Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD). В этом обновлении были добавлены обнаружение аномалий с помощью профилирования, анализ шифрованного трафика, автоматическое обновление экспертных модулей без дистрибутива, поддержка ОС Debian 11, Astra Linux 1.7.4 и Astra Linux 1.7.5. Об этом информационной службе Хабра рассказали в пресс‑службе ИБ‑компании.
В PT NAD 12 были внедрены ML‑технологии, позволяющие создавать пользовательские правила профилирования. Теперь оператор SOC может создавать свои уникальные правила профилирования. С помощью ML‑алгоритмов эти правила обучаются на типичном трафике и выявляют аномалии, интересующие оператора. Профилировать трафик можно по различным метрикам (количество соединений, объём трафика и так далее) и по произвольным фильтрам.
Кроме пользовательского профилирования трафика, с помощью ML‑алгоритма в новой версии PT NAD можно анализировать шифрованные соединения и определять в них приложения. Это помогает в тех случаях, когда классические методы сигнатурного анализа или анализа полей протоколов перестают работать. Сейчас функциональность реализована для детектирования протокола мессенджера Telegram, который известен своими способами обхода обнаружения, но в последующем механизм будет добавлен и для детекта других замаскированных протоколов и приложений.
В PT NAD 12 изменился процесс доставки экспертных модулей. Они будут обновляться вместе с новыми правилами и индикаторами компрометации (IoC) от экспертного центра безопасности Positive Technologies. Модули поступают в решение автоматически, без дистрибутива.
