вторник, 11 июля 2023 г.

Какие выгоды и результаты получили покупатели PT Network Attack Discovery

Как работает PT NAD

 
Записано со слов пользователей:

  1. Позволил выявить внутренних злоумышленников (PT NAD видит 117 техник и тактик хакеров из базы MITRE ATT&CK)
  2. Позволил повысить экспертизу своих сотрудников, за счет постоянного контакта с экспертами мирового уровня
  3. Увидели пароли в открытом виде летающие по сети (это часто неверная настройка LDAP и HTTP)
  4. Увидели туннели (обычно их много, например, ICMP или DNS)
  5. Обнаружили утилиты удаленного управления
  6. Заработал asset control
  7. Снизили риски ИБ
  8. Снизили потери
  9. Узнали что мы взломаны
  10. Актуализировали угрозы (у PT NAD 7000 собственных правил выявления угроз)
  11. Узнали слабые точки в безопасности инфраструктуры
  12. Контролируем смежные подразделения
  13. Храним историю сетевых соединений
  14. Можем расследовать, а было ли это событие раньше
  15. Получили стабильный продукт и инструмент контроля здоровья ИТ системы
  16. Снизили ущерб и область распространения успешных кибератак
  17. Визуализировали, что творится в вашей сети в реальном времени
  18. Обнаружили и обнаруживаем проблемы с устройствами внутри сети
  19. Начали контролировать открывает ли кто-то наружу какие-то дырки
  20. Выявили бэкдоры, оставленные уволенными ИТшниками.
  21. Легко установили, работает из коробки
  22. Получили важный источник данных в расследовании цепочек действий злоумышленника
  23. У нас есть теперь "черный ящик": храним копию трафика, если взломали то можно увидеть как. Это позволяет соответствовать 196 приказу ФСБ. Сейчас НКЦКИ проверяет насколько хорошо выполняется этот приказ.
  24. Получили сертифицированный ФСТЭК продукт класса СОВ (IDS). Замечу, что PT NAD единственные у кого 7000 собственных сигнатур(правил)
  25. Отследили горизонтальное перемещение
  26. Позволил выявить майнеры. 
  27. Позволил контролировать логины и пароли передающиеся в открытом виде в трафике
  28. Позволил реализовать threat hunting и поиск различных IoC в трафике для аналитиков SOC 
  29. Позволили выявлять целевые атаки и вредоносный код в трафике, включая программы-вымогатели и майнеры
  30. Позволил начать контролировать действия администраторов в сети
  31. Позволил мониторить производительность сети и кто внутри сети ее нагружает
  32. Позволил удобно разбирать инциденты и для ИТ и для ИБ служб, поскольку стандартные утилиты wireshark и встроенные в роутеры не умеют также
  33. Позволил после взлома выявить какие машины заражены вредоносным ПО и выявить различные признаки компрометации
  34. Позволил контролировать трафик наравне с продуктом СОПКА и реагировать на запросы ФСБ заблокировать вредоносную активность, потому что СОПКА доступа к интерфейсу не дает.
  35. Позволил подменить экспертизу NGFW от ушедшего иностранного производителя
  36. DPI движок позволил собрать ИТ метрики.
  37. Позволил узнать кто из сотрудников переехал в другую страну, потому что NAD подсветил из какой страны они подключаются по VPN)