Компании «Ростелеком-Солар» и Positive Technologies запустили сервис глубокого анализа сетевого трафика (NTA) на основе решения PT Network Attack Discovery (PT NAD). Система NTA интегрирована в существующий цикл выявления инцидентов центра мониторинга и реагирования на кибератаки Solar JSOC. Услуга должна обеспечить новый уровень мониторинга сети и анализа сетевой активности как на периметре, так и внутри инфраструктуры, позволяя не только выявлять попытки злоумышленника проникнуть в сеть, но и обнаруживать внутреннюю подозрительную активность, которую не детектируют SIEM-системы, антивирусы и средства защиты конечных точек.

Современная корпоративная инфраструктура, поясняют эксперты, выходит далеко за пределы офиса и включает личные устройства сотрудников, а рабочие данные хранятся как локально, так и у поставщиков услуг. В то же время хакерские группировки применяют многоступенчатый подход к атакам, используют легальные утилиты и умело работают с логами систем защиты. Для противодействия им требуется система интеллектуального анализа сетевого трафика. Кроме того, злоумышленники с низким уровнем квалификации (киберхулиганы и боты) также совершенствуют свой инструментарий, и чтобы выявить их присутствие в инфраструктуре, необходимо пристальное внимание к внутренним сегментам сети. Именно эти задачи комплексно решает сервис анализа сетевого трафика Solar JSOC.

По оценкам специалистов, сети 97% компаний имеют следы компрометации, а большинство угроз ИБ выявляются уже внутри периметра организации. В 50% случаев внешний периметр организации преодолевается злоумышленниками за один шаг, после чего традиционные средства защиты уже не позволяют отслеживать развитие атаки внутри сети. PT NAD играет важную роль в выявлении такого рода инцидентов, а также их расследовании, так как сохраняет копию всего сетевого трафика – включая данные, которые злоумышленники удаляют для сокрытия своих следов. Информация, которую обрабатывает PT NAD, дополняет данные SIEM из других источников, что расширяет базу знаний для форензики.

Для крупных распределенных компаний, полагают в Solar JSOC, становится жизненно необходимо иметь инструменты покрытия комплексным мониторингом всей инфраструктуры. PT NAD с обогащенным контентом в составе сервиса круглосуточного мониторинга и реагирования на киберинциденты решает эту задачу и позволяет выявлять действия высокоуровневых нарушителей до причинения ими реального ущерба.

Подключение к сервису занимает от 2 до 4 недель: в инфраструктуру заказчика устанавливаются необходимые компоненты PT NAD, получающие еженедельные обновления правил обнаружения актуальной хакерской активности от вендора и обогащенные унифицированным контентом от экспертов Solar JSOC, что позволяет выявлять злоумышленников с высоким уровнем квалификации. При этом система настраивается с учетом всех особенностей заказчика.

«Ростелеком-Солар» и Positive Technologies уже ведут совместные проекты внедрения сервиса NTA на базе PT NAD для нескольких крупных коммерческих и государственных компаний.