Приносить пользу миру можно по-разному. И мой личный выбор - защищать компании в России от угроз.
В этом году моим новым направлением стал еще один продукт по сетевой безопасности. Тема анализа аномалий меня интересовала всегда. Задумайтесь, как отличить сотрудника от хакера , работающего под аккаунтом этого сотрудника? Никак? Или по поведению? ) Нужна серьезная аналитика и здесь я вижу ценной работу нашей группы Machine Learning. За ML будущее в любой отрасли.
Самым важным в любом продукте по информационной безопасности является наличие сильной экспертизы и реального опыта разбора инцидентов. Мне посчастливилось познакомиться с морем экспертов. Ребята ежедневно выезжают на разбор инцидентов в разных компаниях и также занимаются пентестами: проверяют насколько хорошо защищены компании, их сотрудники и их сети. И вот эти люди как раз и приносят нашим разработчикам информацию с полей битвы: а как же обнаружить злоумышленника в сети. Мы два раза в неделю эти новые правила обнаружений отправляем нашим заказчикам. И так видим то, что пропускают другие!
И да, я не смогу без рекламы ) Потому что результат меня впечатляет! Сегодня мой продукт обнаруживает 117 техник и тактик хакеров по матрице MITRE ATT&ACK , программисты и исследователи реализовали пожалуй, уже 50 различных движков выявления угроз по сетевому трафику, не говоря уже о 7000 сигнатур и правил которые постоянно приходят от команды экспертов компании Positive Technologies. В общем все о чем вы слышали: Deep Packet Inspection(DPI), Network Forensic Tool (NFT), Indicator of Compromise(IoC), песочница, правила для реализации Intrusion Detection System и Indicator of Attack (IoA), DNS и ICMP туннели, DGA домены, LDAP аномалии, медленные сканирование, обнаружение хакерских утилит и майнеров - все о чем вы слышали на презентациях последних лет обнаруживается этим решением при анализе потока трафика.
Из-за такой широкой функциональности множество компаний стали использовать этот продукт и пожалуй самым важным завершением года - была наша конференция, на которой мы ответили на вопросы, пригласили реально пользующихся продуктом заказчиков, рассказали как работает Expert Security Center (ESC), чтобы продукт ежедневно получал новую информацию о новых угрозах в мире.
Из уникальных его фишек - мы пишем весь трафик в сети, что удобно для расследования инцидентов. Определяем не просто приложения, а все их поля, что ценят те, кому надо найти где спрятался в сети хакер. И важно, что мы умеем определять атаки даже по зашифрованному трафику.
А давайте я дам ссылку сразу на сессию вопросов и ответов!
Вот такие вопросы были:
- Где лучше расположить PT NAD архитектурно?
- В чем преимущество PT NAD перед SIEM ?
- В чем отличие PT NAD от IDS?
- Каким образом может анализировать зашифрованный трафик?
- Как реагирует PT NAD на майнинг в сети?
- Какие сделаны оптимизации в продукте для уменьшения требований к железу?
- Поменялась ли архитектура на контейнерную?
- Появилась ли кнопка "распечатать для начальника" в ленте активности?
- Можно ли установить захват трафика на виртуализацию?
- Как PT NAD отправляет файлы в песочницу?
- Почему интеграция с песочницей Позитива более эффективна?
- Какие сигнатуры используются для обнаружения DC Sync и DC Shadow?
- Можно ли использовать правила yara?
А вот тут ответы:
https://youtu.be/G4o6DtoD9hc?t=4124
Вообще в программе трансляции было:
- Как мы понимаем задачи Network Traffic Analysis. Зачем нужны системы NTA
- Какие задачи помогает решить система анализа трафика PT NAD
- Почему заказчики выбирают PT NAD: цели, кейсы, результаты
- PT NAD 11. Новые возможности
Рекомендую посмотреть!
Всем счастливого нового года!
Полный функционал
Всем счастливого нового года!
Полный функционал
