Positive Technologies ускорила PT NAD в 3 раза: что нового в 12.2?

Positive Technologies выпустила версию 12.2 системы поведенческого анализа трафика PT Network Attack Discovery (PT NAD). В этом обновлении компания сделала упор на ускорение работы системы и упрощение управления.

Ключевое изменение – новый сигнатурный движок, анализирующий трафик в три раза быстрее без увеличения требований к оборудованию. Это позволит обрабатывать большие объемы данных и быстрее обнаруживать угрозы.

Централизованное управление — еще одно важное нововведение. Теперь операторы SOC могут контролировать все дочерние площадки через единую консоль, что значительно сокращает время мониторинга, расследования и поиска угроз. В новой версии уже реализована основная функциональность: лента активности, управление узлами и сессиями, дашборды. В ближайших обновлениях появятся поддержка PCAP-файлов, работа с исключениями и единая база знаний.

Дополнительно в PT NAD 12.2 появился модуль экспертизы для профилирования соединений через WinRM – протокол, который часто используется киберпреступниками для проникновения в корпоративные сети. Теперь система может выявлять атаки, использующие Evil-WinRM и аналогичные методы.

Обновленная версия также поддерживает разбор HTTP/2, что позволяет обнаруживать атаки через этот протокол. Эта функция интегрируется с системами MITM (Man-in-the-Middle), такими как NGFW и ArtX TLSproxy.

Изменения затронули и механизм репутационных списков. Теперь можно настраивать направление срабатывания списков, что помогает сократить количество ложных тревог в пять раз. Система также отображает полную цепочку прикладных протоколов в сессии, делая сеть более прозрачной для операторов.