Пользователи PT NAD смогут видеть данные обо всех выявленных угрозах в единой ленте

Positive Technologies выпустила очередную версию системы глубокого анализа трафика PT Network Attack Discovery (10.1). Она позволяет выявлять атаки с использованием новых модулей аналитики, собирать актуальную информацию о сетевых узлах и централизованно узнавать об обнаруженных угрозах в одной ленте.

Чтобы пользователь своевременно узнавал о новых атаках и угрозах, в PT NAD появился новый раздел — лента активностей. Лента собирает в одном месте список выявленных угроз, объединяет сообщения об аналогичных активностях в одно и дает возможность управлять ими. Можно отметить устранение проблемы или больше не отслеживать подобную активность.

У каждой активности в ленте указана дата и время последнего обнаружения, уровень опасности, период активности, краткое описание

В версии PT NAD 10.1 в ленте появляются сообщения, когда:

· пользователи в сети используют словарные пароли;

· во время ретроспективного анализа сработали индикаторы компрометации;

· в сети появился неизвестный DHCP-сервер1, который может быть поддельным (с его помощью атакующие могут перехватывать трафик для получения учетных данных пользователей);

· срабатывают условия фильтрации трафика, которые заранее задал пользователь.

Таким образом можно получать уведомления о любой интересующей активности в сети, например о подключениях к определенным фишинговым доменам, передаче больших объемов информации с серверов базы данных, о действиях конкретных пользователей.

«PT NAD изначально создавался как инструмент для специалистов по расследованиям, — комментирует Дмитрий Ефанов, руководитель разработки PT Network Attack Discovery. — Лента активностей — еще один важный шаг на пути упрощения продукта. Она фокусирует внимание аналитика на важных угрозах и помогает отслеживать реагирование на них».

В новую версию PT NAD добавлены модули глубокой аналитики трафика, которые позволяют выявлять сложные угрозы. Они учитывают множество параметров поведения атакующих и не привязаны к анализу отдельных сессий, в отличие от правил детектирования атак. С помощью модулей продукт автоматически обнаруживает аномальные LDAP-запросы2. Такие запросы могут быть использованы злоумышленниками во время проведения разведки для сбора информации о домене: о пользователях, их группах, сетевых узлах, паролях.

Пример карточки атаки с выявленным аномальным LDAP-запросом

С помощью новых механизмов детектирования продукт также выявляет использование словарных паролей и неизвестные DHCP-сервера. Информация о таких событиях попадает в ленту активностей.

В следующей версии PT NAD модули аналитики будут использоваться для выявления еще 30 видов угроз.