 |
| Как работает PT NAD |
Записано со слов пользователей:
- Позволил выявить внутренних злоумышленников (PT NAD видит 117 техник и тактик хакеров из базы MITRE ATT&CK)
- Позволил повысить экспертизу своих сотрудников, за счет постоянного контакта с экспертами мирового уровня
- Увидели пароли в открытом виде летающие по сети (это часто неверная настройка LDAP и HTTP)
- Увидели туннели (обычно их много, например, ICMP или DNS)
- Обнаружили утилиты удаленного управления
- Заработал asset control
- Снизили риски ИБ
- Снизили потери
- Узнали что мы взломаны
- Актуализировали угрозы (у PT NAD 7000 собственных правил выявления угроз)
- Узнали слабые точки в безопасности инфраструктуры
- Контролируем смежные подразделения
- Храним историю сетевых соединений
- Можем расследовать, а было ли это событие раньше
- Получили стабильный продукт и инструмент контроля здоровья ИТ системы
- Снизили ущерб и область распространения успешных кибератак
- Визуализировали, что творится в вашей сети в реальном времени
- Обнаружили и обнаруживаем проблемы с устройствами внутри сети
- Начали контролировать открывает ли кто-то наружу какие-то дырки
- Выявили бэкдоры, оставленные уволенными ИТшниками.
- Легко установили, работает из коробки
- Получили важный источник данных в расследовании цепочек действий злоумышленника
- У нас есть теперь "черный ящик": храним копию трафика, если взломали то можно увидеть как. Это позволяет соответствовать 196 приказу ФСБ. Сейчас НКЦКИ проверяет насколько хорошо выполняется этот приказ.
- Получили сертифицированный ФСТЭК продукт класса СОВ (IDS). Замечу, что PT NAD единственные у кого 7000 собственных сигнатур(правил)
- Отследили горизонтальное перемещение
- Позволил выявить майнеры.
- Позволил контролировать логины и пароли передающиеся в открытом виде в трафике
- Позволил реализовать threat hunting и поиск различных IoC в трафике для аналитиков SOC
- Позволили выявлять целевые атаки и вредоносный код в трафике, включая программы-вымогатели и майнеры
- Позволил начать контролировать действия администраторов в сети
- Позволил мониторить производительность сети и кто внутри сети ее нагружает
- Позволил удобно разбирать инциденты и для ИТ и для ИБ служб, поскольку стандартные утилиты wireshark и встроенные в роутеры не умеют также
- Позволил после взлома выявить какие машины заражены вредоносным ПО и выявить различные признаки компрометации
- Позволил контролировать трафик наравне с продуктом СОПКА и реагировать на запросы ФСБ заблокировать вредоносную активность, потому что СОПКА доступа к интерфейсу не дает.
- Позволил подменить экспертизу NGFW от ушедшего иностранного производителя
- DPI движок позволил собрать ИТ метрики.
- Позволил узнать кто из сотрудников переехал в другую страну, потому что NAD подсветил из какой страны они подключаются по VPN)
