Комплексное решение PT Anti-APT компании Positive Technologies предназначено для выявления и предотвращения целевых атак. Оно позволяет максимально быстро обнаружить присутствие злоумышленника в сети и воссоздать полную картину атаки для детального расследования.
Состав решения
PT Network Attack Discovery — система глубокого анализа сетевого трафика (NTA). Дает понимание происходящего в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях. PT Sandbox — песочница с возможностью гибкой кастомизации виртуальных сред. Позволяет защититься от целевых и массовых атак с применением современного вредоносного ПО и угроз нулевого дня, обнаруживает угрозы как в файлах, так и в трафике.
Результаты использования
Раннее выявление атак, сокращение времени скрытого присутствия угрозы PT Anti-APT выявляет опасную активность на периметре и внутри сети, сокращая до минимума время присутствия злоумышленника в инфраструктуре. Благодаря регулярному ретроспективному анализу, решение также обнаруживает атаки, которые не были выявлены в прошлом.
Эффективное расследование инцидентов ИБ Решение предоставляет всю необходимую для эффективного расследования информацию и дает глубокое понимание контекста атаки. Оно может хранить 1200 параметров сессий без ограничений по времени и позволяет обнаружить точки входа вредоносных файлов в инфраструктуру, отследить участников и все этапы распространения угрозы. Благодаря этому гарантируется успешность расследования, обеспечивается его быстрота и, как следствие, низкая стоимость.
Выполнение требований регулирующих органов Решение позволяет выполнять требования законодательства, помогает соответствовать требованиям по защите КИИ, персональных данных, информации в ГИС, в АСУ ТП и в информационных системах общего пользования.
Преимущества
Выявляет атаки как на периметре, так и внутри сети;
Обнаруживает применение хакерских инструментов, нарушение политик безопасности, эксплуатацию уязвимостей ПО, перемещение внутри инфраструктуры, эксфильтрацию данных и другие злонамеренные активности;
Выявляет продвинутое вредоносное ПО, даже если оно разработано специально под инфраструктуру компании;
Автоматически выявляет не обнаруженные ранее факты взлома инфраструктуры;
Расширяет возможности по расследованию атак благодаря экспертизе Positive Technologies.
Вопрос-ответ
Какие цели применения комплекса PT Anti-APT?
Цели применения комплекса: – предотвратить проникновение в инфраструктуру через основные векторы атак; – максимально быстро выявлять присутствие злоумышленника в сети; – повысить эффективность расследований благодаря возможности детально восстановить путь перемещения злоумышленника в сети; – выявлять слабые места защиты и получать экспертные рекомендации для повышения уровня защищенности.
Из каких компонентов состоит PT Anti-APT?
PT Anti-APT — это комплекс, объединяющий два компонента: - Система обнаружения и предотвращения вторжений «Positive Technologies Network Attack Discovery» (далее также - PT NAD ) для анализа трафика и выявления атак на периметре и внутри инфраструктуры; - Система многопоточной проверки файловых ресурсов Positive Technologies MultiScanner (далее также — PT MS) для комплексного анализа файлов, передаваемых в почтовом, сетевом и веб-трафике.
Как работает PT Anti-APT?
Алгоритм работы PT Anti-APT:
1. Комплекс анализирует зеркалируемый сетевой трафик и файлы на наличие признаков атак и вредоносного ПО. Комплекс анализирует файлы в следующих каналах: • пользовательском, • веб-канале; Архитектура PT Anti-APT 6 • почтовом; • каналах передачи файлов на хранилища. 2. По результатам анализа данные о выявленных атаках и образцах вредоносного ПО передаются команде ИБ организации. Информация может передаваться следующими способами: • уведомление на почту, • уведомление в веб-интерфейсе, • зафиксированное событие информационной безопасности, передаваемое в SIEM-систему для дальнейшей корреляции. 3. На основе переданных данных команда ИБ организации проводит дальнейшей анализ, чтобы определить ложное срабатывание или подтвердить и расследовать инцидент. 4. Команда PT Expert Security Center дополняет команду ИБ или полностью берет на себя задачи по мониторингу сетевого трафика и объектов и расследованию атак. Эксперты раз в две недели подключаются к комплексу: • для восстановления хронологии атаки, • оценки нанесенного ущерба, • выявления уязвимых мест в инфраструктуре, • формирования компенсирующих мер для предотвращения аналогичных атак, • сбора доказательной базы.
Какие задачи в рамках анализа сетевого трафика выполняет PT Anti-APT?
В рамках анализа сетевого трафика комплекс выполняет следующие задачи:
глубоко разбирает протоколы до уровня приложений; – реконструирует сетевые сессии вне зависимости от наличия или отсутствия атаки;
извлекает параметры сессии
IP-адреса и значения полей протоколов, репутацию передаваемых объектов, задействованные порты, приложения и другое;
обнаруживает атаки и признаки компрометации с использованием различных технологий выявления;
извлекает файлы, передаваемых в сетевом трафике;
позволяет при необходимости хранить сырой трафик всей сессии, вне зависимости от наличия или отсутствия атаки;
позволяет проводить ретроспективный анализ трафика на наличие атак в прошлом.
Какие задачи в рамках анализа передаваемых файлов выполняет PT Anti-APT?
В рамках анализа передаваемых файлов комплекс выполняет следующие задачи:
выявляет и блокирует вредоносное содержимое;
осуществляет проверку на наличие вредоносного ПО с использованием баз знаний антивирусных вендоров;
проверяет файлы с использованием репутационных списков;
проводит динамический анализ в песочнице;
формирует граф поведения анализируемых объектов;
сохраняет все события, сгенерированные в ходе динамического анализа;
проводит ретроспективный анализ для выявления вредоносного ПО в прошлом.
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
