Линейка продуктов Positive Technologies

Все решения Positive Technologies проектируются с учётом большого опыта защиты бизнеса в различных отраслях, а также специфики требований регуляторов. Продукты максимально соответствуют российским и международным стандартам безопасности, включая стандарты PCI DSS и ЦБ РС БР ИББС-2.6-2014, приказы ФСТЭК № 17 и 21.


MaxPatrol 8

MaxPatrol 8 позволяет получать объективную оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol 8 обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной систем.

Ключевые возможности

Система MaxPatrol 8 основана на базе профессионального сканера уязвимостей XSpider. Существующие в XSpider механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок. Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети.

Основой MaxPatrol 8 является высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.

Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближенны к тем, которые используются реальными нарушителями, что позволяет не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений.

При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.

База знаний включает в себя системные проверки для большинства распространенных операционных систем линеек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.

В отличие от классических системных сканеров, MaxPatrol 8 не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) MaxPatrol 8 выбирает наиболее безопасный из них, что обеспечивает защиту чувствительных данных при передаче по сети.


MaxPatrol SIEM

Инновационное решение класса SIEM для управления событиями и информацией ИБ с целью выявления инцидентов в режиме реального времени. MaxPatrol SIEM предлагает механизм передачи экспертизы ИБ напрямую в продукт и позволяет получить эффективную SIEM-систему даже с минимальными ресурсами эксплуатации. MaxPatrol SIEM - ключевой элемент новой платформы средств безопасности Positive Technologies, в основе которой лежит построение полной модели инфраструктуры, сбор и анализ всей доступной информации об активах и событиях.

Функции и особенности MaxPatrol SIEM

При создании SIEM-системы и новой платформы MaxPatrol компания Positive Technologies учла недостатки существующих систем и применила новые подходы для эффективного выявления инцидентов ИБ. Внутри MaxPatrol SIEM информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную IT-модель предприятия. Благодаря этому правила корреляции могут оперировать не только отдельными IP-адресами или сетевыми именами, но и более высокоуровневыми категориями — активами и динамическими группами активов.

В MaxPatrol SIEM реализован механизм передачи в продукт экспертизы исследовательского центра Positive Research, основанный на базе знаний Positive Technologies Knowledge Base (PTKB). Это высокоуровневый, постоянно пополняемый набор данных, формируемый на основе 15-летнего опыта исследовательского центра, в том числе опыта тестов на проникновение и проведения аудитов защищенности. MaxPatrol SIEM является неотъемлемой частью новой комплексной платформы MaxPatrol, обладающей изначальным пониманием природы угроз и уязвимостей и позволяющей заменить множество ИБ-решений (системы управления активами, уязвимостями, соответствия стандартам и др.). Все элементы MaxPatrol SIEM разработаны Positive Technologies как часть новой платформы MaxPatrol и используют единые принципы сбора и учета информации.

На основании полной модели инфраструктуры выполняется автоматическое построение топологии сети. Это позволяет лучше понимать защищаемую инфраструктуру и потенциальную достижимость атак, упрощает расследование инцидентов.

MaxPatrol SIEM использует специальный механизм для извлечения идентификаторов источника информации из трафика, событий или сканирований и их сопоставления с существующими активами. Таким образом, вся имеющаяся информация — конфигурация сетевого узла и его настройки, установленное ПО, сетевая активность, логи — унифицируется и выстраивается вокруг каждого из активов. После поступления в систему информация вначале проводится через модель инфраструктуры и привязывается к соответствующим активам и лишь после этого сохраняется в базе данных и попадает под действие правил корреляции. Благодаря этому изменение IP-адреса или имени актива не приведет к дублированию сущностей и появлению в системе нового актива.

Сбор, анализ и мониторинг событий для эффективного выявления инцидентов


PT ISIM

PT Industrial Security Incident Manager — это система управления инцидентами кибербезопасности АСУ ТП, которая выявляет хакерские атаки и помогает в расследовании инцидентов на критически важных объектах. Не влияя на технологический процесс, PT ISIM параллельно с ним анализирует копию сетевого трафика, выявляет взаимосвязи между событиями безопасности и наглядно визуализирует потенциальные атаки на топологии сети и схеме промышленного объекта.

Оперативное расследование инцидентов на удаленных объектах

Распределенная архитектура позволяет использовать PT ISIM на предприятии со множеством удаленных структурных элементов по всей стране и миру, в разных часовых поясах. Для работы с такой структурой предусмотрена карта подключенных объектов, которые можно отслеживать через удаленный интерфейс в центре управления.

Система централизованно распределяет новые детекты (сценарии для распознавания конкретных типов инцидентов) и обновляет удаленные установки на каждом объекте. Кроме того, PT ISIM делает невозможным закрытие инцидентов на удаленных объектах без специалистов по безопасности. Так ни один инцидент не остается без внимания, что существенно повышает защищенность предприятия.

Эффективно расследовать инциденты на удаленных объектах позволяет уникальная функция Remote Forensic, работа которой не зависит от подключенности объекта к общей сети, качества связи, а также наличия персонала и его профессионального уровня.

Инцидент на удаленном объекте, подключенном к сети

    • Специалист SOC переключается на PT ISIM, размещенный на удаленном объекте, и расследует инцидент. Присутствие непосредственно на самом объекте не требуется.
    • При плохом качестве связи с объектом инцидент «упаковывается» на удаленном объекте и отправляется на Forensic Server в SOC, где специалисты «распаковывают» его и проводят расследование.

Инцидент на удаленном объекте, не подключенном к сети

    • Специалист ИБ приезжает на объект в случае возникновения инцидента и расследует его на месте с помощью промышленного планшета или ноутбука, подключаемого к сети.
    • Сотрудник компании регулярно приезжает на объект, записывает показания PT ISIM на электронный носитель и доставляет его в SOC. Специалист SOC проводит расследование с помощью полной копии состояния PT ISIM на момент возникновения инцидента. Также для анализа доступна копия событий, происходивших до и после инцидента.

Благодаря всестороннему анализу сетевого трафика система помогает успешно бороться с различными угрозами кибербезопасности, а визуализация атак на бизнес-логику делает этот процесс проще и эффективнее. С PT ISIM управление безопасностью промышленного предприятия становится прозрачным и удобным, а реакция на возникающие инциденты — оперативной.


PT Application Firewall

PT Application Firewall — самообучающийся защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-порталы, ERP-системы и мобильные приложения. Благодаря встроенному сканеру уязвимостей и механизму корреляции он отсеивает неактуальные попытки взлома и выявляет цепочки развития реальных атак.

Ключевые задачи

С каждым годом крупный бизнес все активнее использует интернет, включая мобильные службы и ERP-приложения, тем самым повышая производительность работы и оперативность услуг. Но с увеличением числа приложений растет и количество уязвимостей, которыми могут воспользоваться злоумышленники для нанесения ущерба организации. Согласно отчету компании Verizon о компрометации данных за 2014 год, 35 % инцидентов безопасности были связаны c атаками на веб-приложения.

Большинство угроз используют уязвимости, возникающие вследствие ошибок разработчиков, и не всегда могут быть выявлены обычными сканерами, системами обнаружения вторжений и межсетевыми экранами:

    • Злоумышленники активно используют уязвимости нулевого дня (0-days), что делает бесполезными сигнатурные методы анализа.
    • Традиционный межсетевой экран дает тысячи срабатываний на подозрительные события, в которых необходимо разбираться вручную, чтобы выявить реальную угрозу.
    • Многие корпоративные сайты и онлайн-сервисы используют нестандартные решения, которые включают сторонние модули и имеют оригинальные уязвимости. Защита таких приложений требует глубокого анализа их структуры, схем взаимодействия с пользователями и контекста эксплуатации.
    • Даже известные уязвимости невозможно устранить сразу: исправление кода требует средств и времени, а зачастую и остановки важных бизнес-процессов. Установка патчей в системах ERP и ДБО может занимать месяцы, и все это время злоумышленники могут использовать уязвимость.

PT Application Inspector

PT Application Inspector — анализатор защищенности исходного кода приложений. Результатом работы PT AI является генерация эксплойтов, которые демонстрируют риски уязвимостей на практических примерах, что позволяет межсетевому экрану блокировать атаки до исправления кода, а разработчикам — ускорить исправление кода на самых ранних стадиях разработки.

Ключевые задачи

Серьезный бизнес в наши дни сложно представить без современного программного обеспечения. Однако с ростом количества программ растет и количество уязвимостей. В ходе исследований компании Positive Technologies выяснилось, что в 2014 году внешний нарушитель из интернета был способен получить доступ к узлам внутренней сети 87 % крупных компаний, хотя в 2011—2012 годах это было возможно лишь в 74 % систем. При этом большинство уязвимостей можно выявить задолго до атаки, а изучение исходного кода приложений позволяет обнаружить в 10 раз больше критически опасных уязвимостей, чем тестирование систем без анализа кода.

Последние нормативы регулирующих организаций, таких как Банк России, ФСТЭК и PCI Council, в области безопасности платежных приложений, государственных информационных систем и систем персональных данных требуют выявления и устранения уязвимостей. Решение этих задач в организациях, использующих сотни копий различного ПО, невозможно без автоматизации. Однако предлагавшиеся до сих пор решения имеют ряд недостатков:

    • Инструменты статического анализа показывают не конкретные проблемы безопасности, а ошибки программирования, что приводит к огромному количеству ложных срабатываний и дополнительным трудозатратам на проверку.
    • Ряд уязвимостей невозможно определить методом статического анализа кода (SAST), поскольку эти уязвимости проявляются только во время исполнения программ.
    • Метод динамического анализа (DAST) требует развертывания систем, что в случае масштабных корпоративных приложений ведет к дополнительным расходам. Этим методом нельзя выявить уязвимости на этапе разработки, зато можно привести к сбою уже работающее приложение. DAST требует очень много времени на тесты, но при этом покрывает лишь 30 % кода.

PT MultiScanner

Многопоточная система выявления вредоносного контента PT MultiScanner позволяет значительно повысить точность и оперативность обнаружения угроз за счет многопоточного сканирования несколькими антивирусными ядрами в сочетании с другими методами выявления, включая ретроспективный анализ действий вредоносных файлов в системе, а также репутационные сервисы.

Многоуровневая защита от вредоносного ПО

Количество и разнообразие вредоносных программ неуклонно растет. Зараженные файлы, письма и веб-сайты все чаще наносят ущерб бизнесу, госструктурам и частным лицам, несмотря на активное использование антивирусных программ. Причина в том, что антивирусные компании не успевают поддерживать актуальными свои базы знаний и не могут обеспечить стопроцентную защиту от всех новых угроз.

Кроме того, существует множество продвинутых атак, направленных на обход установленных антивирусов. Все это вынуждает крупные компании использовать облачные сервисы кросс-проверок для повышения уровня обнаружения вредоносных файлов, что в свою очередь повышает вероятность утечки конфиденциальной информации.

Лучшее решение этих проблем — использование локальной (установленной внутри защищаемого периметра) системы контроля файлов с возможностью автоматизированной параллельной проверки файлов на нескольких антивирусных решениях и с использованием репутационных сервисов. Для этих задач была создана система выявления вредоносного контента PT MultiScanner.

Многопоточная система выявления вредоносного контента PT MultiScanner позволяет значительно повысить точность и оперативность обнаружения угроз за счет многопоточного сканирования несколькими антивирусными ядрами в сочетании с другими методами выявления, включая ретроспективный анализ действий вредоносных файлов в системе, а также репутационные сервисы.

PT MultiScanner может использоваться как для выборочной проверки файлов, так и для защиты почтового трафика, файловых хранилищ, архивов и веб-порталов в реальном времени. За счет интеграции широкого набора аналитических инструментов PT MultiScanner не только противодействует отдельным вредоносным файлам, но и помогает выявлять многоступенчатые и продолжительные атаки (APT) и проводить расследование инцидентов.


XSpider

Единственный в мире сканер уже сегодня определяющий более трети уязвимостей, которые принесет завтрашний день. Основная задача сканера XSpider – обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также выдать чёткие и понятные рекомендации по устранению обнаруженных уязвимостей.

Ключевые задачи

С развитием информационных систем государственных организаций и частных компаний растёт и количество уязвимостей, которые могут быть использованы злоумышленниками для нанесения серьезного ущерба. Согласно исследованию Positive Technologies, в 2014 году 94% систем крупных компаний содержали серьезные уязвимости, позволяющие атакующему получить полный контроль над критически важными ресурсами, такими как ERP, электронная почта и системы управления сетевым оборудованием.

При этом даже самые современные антивирусы не защищают от таких атак. Согласно отчету М-Trends Report, в 2014 году 100% жертв крупных взломов имели у себя своевременно обновляемый антивирус, но это им не помогло.

Подобные тенденции приводят к ужесточению стандартов безопасности: последние нормативы таких регуляторов, таких как Банк России, ФСТЭК и PCI Council, требуют выявления и оперативного устранения уязвимостей. Решение этих задач в компаниях, использующих сотни копий различного ПО, невозможно без эффективных автоматизированных средств мониторинга.

Интеллектуальный сканнер XSpider способен выявить максимальное количество уязвимостей в информационной системе клиента до того, как они будут обнаружены и использованы злоумышленниками. Регулярное автоматическое сканирование с помощью XSpider требует минимального вмешательства специалиста. Сканнер работает удалённо, никаких «агентов» и дополнительного ПО на проверяемые хосты ставить не требуется. Поcле сканирования XSpider выдаёт чёткие рекомендации по устранению обнаруженных уязвимостей.

Будучи признанным лидером среди сканнеров безопасности в России за последние 15 лет, XSpider отличается наиболее широким покрытием программной и аппаратной составляющих крупных информационных систем, начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco. Сканер работает с уязвимостями на всех уровнях, от системного до прикладного, включая анализ веб-приложений.

База уязвимостей и проверок XSpider пополняется ежедневно, при минимальном трафике и временных затратах, и содержит свыше 20 000 проверок. За счёт эвристических алгоритмов сканнер способен выявлять еще не опубликованные уязвимости и отличается крайне низким уровнем ложных срабатываний.