур PT NAD и карточек ленты активностей. В этих документах эксперты приводят подробное описание атаки и шаги по проверке срабатывания на примерах из практики. Благодаря плейбукам, оператор PT NAD сможет сократить время реагирования на хакерскую активность в то время, когда промедление может грозить наступлением недопустимых событий. Система теперь индексирует нестандартные поля заголовков HTTP-сообщений, что расширяет возможности специалистов по информационной безопасности при проведении комплексного анализа во время расследования инцидентов и проактивном поиске угроз.
Кроме того, улучшены возможности интеграции. За счет увеличения объема данных об атаке, отправляемых по протоколу syslog, расширены возможности интеграции PT NAD с SIEM-системами. Добавлена поддержка персональных токенов доступа PT MC[3], что значительно упрощает использование API PT NAD, в том числе из пользовательских скриптов.
[1] Согласно внутренним тестам команды PT NAD.
2 Для инсталляций PT NAD 200/500/1000 и 2000 Мбит/c.
