Вышла новая версия Network Traffic Analysis от Positive Technologies

Одно из главных изменений в системе глубокого анализа сетевого трафика PT Network Attack Discovery 11 (PT NAD 11) – это новые механизмы обнаружения атак на периметре и внутри сети, которые помогают выявлять на 20% больше киберугроз. Также новый релиз продукта стал более прост в установке и совместим с отечественной операционной системой Astra Linux.

Возможность установки PT NAD 11 на российской операционной системе Astra Linux позволит использовать NTA-инструмент организациям с обязательствами по импортозамещению, например, в рамках требований Указа Президента РФ № 166.

Также в систему добавлен инсталлятор, который упрощает установку и не требует доступа в интернет. Это дает возможность компаниям из разных отраслей установить систему, не нарушая внутреннюю политику безопасности. Вместе с инсталлятором в новой версии PT NAD разворачивается и средство мониторинга, которое позволяет следить за состоянием системы. Здесь видны сведения о состоянии системы, нагрузка на процессор, поток подаваемого трафика и пр. Виджеты с параметрами состояния системы можно удобно настроить «под себя».

Кроме того, в 11 версию добавлены новые механизмы обнаружения атак. Теперь система может обнаруживать активность вредоносного ПО, нарушение политик, аномальное поведение (новые узлы, DNS туннели, аномальные LDAP-запросы и пр.) и использование хакерского инструментария (Kali, Burp Suite, Nmap). По заявлению разработчиков, такое новшество позволит выявлять на 20% больше угроз.

«Positive Technologies идет в ногу со временем, адаптируется под современные реалии и пожелания инженеров, которые внедряют систему PT NAD. Поэтому в новой версии появились - и возможность установки на Astra Linux, и инсталлятор, и новые механизмы обнаружения атак. Это все очень важные функциональные моменты, которое точно положительно оценят заказчики», - комментирует Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT.

В 11 версии PT NAD также появился локальный сервер обновления, который позволяет обновить базы знаний и функциональность самой системы без доступа в интернет. Эта возможность будет полезна для организаций с закрытым контуром сети, например, для тех, кто обрабатывает информацию, содержащую государственную тайну.

Начиная с версии 11 события из ленты активностей PT NAD стало возможным просматривать в интерфейсе MaxPatrol SIEM. Для компаний, которые используют SIEM-решения от других производителей, были доработаны механизмы интеграции с помощью syslog, webhook и ряд других. Благодаря этим механизмам можно настроить передачу срабатываний репутационных списков, правил и событий из ленты активностей в SIEM. При этом сами уведомления в ленте активностей стали более информативны. Теперь оператор получает больше данных об активностях: например, в оповещении, помимо детекта трафика по определенному фильтру, указываются узлы, на которых этот трафик возник, и клиенты-серверы.

И наконец, для удобства аналитики в системе оптимизировали обработку и хранение данных «шумящего» протокола DNS. Для этого часть запросов между сетевыми устройствами в рамках сессии по этому протоколу агрегировали между собой, убрав неинформативные. Подобная агрегация запросов проведена и для SMB, сетевого протокола для доступа к файлам.

Решения класса NTA довольно популярны на российском рынке и по статистике iTPROTECT входят в топ-7 самых востребованных средств защиты сети по итогам 2021 года. При этом система NAD от Positive Technologies – одна из самых популярных на российском рынке. Версия PT NAD 11 будет доступна для пользователей с 15 ноября, однако пилотирование системы можно спланировать уже сейчас. Если хотите провести пилот или узнать больше о возможностях PT NAD 11 – оставьте заявку.