راهکار هوشمند حفاظت OT شرکت Positive Technologies
شرکت Positive Technologies شرکتی پیشرو در امنیت سایبری و ارائه دهنده بزرگ جهانی راه حلهای امنیت اطلاعات است که ماموریت اصلی شرکت محافظت از مشاغل و کل صنایع در برابر حملات سایبری و آسیب های غیرقابل تحمل است. بیش از 3300 سازمان در سراسر جهان از فناوری ها و خدمات توسعه یافته توسط شرکت PT استفاده می کنند.
Positive Technologies اولین و تنها شرکت امنیت سایبری در روسیه است که در بورس مسکو (MOEX: POSI) با 180000 سهامدار و در حال حاضر به صورت عمومی عرضه شده است.
دسته جدید راه حل های شرکت PT بر رویکرد نتیجهگرا به امنیت سایبری تمرکز دارند. اولین متا محصول Positive Technologies، MaxPatrol O2، به طور خودکار حملات را قبل از وارد شدن آسیب غیرقابل تحمل به شرکت شناسایی و از آن جلوگیری می کند.
MaxPatrol O2 می تواند جایگزین کل افراد تیم مرکز مانیتورینگ امنیتی شود و مدیریت آن تنها به یک نفر نیاز دارد. این سیستم حفاظتی به حداقل دانش و تلاش متخصص نیازمند است.
قلب تپنده این ساختار ماژولار MaxPatrol SIEM سرور است که تمامی قسمتهای مدیریت و عملیات شناسایی Incidentها را انجام میدهد.
یکی از ویژگیهای منحصر به فرد این قسمت نوشتن اتوماتیک رولهای همبستگی میباشد(automated generation of correlation rules) میباشد.
این راهکار جامع SIEM لاگها و ترافیکها را براساس MITRE ATT&CK دسته بندی و آنالیز میکند.
یکی از مهم ترین ماژول های این توتال سیستم یکپارچه ماژول NAD (Network Attack Discovery ) می باشد که حتی این ماژول بعنوان یه راهکار مستقل نیز قابل ارایه میباشد.
در 93 درصد سازمانها و شرکتها، تست نفوذکنندگان مورد استخدام شرکت PT، موفق به شکستن محیط شبکه و دسترسی به شبکه محلی شدند. طبق نفوذهای انجام شده مهاجمان میتوانند 71 درصد از رویدادهای غیرقابل تحمل و غیر قابل جبران را در عرض یک ماه فعال کنند و بطور متوسط دو روز طول میکشد تا به اینترانت یک سازمان و شرکت نفوذ کنند.
در 100% سازمانها و شرکتها، یک مهاجم داخلی میتواند کنترل کامل بر زیرساختها را به دست آورد.
با توجه به دادههای جمعآوریشده و تجزیهوتحلیلشده توسط Positive Technologies، یک عامل تهدید به بیش از یک ماه زمان نیاز ندارد تا حادثه را که برای یک شرکت غیرقابل قبول نیست، ایجاد کند. حملات به برخی از سیستم ها میتواند در عرض چند روز توسعه یابد. از لحظهای که عوامل مخرب وارد اینترانت میشوند، فعالیت های آنها توسط امنیت محیطی شناسایی نمیشود. به این ترتیب، مهاجمان می توانند برای مدت طولانی در یک شبکه پنهان بمانند. سابقه ثبت شده توسط مرکز امنیتی PT Expert بیش از هشت سال است.
نظارت بر امنیت شبکه برای جلوگیری از حمله عوامل تهدید در داخل ضروری است. محبوبترین ابزارهای نظارت بر امنیت داخلی، سیستم های تشخیص حادثه (SIEM)، سیستمهای تشخیص نقطه پایانی (EDR) و سیستمهای آنتی ویروس هستند. با این حال، اینها نقاط کوری را به جا میگذارند که هکرها از آنها بهره میبرند. سیستم های NTA (تجزیه و تحلیل ترافیک شبکه) به مقابله با این موارد کمک میکنند. به سیستمهای این دسته NDR (تشخیص و پاسخ شبکه) نیز گفته میشود.
بصورت کلی سیستم NAD موارد زیر را بعنوان یک ماژول از SIEM انجام میدهد:
- In-depth protocol analysis down to the application layer
- Extraction of session parameters, such as IP addresses and protocol field values, reputation of transmitted objects, ports and applications used
- Use of various technologies to detect information security threats:
- Malicious activity in encrypted traffic
- Lateral movement
- Use of hacker tools
- Exploitation of network vulnerabilities
- Signs of previously undetected attacks
- Attempts to hide activities from security tools
- Connections to dynamically generated domains
- Violations of information security regulations
- Detection of attackers’ techniques and tactics according to the MITRE ATT&CK matrix
- Collection and analysis of data on communications between the network hosts
- Extraction of files being transferred in network traffic and scanning of these files with external analysis systems
- Storage of indexed parameters resulting from traffic analysis
- Storage of raw traffic from an entire session regardless of whether there was an attack