PT NAD — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети

Система знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.

Дает понимание, что происходит в сети

PT NAD определяет более 80 протоколов, разбирает до уровня L7 включительно 30 наиболее распространенных из них. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак.

Обнаруживает скрытые угрозы

Система автоматически обнаруживает попытки злоумышленников проникнуть в сеть и их присутствие в инфраструктуре по большому количеству признаков: от применение хакерского инструментария до передачи данных на сервера атакующих.

Повышает эффективность работы SOC

PT NAD дает SOC полную видимость сети, упрощает проверку успешности атаки, помогает восстановить ее хронологию и собрать доказательную базу. Для этого система хранит метаданные и сырой трафик, позволяет оперативно находить сессии и фильтровать подозрительные, экспортировать и импортировать трафик.

Архитектура и схема работы PT NAD

PT NAD захватывает и разбирает трафик на периметре и в инфраструктуре. Это позволяет выявлять активность злоумышленника и на самых ранних этапах проникновения в сеть, и во время попыток закрепиться и развить атаку внутри сети.

PT NAD выявляет

Горизонтальное перемещение злоумышленника: обнаруживает попытки расширения присутствия злоумышленников в инфраструктуре, детектируя их действия: разведку, удаленное выполнение команд, атаки на Acrive Directory и Kerberos.

Угрозы в зашифрованном трафике: глубокая аналитика позволяет PT NAD с высокой точностью детектировать скрытые под TLS или кастомным протоколом вредоносные программы.

Связь с автоматически сгенерированными доменами: с помощью технологии машинного обучения PT NAD распознает связь с доменными именами, созданными при помощи алгоритмов генерации доменов (DGA).

Нарушения регламентов ИБ: помогает отслеживать передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, TOR, утилит для удаленного доступа, прокси, мессенджеров — все то, что, как правило, запрещено политиками ИБ в крупных компаниях.

Хакерский инструментарий: экспертный центр PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD, которые выявляют применения всех популярных хакерских инструментов.

Собственная база уязвимостей постоянно пополняется информацией о новых уязвимостях, в том числе о тех, которые еще не попали в базу данных CVE. Это позволяет PT NAD оперативно выявлять попытки их эксплуатации.

Сокрытие активности от средств защиты: PT NAD детектирует DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты.

Признаки атак, не обнаруженных ранее: как только база знаний PT NAD пополняется данными о новых киберугрозах, автоматически запускается ретроспективный анализ трафика для проверки наличия угрозы в сети.

Активность вредоносного ПО: PT NAD выявляет вирусное ПО по его сетевой активности. Это важно для локализации угрозы, т.к. вредоносное ПО просто сделать незаметным для антивирусных систем, а скрыть его сетевую активность — более трудозатратно.

Сертификация ФСТЭК

Приказы ФСТЭК №17, №21: PT NAD относится к средствам защиты вида «система обнаружения вторжений уровня сети четвертого класса защиты», сертифицировано на соответствие профилю защиты «ИТ.СОВ.С4.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты» (сертификат соответствия №4042, действителен до 30.11.2023) и может применяться в ИСПДн всех уровней защищенности персональных данных.

Варианты поставки и модель лицензирования

Поставка: Hardware Appliance для развертывания на физическом сервере, производительность до 10 Гб/с. Virtual Appliance — для развертывания на виртуальной машине, производительность до 200 Мб/с.

Годовое лицензирование: базовая лицензия, по пропускной способности трафика. Инфраструктурные лицензии — ядро системы, сенсоры для разбора протоколов и анализа трафика (до 1000, 50000 и 10000 Мб/с).