четверг, 29 декабря 2022 г.

Защита множества заказчиков - мой результат года

Приносить пользу миру можно по-разному. И мой личный выбор - защищать компании от угроз.

В этом году моим новым направлением стал еще один продукт по сетевой безопасности. Тема анализа аномалий меня интересовала всегда. Задумайтесь, как отличить сотрудника от хакера, работающего под аккаунтом этого сотрудника? Никак? Или по поведению? ) Нужна серьезная аналитика и здесь я вижу ценной работу нашей группы Machine Learning. За ML будущее в любой отрасли.

Самым важным в любом продукте по информационной безопасности является наличие сильной экспертизы и реального опыта разбора инцидентов. Мне посчастливилось познакомиться с морем экспертов. Ребята ежедневно выезжают на разбор инцидентов в разных компаниях и также занимаются пентестами: проверяют насколько хорошо защищены компании, их сотрудники и их сети. И вот эти люди как раз и приносят нашим разработчикам информацию с полей битвы: а как же обнаружить злоумышленника в сети. Мы два раза в неделю эти новые правила обнаружений отправляем нашим заказчикам. И так видим то, что пропускают другие!

И да, я не смогу без рекламы ) Потому что результат меня впечатляет! Сегодня мой продукт обнаруживает 117 техник и тактик хакеров по матрице MITRE ATT&ACK, программисты и исследователи реализовали пожалуй, уже 50 различных движков выявления угроз по сетевому трафику, не говоря уже о 7000 сигнатур и правил которые постоянно приходят от команды экспертов компании Positive Technologies. В общем все о чем вы слышали: Deep Packet Inspection(DPI), Network Forensic Tool (NFT), Indicator of Compromise(IoC),  песочница, правила для реализации Intrusion Detection System и Indicator of Attack (IoA), DNS и ICMP туннели, DGA домены, LDAP аномалии, медленные сканирование, обнаружение хакерских утилит и майнеров - все о чем вы слышали на презентациях последних лет обнаруживается этим решением при анализе потока трафика. 

Из-за такой широкой функциональности множество компаний стали использовать этот продукт и пожалуй самым важным завершением года - была наша конференция, на которой мы ответили на вопросы, пригласили реально пользующихся продуктом заказчиков, рассказали как работает Expert Security Center (ESC), чтобы продукт ежедневно получал новую информацию о новых угрозах в мире.

Из уникальных его фишек - мы пишем весь трафик в сети, что удобно для расследования инцидентов. Определяем не просто приложения, а все их поля, что ценят те, кому надо найти где спрятался в сети хакер. И важно, что мы умеем определять атаки даже по зашифрованному трафику.

А давайте я дам ссылку сразу на сессию вопросов и ответов!

Вот такие вопросы были:
  • Где лучше расположить PT NAD архитектурно?
  • В чем преимущество PT NAD перед SIEM?
  • В чем отличие PT NAD от IDS?
  • Каким образом может анализировать зашифрованный трафик?
  • Как реагирует PT NAD на майнинг в сети?
  • Какие сделаны оптимизации в продукте для уменьшения требований к железу?
  • Поменялась ли архитектура на контейнерную?
  • Появилась ли кнопка "распечатать для начальника" в ленте активности? 
  • Можно ли установить захват трафика на виртуализацию?
  • Как PT NAD отправляет файлы в песочницу?
  • Почему интеграция с песочницей Позитива более эффективна?
  • Какие сигнатуры используются для обнаружения DC Sync и DC Shadow?
  • Можно ли использовать правила yara?

А вот тут ответы:

https://youtu.be/G4o6DtoD9hc?t=4124

Вообще в программе трансляции было:

  • Как мы понимаем задачи Network Traffic Analysis. Зачем нужны системы NTA
  • Какие задачи помогает решить система анализа трафика PT NAD
  • Почему заказчики выбирают PT NAD: цели, кейсы, результаты
  • PT NAD 11. Новые возможности
Рекомендую посмотреть!
Всем счастливого нового года!

Полный функционал