Вышла новая версия анализатора поведенческого трафика PT Network Attack Discovery 11.1
Positive Technologies заявила о выпуске новой версии системы поведенческого анализа трафика для выявления атак на периметре и внутри сети — PT Network Attack Discovery (PT NAD) 11.1. По словам разработчиков, в новой версии появились статистические и поведенческие модули для обнаружения ранее неизвестных ICMP‑туннелей, аномалий в SMB‑трафике, признаков работы хакерских инструментов Cobalt Strike и Brute Ratel С4, а также модуль, подтверждающий успешную эксплуатацию уязвимостей на узлах. Об этом информационной службе Хабра рассказали в пресс‑службе ИБ‑компании.
В новом релизе помимо сигнатурных методов появились новые способы обнаружения угроз с помощью сложных алгоритмов, основанных на профилировании каждого устройства в сети, сборе данных и поиске отклонений. Команда разработки PT NAD переложила уникальную экспертизу по проактивному поиску угроз (threat hunting) в сетевом трафике в автоматические детекты.
Как утверждает руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексей Леднев, Positive Technologies планомерно расширяет возможности настройки решения под конкретную инфраструктуру, чтобы с большей точностью можно было обнаруживать аномалии и уникальные срабатывания, представляющие угрозу безопасности.
Для поддержки связи с компрометированной инфраструктурой злоумышленники устанавливают ICMP‑туннели (скрытые каналы передачи данных). Системы обнаружения, например фаерволы, пропускают такую активность. Системы поведенческого анализа изучают статистические данные ICMP‑пакетов и детектирует известные и новые утилиты, скрываемых атакующими, прячущимися в сети. Однако, чтобы оставаться незамеченными в инфраструктуре атакованной компании, киберпреступники шифруют SMB‑трафик и применяют вредоносное ПО с инструментами постэксплуатации, взаимодействующими с агентами по именованным каналам SMB (пайпам).
Поведенческие модули в новой версии PT NAD определяют шифрованный протокол SMB и появление новых SMB‑пайпов в трафике. Также она обнаруживает работу фреймворков Cobalt Strike и Brute Ratel C4, активно использующихся в целевых атаках. Эти фреймворки позволяют атакующим взаимодействовать со скомпрометированными узлами, выполнять на них команды и продвигаться внутри инфраструктуры. Для выявления вредоносной активности были разработаны проприетарные статистические модули, находящие коммуникацию агентов этих фреймворков постэксплуатации неизвестных конфигураций с управляющим сервером.
Ещё один модуль в новой версии решения создан для выявления успешных попыток эксплуатации уязвимостей. Он автоматически извлекает вредоносные индикаторы из сетевых запросов и проверяет обращения к ним после эксплуатации уязвимости на узле.
Из других нововведений в новой версии:
— изменён мастер настройки. Он помогает установить основные параметры работы PT NAD (сетевые интерфейсы, параметры захвата трафика, сроки хранения PCAP/ES и так далее).
— появился новый механизм исключений из ленты активностей. Оператор системы может из карточек одним кликом удалять срабатывания, типичные для его инфраструктуры;
— снижено количество ложноположительных срабатываний в каждой защищаемой инфраструктуре;
— появилась возможность создавать общие фильтры и делиться ими с командой;
— появилась проверка корректности захвата и обработки трафика.
— некоторые другие инженерные и UX-улучшения.
