PT MaxPatrol O2

Метапродукт MaxPatrol O2 обнаруживает злоумышленника, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учетом недопустимых для компании событий и останавливает атаку до того, как компании будет нанесен непоправимый ущерб.

• Нацелен на результат
  Делает невозможной реализацию недопустимых для бизнеса событий
• Автоматизирует работу SOC
  Снижает человеческий фактор в процессах обнаружения, расследования и реагирования на инциденты, автоматизирует рутинные действия
• Знает, как действует злоумышленник
  Использует уникальный опыт Positive Technologies, накапливаемый в регулярных киберучениях, bug bounty Positive dream hunting и Standoff

Ключевые возможности

Моделирует действия злоумышленников

• Предсказывает, к каким недопустимым событиям может привести подозрительная активность и сколько шагов осталось до реализации рисков.
• Прогнозирование строится на основе:
  
  • сетевой достижимости узлов: маршрутизация, списки доступа, правила NAT;
  • прав учетных записей на удаленный вход;
  • наличия RCE-уязвимостей на узлах;
  • возможности удаленного входа через VPN;
  • возможности чтения памяти процесса lsass.exe.

Выявляет цепочки хакерской активности

• Анализирует данные от сенсоров Positive Technologies, включенных в состав метапродукта, и выделяет атакующие, атакованные и захваченные ресурсы.
• Сопоставляет ресурсы и строит цепочки активности с учетом знаний о техниках и тактиках злоумышленников.
• В каждой цепочке есть визуализация пути, пройденного злоумышленником, а также прогноз, куда он будет двигаться дальше.

Автоматизирует расследования

• Использует данные от сенсоров Positive Technologies, чтобы построить полный контекст атаки и провести расследование.
• Обращается за обогащением следующих активностей:
  • запуска процессов: Process -> Session -> User
  • удаленных входов: RDP, SMB, WMI
  • перемещений в инфраструктуре: IP -> IP
  • создания VPN-сессий: IP Client -> IP External + Username

Оценивает степень опасности угроз

• MaxPatrol O2 видит захваченные злоумышленником ресурсы и предсказывает близость реализации недопустимого события. Основываясь на этих данных, система переводит цепочку атаки в статус «Требует внимания», после чего автоматически останавливает хакера или информирует оператора, чтобы он принял решение.
• Механизм расчета степени опасности угроз постоянно улучшается благодаря регулярным киберучениям Positive Technologies и участникам платформы для поиска уязвимостей Standoff 365 Bug Bounty.

Останавливает злоумышленника

• Учитывает риски для бизнес-процессов и предлагает оптимальный сценарий реагирования. Сценарий может быть реализован автоматически или в ручном режиме, если его нужно скорректировать.
• Возможные действия по реагированию:
  • блокировка учетной записи: в домене/локально, Windows/Linux/Mac
  • блокировка IP на межсетевом экране: входящий и исходящий трафик
  • сетевая изоляция узла
  • остановка запущенного процесса
  • отзыв токена OpenVPN
  • удаление письма

Как работает метапродукт

1. MaxPatrol O2 основывается на топологии и сетевой достижимости узлов, учитывает данные об уязвимостях, моделирует возможные пути реализации недопустимых событий. Если риски не были определены заранее, система рассчитает векторы атак до наиболее важных узлов в инфраструктуре.
2. MaxPatrol O2 анализирует срабатывания сенсоров, определяет захваченные, атакованные и атакующие ресурсы: учетные записи, узлы, сессии, процессы, файлы, письма и т. п.
3. Чтобы составить детальную цепочку активности злоумышленника, MaxPatrol O2 обращается к соответствующим сенсорам за данными, которые позволяют составить полный контекст атаки, приоритизировать цепочки и принять решение по реагированию.
4. MaxPatrol O2 анализирует данные и безошибочно связывает новые срабатывания сенсоров с уже существующими цепочками активностей в системе. Если ни одна из имеющихся цепочек активностей не подходит под критерии «склейки», MaxPatrol O2 создает новую цепочку, к которой привязывает поступившую сработку от сенсора.
5. Основываясь на данных модуля прогнозирования угроз, MaxPatrol O2 оценивает уровень опасности цепочки атаки. Если он превышает пороговое значение, система переводит цепочку в статус «Требует внимания» и оповещает оператора о необходимости выбрать меры по реагированию.
6. MaxPatrol O2 предлагает оператору варианты реагирования для каждого типа ресурса, чтобы остановить хакера и вернуть под контроль захваченные ресурсы. Все, что останется сделать оператору, ― это верифицировать цепочку и согласиться с предложенным сценарием реагирования, сформированным с учетом минимизации влияния на критически важные бизнес-процессы компании.

MaxPatrol O2 проходит проверку публичными киберучениями

Параллельно с классическим SOC на киберучениях в тестовом режиме работает первый метапродукт компании — MaxPatrol O2. Его задача — автоматически выявлять и предотвращать хакерские атаки до того, как бизнесу будет нанесен неприемлемый ущерб.

Преимущества MaxPatrol O2

• Не требует высокой квалификации специалистов
• Снижает порог входа в мир результативной кибербезопасности
• Заменяет ручное расследование
• Обнаруживает сложные целевые атаки
• Учитывает недопустимые для бизнеса события
• Мгновенно выбивает хакера
• Экосистема Positive Technologies
• Актуальная экспертиза Positive Technologies
• Работа в едином окне
• Отечественное решение
• Подходит для всех инфраструктур
• Позволяет подключить любые системы