A Positive Technologies lançou uma nova versão do seu sistema de análise de comportamento de tráfego que detecta ataques tanto no perímetro quanto dentro da rede: PT Network Attack Discovery (PT NAD). O PT NAD 11.1 ganhou os módulos de análise estatística e comportamental que ajudam a detectar túneis ICMP anteriormente desconhecidos¹, anomalias de tráfego SMB², traços de atividade de Cobalt Strike e Brute Ratel С4 , e um módulo que verifica a exploração ocorrida de vulnerabilidades em hosts.

Detecção precisa de ataques com a ajuda da análise comportamental de tráfego

“Além dos métodos baseados em assinatura, a nova versão oferece formas inéditas para a detecção de ameaças com a ajuda de algoritmos complexos baseados no perfil de cada dispositivo conectado à rede, coleta de dados e pesquisa de desvios. A equipe de desenvolvimento do PT NAD transformou sua alta competência em caça às ameaças no tráfego da rede em detecção automatizada”, diz Aleksey Lednev, que lidera a equipe de detecção de ataques no Centro de Segurança Especializado da Positive Technologies (PT ESC). “Regularmente expandimos as opções para ajustar o produto para a infraestrutura de cada empresa específica de modo que as empresas possam detectar anomalias com mais precisão e realizar as detecções exclusivas que apresentam ameaça para sua segurança”.

Agentes mal-intencionados estabelecem canais de dados secretos e túneis ICMP, para manter a comunicação com a infraestrutura comprometida. Os sistemas de detecção, especialmente os firewalls, tendem a deixar esse tipo de atividade passar.  Analisando as estatísticas de pacotes ICMP o PT NAD 11.1 detecta as ferramentas novas e conhecidas que os invasores usam para omitir sua presença na rede.

Para permanecerem na rede sem serem detectados, os cibercriminosos criptografam o tráfego de SMB e usam malwares e ferramentas pós-exploração, que se comunicam com seus agentes por meio de canais nomeados de SMB. Os novos módulos comportamentais do PT NAD detectam o protocolo SMB criptografado e novos canais SMB no tráfego da rede.

O PT NAD 11.1 detecta estruturas de Cobalt Strike e Brute Ratel C4 em execução, que com frequência são usadas em ataques direcionados. Isso permite que os invasores interajam com os hosts comprometidos, executem comandos e movam-se através da infraestrutura. Para detectar atividades maliciosas, os desenvolvedores da Positive Technologies criaram os módulos estatísticos que detectam comunicação entre esses agentes da estrutura pós-exploração baseados em configurações desconhecidas e o servidor de comando e controle.

A partir desta versão, o produto conta com um novo módulo para detectar as tentativas de exploração ocorridas. A experiência do Centro de Segurança Especializado da Positive Technologies, especializado em incidentes complexos, indica que a exploração de vulnerabilidades é um dos três principais vetores mais comuns usados em ataques a redes corporativas. O novo módulo de análise comportamental extrai os indicadores de comprometimento de solicitações da rede automaticamente e verifica as referências a eles após a exploração da vulnerabilidade no host ocorrida.

Configuração duas vezes mais rápida

O assistente de configuração disponível na nova versão facilita a configuração dos parâmetros principais do PT NAD duas vezes mais rápido: configuração das interfaces de rede, de captura de tráfego, tempo de armazenamento PCAP/ES e outros. Além disso, o assistente simplifica o processo da implantação .

Outras mudanças

Ocultamos o fluxo de atividades de maneira mais eficiente: agora o operador pode remover as detecções típicas de sua infraestrutura com um clique depois de abrir a ficha. Funcionalidade nova ajuda a reduzir o número de falsos positivos em cada infraestrutura protegida. Outros recursos novos incluem a capacidade de criar novos filtros de equipe compartilhados, captura de tráfego e validação de processamento e melhorias de experiência do usuário.

PT NAD 11.1 já está disponível para os usuários. É possível solicitar um teste gratuito aqui. Os usuários existentes podem baixar a atualização entrando em contato com nosso suporte técnico ou com um parceiro da Positive Technologies.

1. Um canal de dados seguro entre dois hosts que usa Pacotes IP através do protocolo ICMP.
2. Um protocolo de rede para acesso remoto a arquivos, impressoras e outros recursos.