PT NAD

Полная система анализа сетевого трафика, предназначенная для выявления атак на всех уровнях сети и анализа аномальных действий с использованием машинного обучения (ML), способная функционировать в качестве сенсора для любых SOC.

PT Network Attack Detection (PT NAD) — это система анализа сетевого трафика (NTA), предназначенная для мониторинга вредоносной активности на периметре и внутри сети. Этот мощный инструмент может обнаруживать вредоносные действия даже в зашифрованном трафике. PT NAD знает, что искать в вашей корпоративной сети.

Полная видимость сети
PT NAD распознаёт более 100 протоколов и 9 туннельных протоколов, а также анализирует 35 распространённых протоколов до уровня 17. Анализируя более 1 200 параметров протоколов, PT NAD строит модели сетевых узлов. Это обеспечивает ясное представление о состоянии инфраструктуры и помогает выявлять уязвимости, которые могут ослабить безопасность и способствовать развитию атак.

PT NAD контролирует все хосты сети, минимизирует использование неконтролируемых компонентов инфраструктуры и снижает риск взлома компании через такие элементы.

Система автоматически выявляет попытки вторжений и присутствие злоумышленников в инфраструктуре с использованием различных индикаторов, включая применяемые инструменты и данные, передаваемые на серверы атакующих.

Интеграция с SIEM
PT NAD является незаменимым источником данных для решений SIEM. Система сохраняет метаданные и сырой трафик, что позволяет быстро выявлять и анализировать подозрительные сессии, а также экспортировать и импортировать трафик. Предоставляя полное видение сети SOC, PT NAD упрощает оценку успешности атак, отслеживание цепочек атак и сбор доказательств.

 

Сценарии применения

PT NAD – Контроль соблюдения политик безопасности и обнаружение угроз

Контроль соблюдения политик безопасности
PT NAD выявляет проблемы конфигурации и нарушения политик безопасности, которые могут служить каналами для проникновения злоумышленников. Примеры включают: учетные данные, передаваемые в открытом виде, слабые пароли, инструменты удаленного доступа и программы, скрывающие сетевую активность.

Обнаружение атак во внешней и внутренней инфраструктуре
Благодаря встроенным модулям глубокого анализа, специализированным правилам выявления угроз, индикаторам компрометации (IoC) и аналитике ретроспективного анализа, PT NAD способен обнаруживать атаки как на ранних стадиях, так и после проникновения злоумышленников и возникновения сетевых аномалий.

Расследование атак
Эксперты по информационной безопасности могут локализовать атаку, отслеживать цепочку атаки, выявлять уязвимости инфраструктуры и предпринимать контрмеры для предотвращения будущих инцидентов.

Охота за угрозами (Threat Hunting)
PT NAD помогает организовать операции по охоте за угрозами в компании, проверять гипотезы о присутствии хакеров в сети и выявлять скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности.

PT NAD обнаруживает:

  • Угрозы в зашифрованном трафике

  • Использование инструментов злоумышленников, включая кастомизированные программы

  • Латеральное перемещение атакующих в сети

  • Сетевые аномалии, возникающие как на ранних стадиях, так и после проникновения

  • Зараженные хосты в сети

  • Атаки на контроллеры домена

  • Индикаторы ранее не выявленных атак

  • Эксплуатацию существующих уязвимостей в сети

  • Признаки вредоносной активности, скрытой от стандартных средств безопасности

Как работает PT NAD

PT NAD – Глубокий анализ сетевого трафика

PT NAD выполняет глубокий анализ (DPI, Deep Packet Inspection) сетевого трафика во внешней среде и внутри инфраструктуры, записывая и исследуя пакеты. Источниками трафика могут быть TAP-устройства, пакетные сети и активное сетевое оборудование. Анализируя копию сетевого трафика с использованием статистических и поведенческих модулей, PT NAD выявляет хакерскую активность как на ранних стадиях проникновения в сеть, так и при попытках злоумышленников закрепиться и продолжить атаку.

PT NAD сохраняет копию сырого трафика и использует её для генерации метаданных для ретроспективного анализа. После обновления правил выявления угроз и индикаторов компрометации (IoC) от Центра безопасности PT Expert, PT NAD автоматически проверяет собранные данные трафика и уведомляет аналитиков SOC о скрытом присутствии злоумышленников в сети.

Объединяя несколько механизмов для выявления сложных угроз, PT NAD предоставляет полное представление о сети компании, обнаруживает подозрительные соединения и сетевые аномалии, а также способствует соблюдению требований информационной безопасности.