Positive Technologies объявила о выпуске новой версии своей системы поведенческого анализа сетевого трафика — PT Network Attack Discovery 12. Эта система использует профилирование для обнаружения аномалий, может анализировать шифрованный трафик, а также автоматически обновляет экспертные модули без необходимости установки дистрибутива. Кроме того, она поддерживает такие операционные системы, как Debian 11 и Astra Linux версий 1.7.4 и 1.7.5.
Ключевые особенности PT Network Attack Discovery 12 включают внедрение технологий машинного обучения для создания пользовательских правил профилирования и обнаружения приложений в зашифрованном трафике. Операторы систем обеспечения безопасности (SOC) теперь могут создавать свои собственные уникальные правила профилирования, которые обучаются на основе характерного трафика и выявляют аномалии, представляющие интерес для оператора. Это позволяет профилировать трафик по различным метрикам и произвольным фильтрам, предоставляя широкие возможности для настройки продукта в соответствии с конкретными задачами.
«Мы дали аналитику SOC механизм, с помощью которого он может выстроить алгоритмы обнаружения аномалий в трафике, — комментирует Кирилл Шипулин, руководитель группы обнаружения атак в сети, экспертный центр безопасности Positive Technologies. — Теперь PT NAD детектирует ранее не обнаруживаемые техники и тактики злоумышленников, любые узконаправленные кейсы из инструментария хакеров, например, эксфильтрацию данных на облачные сервисы, такие как Dropbox и «Яндекс Диск», или всплеск количества RDP-сессий в серверном сегменте».
PT NAD теперь может использовать алгоритмы машинного обучения для анализа зашифрованных соединений и обнаружения приложений внутри них, что может быть полезно в тех случаях, когда традиционные методы сигнатурного анализа или анализа полей протоколов не дают результатов. Например, уже реализована функциональность для обнаружения протокола мессенджера Telegram, в дальнейшем механизм будет добавлен для обнаружения других замаскированных протоколов и приложений.
Процесс доставки экспертных модулей в PT NAD 12 был изменен, и теперь они обновляются автоматически. Обновления приходят вместе с новыми правилами и индикаторами компрометации (IoC), получаемыми от PT Expert Security Center. Это позволяет пользователям получать обновления алгоритмов детектирования атак в режиме реального времени, обеспечивая более высокий уровень безопасности.
PT NAD теперь поддерживает операционные системы Debian 11 и последние версии Astra Linux — 1.7.4 и 1.7.5. Продукт также получил новый инсталлятор в форме установочного диска (ISO-образа), который позволяет установить PT NAD 12 и Debian 11 одновременно.
Источник securitylab
