Обновлённый PT Network Attack Discovery с технологиями ML задаёт новые стандарты для российского рынка NTA

Positive Technologies анонсировала выпуск новой версии системы поведенческого анализа сетевого трафика — PT Network Attack Discovery 12 . Основные особенности продукта: обнаружение аномалий с помощью профилирования, анализ шифрованного трафика, автоматическое обновление экспертных модулей без дистрибутива, поддержка Debian 11 и Astra Linux 1.7.4 и 1.7.5

Ключевые особенности PT Network Attack Discovery 12 связаны с внедрением технологий машинного обучения (machine learning, ML) для создания пользовательских правил профилирования и обнаружения приложений в зашифрованном трафике. В прошлых версиях интерфейса PT NAD предоставлялась возможность настройки уведомлений по пользовательским фильтрам, а также работать с отдельными модулями, которые выявляют частные случаи аномалий, например аномальные LDAP-запросы, медленные сканирования, успешную эксплуатацию уязвимостей, kerberoasting. Теперь операторы SOC могут создавать собственные уникальные правила профилирования, которые, используя алгоритмы машинного обучения, будут обучаться на характерном трафике и выявлять аномалии, интересующие именно оператора. Профилировать трафик можно по разным метрикам (количество соединений, объем трафика и так далее) и по произвольным фильтрам, что дает широкие возможности настройки продукта под свои задачи.

«Мы дали аналитику SOC механизм, с помощью которого он может выстроить алгоритмы обнаружения аномалий в трафике, — комментирует Кирилл Шипулин, руководитель группы обнаружения атак в сети, экспертный центр безопасности Positive Technologies. — Теперь PT NAD детектирует ранее не обнаруживаемые техники и тактики злоумышленников, любые узконаправленные кейсы из инструментария хакеров, например, эксфильтрацию данных на облачные сервисы, такие как Dropbox и «Яндекс Диск», или всплеск количества RDP-сессий в серверном сегменте».

PT NAD также научился использовать алгоритмы машинного обучения для анализа шифрованных соединений и определения в них приложений, что особенно полезно, когда традиционные методы сигнатурного анализа или анализа полей протоколов неэффективны. В частности, функциональность уже реализована для детектирования протокола мессенджера Telegram. В последующем механизм будет добавлен и для детекта других замаскированных протоколов и приложений.

В PT NAD 12 изменился процесс доставки экспертных модулей. Теперь они обновляются автоматически вместе с новыми правилами и индикаторами компрометации (IoC) от PT Expert Security Center, что позволяет пользователям получать обновления алгоритмов детектирования атак практически мгновенно.

Начиная с новой версии PT NAD поддерживает операционные системы Debian 11 и последние версии Astra Linux — 1.7.4 и 1.7.5. Также в продукте появился еще один инсталлятор в виде инсталляционного диска (ISO-образа), с которого можно установить PT NAD 12 и Debian 11.