Какие выгоды и результаты получили покупатели PT Network Attack Discovery

Как работает PT NAD

 
Записано со слов пользователей:

1. Позволил выявить внутренних злоумышленников (PT NAD видит 117 техник и тактик хакеров из базы MITRE ATT&CK)
2. Позволил повысить экспертизу своих сотрудников, за счет постоянного контакта с экспертами мирового уровня
3. Увидели пароли в открытом виде летающие по сети (это часто неверная настройка LDAP и HTTP)
4. Увидели туннели (обычно их много, например, ICMP или DNS)
5. Обнаружили утилиты удаленного управления
6. Заработал asset control
7. Снизили риски ИБ
8. Снизили потери
9. Узнали что мы взломаны
10. Актуализировали угрозы (у PT NAD 7000 собственных правил выявления угроз)
11. Узнали слабые точки в безопасности инфраструктуры
12. Контролируем смежные подразделения
13. Храним историю сетевых соединений
14. Можем расследовать, а было ли это событие раньше
15. Получили стабильный продукт и инструмент контроля здоровья ИТ системы
16. Снизили ущерб и область распространения успешных кибератак
17. Визуализировали, что творится в вашей сети в реальном времени
18. Обнаружили и обнаруживаем проблемы с устройствами внутри сети
19. Начали контролировать открывает ли кто-то наружу какие-то дырки
20. Выявили бэкдоры, оставленные уволенными ИТшниками.
21. Легко установили, работает из коробки
22. Получили важный источник данных в расследовании цепочек действий злоумышленника
23. У нас есть теперь "черный ящик": храним копию трафика, если взломали то можно увидеть как. Это позволяет соответствовать 196 приказу ФСБ. Сейчас НКЦКИ проверяет насколько хорошо выполняется этот приказ.
24. Получили сертифицированный ФСТЭК продукт класса СОВ (IDS). Замечу, что PT NAD единственные у кого 7000 собственных сигнатур(правил)
25. Отследили горизонтальное перемещение
26. Позволил выявить майнеры. 
27. Позволил контролировать логины и пароли передающиеся в открытом виде в трафике
28. Позволил реализовать threat hunting и поиск различных IoC в трафике для аналитиков SOC 
29. Позволили выявлять целевые атаки и вредоносный код в трафике, включая программы-вымогатели и майнеры
30. Позволил начать контролировать действия администраторов в сети
31. Позволил мониторить производительность сети и кто внутри сети ее нагружает
32. Позволил удобно разбирать инциденты и для ИТ и для ИБ служб, поскольку стандартные утилиты wireshark и встроенные в роутеры не умеют также
33. Позволил после взлома выявить какие машины заражены вредоносным ПО и выявить различные признаки компрометации
34. Позволил контролировать трафик наравне с продуктом СОПКА и реагировать на запросы ФСБ заблокировать вредоносную активность, потому что СОПКА доступа к интерфейсу не дает.
35. Позволил подменить экспертизу NGFW от ушедшего иностранного производителя
36. DPI движок позволил собрать ИТ метрики.
37. Позволил узнать кто из сотрудников переехал в другую страну, потому что NAD подсветил из какой страны они подключаются по VPN)

19 способов проникновения в сети и 117 способов это обнаружить

Послушайте про некоторые способы проникновения в сети. К каким их них вы готовы? Какие их них вы пропустите? Как вообще готовиться к атакам, про которые вы не знаете? 

В этой лекции кратко прошелся по экспертизе, которая так важна в вашей сети, где ее обычно получают и как выглядит экспертиза Positive Techologies встроенная в продукт PT Network Attack Discovery. Это позволяет компаниям вовремя обнаруживать проникновения через новые уязвимости, хотя казалось бы их поймать невозможно. На то они и новые. Но хакеру после проникновения нужно как-то действовать в сети и он будет использовать все-равно типовые техники и тактики. И тут то мы его и ловим - мы видим его действия в сети и перехватываем его запросы, причем даже в зашифрованном трафике и даже легитимными утилиатами.

Защита множества заказчиков - мой результат года

Приносить пользу миру можно по-разному. И мой личный выбор - защищать компании от угроз.

В этом году моим новым направлением стал еще один продукт по сетевой безопасности. Тема анализа аномалий меня интересовала всегда. Задумайтесь, как отличить сотрудника от хакера, работающего под аккаунтом этого сотрудника? Никак? Или по поведению? ) Нужна серьезная аналитика и здесь я вижу ценной работу нашей группы Machine Learning. За ML будущее в любой отрасли.

Самым важным в любом продукте по информационной безопасности является наличие сильной экспертизы и реального опыта разбора инцидентов. Мне посчастливилось познакомиться с морем экспертов. Ребята ежедневно выезжают на разбор инцидентов в разных компаниях и также занимаются пентестами: проверяют насколько хорошо защищены компании, их сотрудники и их сети. И вот эти люди как раз и приносят нашим разработчикам информацию с полей битвы: а как же обнаружить злоумышленника в сети. Мы два раза в неделю эти новые правила обнаружений отправляем нашим заказчикам. И так видим то, что пропускают другие!

И да, я не смогу без рекламы ) Потому что результат меня впечатляет! Сегодня мой продукт обнаруживает 117 техник и тактик хакеров по матрице MITRE ATT&ACK, программисты и исследователи реализовали пожалуй, уже 50 различных движков выявления угроз по сетевому трафику, не говоря уже о 7000 сигнатур и правил которые постоянно приходят от команды экспертов компании Positive Technologies. В общем все о чем вы слышали: Deep Packet Inspection(DPI), Network Forensic Tool (NFT), Indicator of Compromise(IoC),  песочница, правила для реализации Intrusion Detection System и Indicator of Attack (IoA), DNS и ICMP туннели, DGA домены, LDAP аномалии, медленные сканирование, обнаружение хакерских утилит и майнеров - все о чем вы слышали на презентациях последних лет обнаруживается этим решением при анализе потока трафика. 

Из-за такой широкой функциональности множество компаний стали использовать этот продукт и пожалуй самым важным завершением года - была наша конференция, на которой мы ответили на вопросы, пригласили реально пользующихся продуктом заказчиков, рассказали как работает Expert Security Center (ESC), чтобы продукт ежедневно получал новую информацию о новых угрозах в мире.

Из уникальных его фишек - мы пишем весь трафик в сети, что удобно для расследования инцидентов. Определяем не просто приложения, а все их поля, что ценят те, кому надо найти где спрятался в сети хакер. И важно, что мы умеем определять атаки даже по зашифрованному трафику.

А давайте я дам ссылку сразу на сессию вопросов и ответов!

Вот такие вопросы были:

• Где лучше расположить PT NAD архитектурно?
• В чем преимущество PT NAD перед SIEM?
• В чем отличие PT NAD от IDS?
• Каким образом может анализировать зашифрованный трафик?
• Как реагирует PT NAD на майнинг в сети?
• Какие сделаны оптимизации в продукте для уменьшения требований к железу?
• Поменялась ли архитектура на контейнерную?
  
• Появилась ли кнопка "распечатать для начальника" в ленте активности? 
• Можно ли установить захват трафика на виртуализацию?
• Как PT NAD отправляет файлы в песочницу?
• Почему интеграция с песочницей Позитива более эффективна?
• Какие сигнатуры используются для обнаружения DC Sync и DC Shadow?
• Можно ли использовать правила yara?

А вот тут ответы:

https://youtu.be/G4o6DtoD9hc?t=4124

Вообще в программе трансляции было:

• Как мы понимаем задачи Network Traffic Analysis. Зачем нужны системы NTA
• Какие задачи помогает решить система анализа трафика PT NAD
• Почему заказчики выбирают PT NAD: цели, кейсы, результаты
• PT NAD 11. Новые возможности
  

Рекомендую посмотреть!
Всем счастливого нового года!

Полный функционал

Какие проблемы видны в вашем сетевом трафике?

Всем привет!

Сначала дали интервью в Ведомости, а потом записали видеоролик! В любом формате мы приглашаем тебя дорогой друг 27 октября в 14:00 на запуск новой версии PT Networks Attack Discovery 11.

Регистрация тут.

О чем пойдет речь?

А в чем проблема? Посмотрите пожалуйста!

PT Network Attack Discovery лучше всего подключать через физический TAP или virtual TAP в VmWare и KVM

Когда вы делаете пилот или внедрение Positive Technologies Network Attack Discovery, то нужно передать копию трафика в это многофункциональное устройство сетевой безопасности для анализа движками DPI, IDS, ML, TI, NTA и последующего анализа и отправки файлов из трафика в песочницу и антивирус, чтобы обнаружить направленные на вас атаки и взломанные хосты.

Если это физическая сеть, то варианты подключения

- зеркальный или SPAN порт свитча или роутера

- RSPAN/ERSPAN - тоже зеркальный порт, но трафик передается аж с других свитчей через выделенный VLAN для Remote SPAN или вообще через GRE для ERSPAN.

Если это среда виртуализации, то варианты получения трафика из гипервизора:

- promiscous mode порт в distributed switch на котором подключается виртуальный NAD и все мы понимаем, что виртуальная машина все-таки работает медленнее, чем внешний аппаратный PT NAD

- SPAN порт на свитче, на котором работают различные сервера с виртуализацией, и тогда мы не видим внутренний трафик внутри гипервизора каждой системы виртуализации, но зато мы видим трафик идущий внутри VXLAN или GENEVE

- ERSPAN, то есть также мы инкапсулируем внутри гипервизора наш трафик внутрь туннеля GRE и отдаем в NAD снаружи сервера

- Virtual TAP или vTAP - программный продукт, который забирает трафик из виртуализации/гипервизора и отдает на внешний аппаратный NAD

Аппаратный TAP это устройство с тремя портами: два порта это вход и выход какого-то канала, и третий порт это копия трафика, которую отдаем на NAD. Нужно понимать, что в случае с оптикой каждый порт - это по сути два кабеля внутри. 

Случай с vTAP описан хорошо у этого производителя profitap.com/vtap/ Это программная реализация, позволяющая забрать трафик из сервера виртуализации и отдать наружу, как показано на картинке. Российский производитель VASexperts говорят тоже делает такой софт 

Основные сложности подключения SPAN  в том, что сетевые администраторы обоснованно боятся за производительность своих устройств: делать копию трафика это всегда накладно и админы часто саботируют данное подключение. То есть безопасники тратят время на их убеждение. В общем это становится вопросом политическим иногда. Админы даже иногда сознаются, что боятся, что их самих начнут контролировать таким образом. Плюс потом еще мы почему-то траблшутим работу этих двух команд на роутере для настройки, хотя казалось бы чего проще:

monitor session 1 source interface gi0/1
monitor session 1 destination interface gi0/2

Свитчи и роутеры дают процессу создания копии трафика самый низкий приоритет. То есть, если свитч или роутер загрузился какой-то более важной задачей, то трафик в SPAN порт просто не будет скопирован, данные потеряются. А мы ведь разбираем трафик приложений движком DPI и разбираем протоколы по 1200 полям и еще и собираем из пакетов файлы из трафика для проверки по хешам или для отправки в песочницу по ICAP. Например, если по NFS или SMB идет файл и мы теряем один пакет, то файл уже нельзя собрать полностью и отправить для анализа в песочницу без этого пакета. А там мог идти криптолокер Wannacy...

Идеальным решением для пилотов и внедрений являются TAP и vTAP, поскольку они не теряют пакеты и отдают весь трафик полностью. Минусом для работы сети является то, что они включаются в разрыв, и сеть должна "мигнуть" один раз при их подключении. Что в общем не страшно, если используется High Availability внутри сети.

Ну и фактом является, что TAP устройства надо купить.

Еще одним устройством полезным является сетевой брокер: он может не просто забирать трафик из сети, не трогая психику сетевых админов, а еще проводить с трафиком действия: балансировать, дублировать, дедуплицировать и так далее

Подробнее про то, как пользовать NAD, посмотрите в сборнике информации https://telegra.ph/Materialy-po-produktu-PT-NAD-07-08

Любой вопрос по PT NAD вы можете задать в чате Телеграмм https://t.me/PTNADChat

Advanced Persistent Threat - это про искусство нападения и защиты

Buzzword из трех слов Advanced Persistent Threat уже лет десять мучает индустрию своим разным прочтением разными экспертами.

Для меня три буквы APT обозначают набор техник, которыми меня или мою организацию будут ломать. Для хакеров это набор каких-то утилит, каких-то алгоритмов, каких-то тактик их применения и также уровень экспертизы людей, которые будут эти утилиты и техники и тактики применять. Существует целые группировки таких людей, которые пользуются определенным набором утилит и схем нападения. И именно по этим двум факторам и различают группировки: какие утилиты и техники и как они используют. Мы понимаем, что невозможно знать все утилиты в мире и все техники атак в мире и все ИТ приложения в мире. Именно поэтому APT группировки часто специализируются только на определенной индустрии: кто-то хорошо ломает финансовые учреждения, кто-то промышленные, кто-то медицинские или государственные. Связано это с тем, что в каждой из индустрий нужно серьезно разбираться в деталях ее работы.

Серьезным подходом к классификации техник и тактик хакеров стало появление базы MITRE ATT&CK. Это самая успешная попытка записать в единую базу все известные техники и тактики хакеров. MITRE также классифицировали этапы их работы, которые также в литературе называют kill chain или cyber-attack lifecycle: подготовка утилит и ресурсов, проникновение, закрепление в сети, горизонтальное перемещение и эксплуатацию найденных критичных данных и ресурсов. И сегодня именно на основе этой базы знаний мы все делаем выборку конкретных техник и тактик хакеров конкретной APT группировки. Существует еще термин кампания (вторая буква именно а) - по сути это проект, когда хакеры подготавливают определенный набор инструментов (например, поддельных сайтов) фокусируются на определенные типы компаний (например, на финансовые) и занимаются применением своих знаний и утилит против этой группы компаний. Обычно каждая компания заканчивается выводом денег, как это сделал Cobalt и Lazarus c банками, кражей или уничтожением данных, как это было в Росавиации или даже остановкой предприятий, как это было с Rutube. На слуху чаще всего атаки вымогателей, когда компании хакеры шифруют все данные и просят выкуп как это было с компанией Garmin, которая заплатила 10 миллионов долларов за то, чтобы получить доступ к своим же данным, или норвежской компанией Norsk Hydro, которая отказалась платить и потратила 25 миллионов долларов на восстановление ИТ инфраструктуры в 40 странах мира.

Что же делать безопаснику: нужно ли ему знать все техники и тактики хакеров всего мира? Ведь мы только что решили, что это невозможно )

К счастью для нас, существуют типовые хакерские техники, которые используют хакеры всего мира. Это и типовые способы проникновения в сети и типовые способы закрепления в сети и типовые способы повышения привилегий и перемещения внутри сети. Да, этих способов тоже много, но установив средства контроля за этими техниками мы решаем задачу обнаружения злоумышленников. Злоумышленники тоже не стоят на месте - они постоянно придумывают техники обхода межсетевых экранов, систем предотвращения атак, песочниц и антивирусов. И поэтому защитники выстраивают многоэшелонированную защиту, иногда даже несколько средств защиты от одной и то же угрозы, чтобы хакер попал хотя бы в одну из ловушек.

Обычно продукты по безопасности сравнивают как раз по числу техник и тактик, которые может обнаружить система защиты.

Для продукта Positive Technologies Network Attack Discovery список методик защиты выглядит так

Основная проблема мира безопасности, что в компании есть деньги на устройства защиты, но нет людей, которые понимают что эти устройства защиты вообще делают или хотя бы что за информацию они пишут на экране и еще реже люди знают как на это надо реагировать. Именно поэтому существует анекдот, что девушка установила на компьютер антивирус, он ей нашел 12 вирусов, она подумала и удалила антивирус.

Как решать эту проблему?

1. Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
2. Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
3. Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.

Среди безопасников есть те, кто занимается бумажной волокитой: соответствием требованиям государственных и отраслевых регуляторов. Есть те, кто занимается реальной безопасностью: созданием центров управления безопасностью SOC, команд реагирования CIRT и другими задачами. И третий тип - кто контролирует безопасность на уровне бизнеса, поддерживая business continuity согласно BCP/DRP. За границей это должность вице-президента по безопасности. В России пока что еще не распространенная должность. Обычно у этих сотрудников должен быть как минимум сертификат CISSP и от 10-15 лет работы в индустрии по специальности. 

Что такое DFIR и как обнаруживать хакера в сети по поведению

Positive Technologies Network Attack Discovery выполняет полную запись трафика в сети. Эта запись может быть использована для доказательства хакерской деятельности и для разбора атаки (Network Forensic). Технические эксперты Positive Technologies занимаются расследованием и минимизацией влияния инцидентов (DFIR) и созданием на основе этой экспертизы своих продуктов. Правила в продукте Network Attack Discovery, позволяют выявлять атаки. При использовании этого продукта ни один хакер не может уйти от возмездия, неважно кто это: собственный сотрудник, подключившийся удаленно хакер или перемещающийся автоматически сетевой червь. Продукты класса NTA и NDR полноценно показали себя в защите корпоративных сетей. Обсуждение как работает продукт и живая демонстрация пройдет в онлайне 5 апреля в 14:00. Регистрация