PT Network Attack Discovery

PT Network Attack Discovery (PT NAD) – система поведенческого анализа сетевого трафика для обнаружения скрытых кибератак. Точно выявляет действия злоумышленников в сети, упрощает расследование инцидентов и помогает в проактивном поиске угроз.

Основные функции:

• Обнаружение атак: Упрощает расследование инцидентов и показывает слабые точки в сети.
• Расследование инцидентов: Автоматически обнаруживает попытки злоумышленника проникнуть в сеть и его присутствие в инфраструктуре.
• Проактивный поиск угроз (threat hunting): Помогает проверять гипотезы и выявлять скрытые угрозы, которые не видят другие средства защиты информации.

Что выявляет PT NAD?

Угрозы в зашифрованном трафике

• Глубокий анализ позволяет с высокой точностью обнаруживать вредоносные программы скрытые под самописными протоколами.

Перемещение злоумышленника внутри периметра

• PT NAD обнаруживает попытки злоумышленников расширить присутствие в инфраструктуре, провести разведку, удаленно выполнить команды, атаковать Active Directory и Kerberos.

Незаменим для специалистов SOC

• PT ESC расследует сложные аттаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD.

Эксплуатацию уязвимостей в сети

• База знаний Positive Technologies регулярно пополняется информацией о новых уязвимостях, в том числе о тех, которым ещё не присвоены CVE, а PT NAD может оперативно выявить попытки их эксплуатации.

Активность вредоносного ПО

• PT NAD определяет ВПО по его сетевой активности. Это важно для локализации угрозы, поскольку ВПО легко сделать незаметным для антивирусных систем.

Признаки атак, не обнаруженных ранее

• Как только в базе знаний PT NAD появляются данные о новых киберугрозах, запускается ретроспективный анализ трафика. Обнаружить скрытое присутствие злоумышленника можно максимально быстро.

Сокрытие активности от средств защиты

• PT NAD определяет более 100 сетевых протоколов и 9 протоколов туннелирования, включая DNS-, HTTP-, SMTP-, и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты. Продукт разбирает 35 самых распространённых протоколов до уровня L7.

Автоматически сгенерированные домены

• С помощью технологий машинного обучения PT NAD распознает доменные имена, созданные при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует подобные домены для поддержания связи с командным сервером.

Нарушения регламентов ИБ

• PT NAD помогает отслеживать словарные пароли, передачу учётных данных в незашифрованном виде, использование VPN-туннелей, Tor, прокси-серверов, утилит для удалённого доступа, мессенджеров – всего того, что, как правило, запрещено политикой ИБ в крупных компаниях.