Файл: Отечественные аналоги для обеспечения кибербезопасности.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.11.2023
Просмотров: 53
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
, записывает все действия в сети (в том числе — видит сетевой трафик на уровне сигнатур приложений), отслеживает отклонения от «нормального» поведения, обеспечивает хранение этих данных и способен делать выборки из них, включая анализ подозрительной активности. Решение содержит более ста различных алгоритмов обнаружения аномалий и поведения, что позволяет ему предупреждать администраторов ИБ о любых изменениях. Также Cisco Stealthwatch можно использовать в качестве инструмента постоянного аудита работоспособности традиционных защитных средств или для расследования путей распространения вредоносного кода и векторов атаки.
Решение PT Network Attack Discovery, далее по тексту PT NAD, создано отечественной компанией Positive Technologies, специализирующейся на разработке ПО и оказании сервисов в области кибербезопасности.
PT NAD представляет собой систему глубокого анализа сетевого трафика (NTA) для выявления атак на периметре сети и внутри неё.
PT NAD анализирует потоки данных на периметре и в инфраструктуре, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях. Также продукт способен выявить нарушения регламентов ИБ, сопоставить события с техниками и тактиками злоумышленников по матрице MITRE ATT&CK, оказать содействие при выстраивании процесса Threat Hunting (проактивного поиска угроз).
PT NAD определяет 70 сетевых протоколов и разбирает 30 наиболее распространённых из них на уровнях L2-L7. Система работает с зеркалированной копией трафика и поэтому не влияет на производительность сети.
На этот момент в базе знаний PT NAD — более 5 000 правил детектирования и 20 000 индикаторов компрометации. Новые правила и индикаторы дважды в неделю поступают от специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Продукт выявляет горизонтальное перемещение злоумышленника внутри периметра, активность вредоносных программ, попытки скрыть выполняемые действия от средств защиты, эксплуатацию уязвимостей и использование хакерского инструментария.
-
Positive Technologies Network Attack Discovery
Решение PT Network Attack Discovery, далее по тексту PT NAD, создано отечественной компанией Positive Technologies, специализирующейся на разработке ПО и оказании сервисов в области кибербезопасности.
PT NAD представляет собой систему глубокого анализа сетевого трафика (NTA) для выявления атак на периметре сети и внутри неё.
-
Основные функции системы
-
Видит активность злоумышленников даже в зашифрованном трафике, с помощью пассивного метода анализа через побочные каналы. Признаки вредоносной активности выявляются благодаря анализу длин пакетов и порядка их следования, которые затем сопоставляются с закономерностями, выявленными аналитиками при исследовании определённых инструментов. -
Выявляет модифицированные вредоносные программы. Одно правило срабатывает на целое семейство вредоносных образцов, с учётом модификации, повторной сборки и переупаковки. -
Хранит записи трафика. Это позволяет понять контекст атаки для её расследования, выстроить процесс проактивного поиска угроз (Threat Hunting), собрать доказательную базу. -
Выявляет отклонения от нормативных требований (нарушения сетевого комплаенса). Система обнаруживает использование протоколов удалённого администрирования, анонимайзеров и других стандартов обмена данными, которые могут являться нелегитимными в рамках политики безопасности конкретной организации. Также PT NAD отслеживает использование открытых протоколов (LDAP, HTTP, SMTP и т. п.) и отображает все учётные данные, которые передаются по ним. -
Помогает выполнить требования к защите информации, в том числе к безопасности объектов критической информационной инфраструктуры (Федеральный закон № 187-ФЗ).
-
Архитектура решения
-
Принцип работы
PT NAD анализирует потоки данных на периметре и в инфраструктуре, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях. Также продукт способен выявить нарушения регламентов ИБ, сопоставить события с техниками и тактиками злоумышленников по матрице MITRE ATT&CK, оказать содействие при выстраивании процесса Threat Hunting (проактивного поиска угроз).
PT NAD определяет 70 сетевых протоколов и разбирает 30 наиболее распространённых из них на уровнях L2-L7. Система работает с зеркалированной копией трафика и поэтому не влияет на производительность сети.
На этот момент в базе знаний PT NAD — более 5 000 правил детектирования и 20 000 индикаторов компрометации. Новые правила и индикаторы дважды в неделю поступают от специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Продукт выявляет горизонтальное перемещение злоумышленника внутри периметра, активность вредоносных программ, попытки скрыть выполняемые действия от средств защиты, эксплуатацию уязвимостей и использование хакерского инструментария.
-
Список использованной литературы:
-
https://www.gartner.com/en/documents/3902353 -
https://www.cisco.com/site/us/en/products/security/security-analytics/secure-network-analytics/index.html#accordion-6ebfc1a781-item-3265282a49 -
https://www.anti-malware.ru/interviews/2019-10-03/30947 -
https://www.anti-malware.ru/reviews/PT-Network-Attack-Discovery#part9 -
https://www.ptsecurity.com/ru-ru/services/esc/ -
https://www.tadviser.ru/index.php/ -