Positive Technologies lanzó una nueva versión de su sistema de análisis conductual del tráfico que detecta ataques en el perímetro y dentro de la red: PT Network Attack Discovery (PT NAD). PT NAD 11.1 recibe módulos estadísticos y de comportamiento que permiten detectar túneles de protocolos de control de mensajes de Internet (ICMP) previamente desconocidos¹, anomalías en el tráfico del bloque de mensajes del servidor (SMB)², rastros de actividad de Cobalt Strike y Brute Ratel С4, y un módulo que verifica la explotación exitosa de vulnerabilidades en hosts.

Detección precisa de ataques con la ayuda del análisis conductual del tráfico

“Además de los métodos basados en firmas, la nueva versión ofrece nuevas formas de detectar amenazas con la ayuda de algoritmos complejos basados en el perfilado de cada dispositivo de la red, la recopilación de datos y la búsqueda de desviaciones. El equipo de desarrollo de PT NAD transformó la experiencia única de búsqueda de amenazas en el tráfico de red en detecciones automatizadas”, dice Aleksey Lednev, director del equipo de detección de ataques de Positive Technologies Expert Security Center (PT ESC). “Ampliamos de forma sistemática las opciones para personalizar el producto respecto de una infraestructura específica, por lo que cada empresa puede detectar con mayor precisión anomalías y hallazgos únicos que planteen una amenaza para su seguridad”.

Los atacantes establecen canales de datos encubiertos (túneles de protocolos de control de mensajes de Internet [ICMP]) para mantener la comunicación con la infraestructura vulnerada. Los sistemas de detección, en especial los de firewall, tienden a omitir este tipo de actividad. Al analizar estadísticas de paquetes de protocolos de control de mensajes de Internet (ICMP), PT NAD 11.1 detecta utilidades nuevas y conocidas que los atacantes utilizan para ocultar su presencia en la red.

Para que no se detecte su presencia, los ciberdelincuentes cifran el tráfico del bloque de mensajes del servidor (SMB) y utilizan malware y herramientas posteriores a la explotación que se comunican con sus agentes a través de canalizaciones con nombre de los SMB. Los nuevos módulos de comportamiento de PT NAD detectan el protocolo del bloque de mensajes del servidor (SMB) cifrado y nuevas canalizaciones de SMB en tráfico.

PT NAD 11.1 detecta la ejecución de directorios Cobalt Strike y Brute Ratel C4 , que se utilizan con frecuencia en los ataques dirigidos. Estos les permiten a los atacantes interactuar con hosts vulnerados, ejecutar comandos y moverse de manera lateral por la infraestructura. Para detectar actividad maliciosa, los desarrolladores de Positive Technologies crearon módulos estadísticos que detectan las comunicaciones entre estos directorios del marco posterior a la explotación con configuraciones desconocidas y los servidores de comando y control.

A partir de esta versión, el producto tiene un nuevo módulo para detectar intentos de explotación exitosos. La experiencia de Positive Technologies Expert Security Center, abocada a incidentes complejos, indica que la explotación de vulnerabilidades es uno de los tres vectores más comunes utilizados en los ataques a redes corporativas. El nuevo módulo del análisis conductual extrae de forma automática indicadores de compromiso de solicitudes de red y verifica referencias a estos tras la explotación exitosa de la vulnerabilidad en el host.

Configuración dos veces más rápida

El asistente de configuración disponible en la nueva versión agiliza la configuración de los parámetros claves de PT NAD, como interfaces de red, configuraciones de captura de tráfico, tiempo de almacenamiento de PCAP/ES, entre otros, y ahora es dos veces más rápida. El asistente también simplifica la implementación.

Otros cambios

Mejoramos el ocultamiento del flujo de actividad: el operador ahora puede eliminar las detecciones que son típicas de su infraestructura con un clic después de abrir la ficha. La nueva funcionalidad permite reducir la cantidad de falsos positivos en las detecciones en cada infraestructura protegida. Otras características novedosas incluyen la posibilidad de crear nuevos filtros de equipo compartidos, capturar tráfico y validar el procesamiento, así como realizar mejoras internas y de experiencia de usuario.

PT NAD 11.1 ya está disponible para usuarios. Puede solicitar una demo gratuita aquí. Los usuarios existentes pueden obtener una actualización comunicándose con nuestro Soporte Técnico o un socio de Positive Technologies.

1. Un canal de datos encubierto entre dos hosts que utiliza paquetes de IP sobre el protocolo de control de mensajes de Internet (ICMP).
2. Un protocolo de red para el acceso remoto a archivos, impresoras y otros recursos.