Pt application firewall настройка
После успешной сдачи экзамена присваивается статус PT-AF-CS.
Форма экзамена
Сертификационный экзамен проводится в формате теста из 40-60 вопросов. Продолжительность экзамена 1 час.
Программа экзамена
- Общие принципы работы Web-приложений
- OWASP Top 10
- Режимы работы и возможности решения
- Настройка обработки трафика и сетевые настройки
- Обработка SSL-трафика
- Принципы работы с User Interface
- Корреляция событий
- Создание поисковых запросов по событиям
- Сканирование приложений
- Принципы работы протекторов
- Настройка исключений
- Обеспечение работоспособности решения
Условия допуска к экзамену
Порядок сертификации для получения статуса партнера
Первые две попытки сдачи экзамена предоставляются бесплатно, третья и последующие проводятся только на базе Учебный центр «Информзащита» на платной основе. Важно! Если вы проходите обучение в Учебный центр «Информзащита», то попытка тестирования по окончании обучения является дополнительной бесплатной попыткой.
Порядок пересертификации для подтверждения статуса партнера
Согласно условиям партнерской программы для сохранения партнерских статусов и продления сертификатов требуется пересдача экзаменов.
Основные правила экзаменационных испытаний для продления сертификатов:
- Экзамены на продление сертификата любого уровня сдаются удаленно.
- Тем специалистам, у которых есть сертификаты уровней CS и CP по одному и тому же продукту, требуется пересдача только по CP. Обязательное условие сдачи экзамена уровня CP – наличие действующего сертификата на статус CS.
- Для некоторых сертификатов срок действия увеличен до двух лет.
- Количество попыток сдачи экзамена такое же, как при сертификации на получение статуса партнера.
Порядок записи на экзамен
Все экзамены проводятся в удаленном формате.
Цели прохождения экзаменов и получения сертификатов по продуктам
Согласно условиям партнерской программы Positive Technologies для получения авторизации компании-партнеру необходимо иметь в штате сертифицированных специалистов по каждому продуктовому направлению Positive Technologies, продвигаемому партнером (уровни SC/CS/CP). Минимально необходимое количество сертифицированных специалистов по продуктам:
- MaxPatrol 8, MaxPatrol SIEM, PT AF, PT NAD – два специалиста с квалификацией уровня CS (инженер), один СР (эксперт) и один специалист уровня SC (пресейл).
- PT MultiScanner, PT ISIM, PT AI – два специалиста с квалификацией уровня CS (инженер).
Описание статусов специалистов
Формат
Каталог курсов
Расписание курсов
Обучение
Учебный центр
Сведения об образовательной организации
Контакты
Повышение осведомленности
Учебный центр
Мы используем файлы cookie, чтобы предоставлять вам наилучшие услуги на нашем веб-сайте, измерять посещаемость и эффективность,
а также размещать рекламу. Узнать больше
Нажимая «Принимаю» или оставаясь на сайте,
вы соглашаетесь с условиями использования.
Условия использования файлов cookie
Когда вы посещаете какой-либо веб-сайт, включая наш, в вашем браузере могут сохраняться данные, или браузер может передавать такие данные, в основном, в виде файлов cookie. Такие данные обычно не идентифицируют вас непосредственно, но могут предоставлять вам индивидуализированные возможности работы в интернете. Это может быть информация о ваших предпочтениях или вашем устройстве, которая, как правило, используется для работы веб-сайта в соответствии с вашими ожиданиями. Эти файлы cookie позволяют нам подсчитывать количество и источники посетителей, чтобы оценивать и улучшать работу нашего веб-сайта. В результате мы знаем, какие страницы являются наиболее и наименее популярными, и видим, каким образом посетители перемещаются по веб-сайту. Все данные, собираемые при помощи этих cookie, объединяются и поэтому являются анонимными. Если вы не разрешаете использование этих файлов cookie, у нас не будет данных о посещении вами нашего веб-сайта, и мы не сможем контролировать его эффективность.
Мы уважаем ваше право на конфиденциальность, поэтому вы можете отказаться от использования некоторых типов файлов cookie.
Продолжая работу на сайте вы выражаете свое согласие на автоматизированную обработку данных включая файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии, в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто, с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнёрам Компании, предоставляющим сервис по указанным метрическим программам. Обработка информации осуществляется в целях улучшения работы сайта, совершенствования продуктов и услуг Компании, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Компании и его партнёров.
Настоящее согласие действует с момента его предоставления и в течение всего периода использования сайта.
В случае отказа от обработки персональных данных метрическими программами я проинформирован о необходимости прекратить использование сайта или отключить файлы cookie в настройках браузера.
Настройки вашего браузера и устройства
Кроме того, если вы хотите ограничить, заблокировать или удалить файлы cookie, вы можете сделать это в настройках вашего веб-браузера. В зависимости от используемого браузера необходимые шаги могут немного отличаться. Нажмите на любую из ссылок для браузеров ниже, чтобы ознакомиться с инструкциями.
Если вы не пользуетесь ни одним из вышеперечисленных браузеров, вызовите функцию «Справка» в вашем веб-браузере, чтобы узнать, что вам нужно сделать.
Обратите внимание, что доступ к определенным разделам наших веб-сайтов возможен только при разрешенных файлах cookie, и вы должны понимать, что отключение файлов cookie может привести к тому, что вы не сможете получить доступ к некоторому контенту и воспользоваться всеми функциями нашего Онлайн-сервиса.
Уязвимость в приложении может существовать несколько месяцев/лет до выхода официального патча или не быть исправлена совсем. WAF позволяет защититься от эксплуатации имеющихся уязвимостей без внесения изменений в само приложение.
Преимущества
PT Application Firewall защищает от DDoS-атак уровня L7, эксплуатации уязвимостей в бизнес-логике приложений.
PT Application Firewall блокирует атаки из списка OWASP Top 10 и классификации WASC, а также автоматически обнаруживает уязвимости и защищает от их эксплуатации.
Быстро встраивается в инфраструктуру
PT Application Firewall имеет встроенный мастер настройки и предустановленные шаблоны политик безопасности, благодаря которым его легко установить и использовать.
Кейс 2: PT Application Firewall +PT Application Inspector + MaxPatrol SIEM
Предположим, что у вас уже используется веб-приложение. Для анализа защищенности его кода вы используете PT Application Inspector, который обнаруживает в нем ошибки и уязвимости. Приложение боевое, остановить его работу в данный момент не представляется возможным, в связи с этим PT Application Inspector автоматически выгружает результаты анализа в PT Application Firewall, который в свою очередь применяет правила для блокировки атак на уязвимое приложение до наступления времени, когда исправление кода приложения становится возможным. За ходом самого процесса вы наблюдаете через MaxPatrol SIEM.
Сценарии использования
Механизмы корреляции и пользовательских правил позволяют объединить в цепочку несколько логически связанных событий, распределенных во времени, а также настроить аудит произвольных действий пользователей веб-приложения.
PT Application Firewall защищает от программ-роботов разного уровня, в том числе тех, что способны исполнять JavaScript, эмулируя браузер.
Профилирование приложений с использованием машинного обучения позволяет отслеживать аномалии в запросах клиентов и блокировать атаки, для которых еще нет правил обнаружения.
Клиентский модуль WAF.js защищает пользователей от XSS, DOM XSS, DOM clobbering, CSRF и других атак при входе на страницу приложения.
Дополнительный модуль M-Scan проверяет загружаемые и скачиваемые файлы набором антивирусов (до 7 движков) и блокирует вредоносное ПО
Профилирование пользователей с использованием машинного обучения позволяет отслеживать аномалии, в том числе попытки DDoS-атак уровня приложений
Дополнительный модуль P-Code анализирует исходный код веб-приложений, выявляет уязвимости и защищает от их эксплуатации с помощью виртуальных патчей
Кейс 1: PT NAD+ PT Sandbox+ MaxPatrol SIEM
Предположим, что PT Sandbox находит вредоносное ПО на файловом хранилище и передает инцидент в MaxPatrol SIEM. Вы как администратор наблюдаете только за инцидентами в SIEM так, как он консолидирует данные от всех систем безопасности в себя. Вы видите этот инцидент в SIEM, там же просматриваете логи по объектам этого инцидента и обнаруживаете, что вредоносное ПО попало туда с одного из АРМ пользователей. Далее вы просматриваете трафик этого АРМа в сети с помощью PT NAD. При анализе трафика вы обнаруживаете, что АРМ отправлял вредоносное ПО не только на файловое хранилище, но и на несколько других активов. Вы снова возвращаетесь в SIEM и просматриваете логи по новым активам, задействованным в инциденте и предпринимаете необходимые меры.
Решение
PT AF — web application firewall (WAF), инновационная система защиты, которая точно обнаруживает и блокирует атаки, включая атаки из списка OWASP Top 10 и классификации WASC, L7 DDoS и атаки нулевого дня. PT AF обеспечивает непрерывную защиту приложений, пользователей и инфраструктуры и помогает соответствовать стандартам безопасности.
Кейс 3: MaxPatrol 8+ MaxPatrol SIEM
Предположим, что в интерфейсе MaxPatrol SIEM вы видите хосты с большим разнообразием ПО и уязвимостей. Для исправления ситуации вы выстраиваете процесс выявления и устранения уязвимостей на MaxPatrol 8. Благодаря этому процессу с течением времени конфигурация хостов поправляется, ПО обновляется и уязвимостей становится намного меньше. В SIEM же вы наблюдаете уменьшение количества уязвимых хостов, критических активов и не обновленного ПО.
Последующие статьи будут технического плана и в первую очередь посвящены подробному знакомству с продуктом MaxPatrol 8. В рамках данного цикла статей мы расскажем о том как начать работать с продуктом и разберем его особенности.
Если данная тематика вам интересна, то следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
Два года подряд во время международного форума Positive Hack Days проходил конкурс WAF Bypass по обходу межсетевого экрана PT Application Firewall. Мы публиковали в блоге разбор заданий этого соревнования (2014 год и 2015 год).
За год популярность соревнования значительно выросла: этой весной для участия зарегистрировалось 302 человека (годом ранее — 101), которые за время конкурса отправили 271390 запросов (вдвое больше, чем в предыдущем году).
При этом многие участники соревнования и гости PHDays интересовались не только самим соревнованием и его заданиями, но и экраном, который нужно было обходить. Поэтому мы решили немного подробнее рассказать об этом инструменте и пригласить поучаствовать в его разработке тех хабраюзеров, которые интересуются темой WAF не только в рамках конкурсов.
Немного истории
Наша компания уже 13 лет занимается борьбой с киберугрозами, за это время мы разработали целый ряд программных решений, которые сейчас обеспечивают безопасность более 1000 компаний в 30 государствах.
Одним из таких проектов является интеллектуальный межсетевой экран Positive Technologies Application Firewall (PT AF) — он помогает защищать веб-порталы, ERP-системы и мобильные приложения. Продукт уже неплохо показал себя в «боевых» условиях: например, при защите сайтов медиа-холдинга ВГТРК во время зимней Олимпиады-2014. А международная аналитическая компания Gartner, изучив наш защитный экран, назвала компанию Positive Technologies «Визионером» в своем исследовании «Magic Quadrant for Application Firewalls 2015».
Мы хотим сделать продукт еще лучше, и для этого нам нужны увлеченные люди.
Технические подробности
Продукт разрабатывается и поставляется как Hardware Appliance или Virtual Appliance (с режимами работы Reverse Proxy, Mirrored SPAN и Forensics) — поэтому все части системы должны дополнять друг друга. Решение «заточено» на работу с высоконагруженными системами (трафик 10 Gbps). Предусмотрена возможность кластерной установки с горизонтальным масштабированием для увеличения производительности.
Рассматривая PT AF как многокомпонентную систему, можно выделить несколько направлений разработки:
- Система сборки и установки продукта;
- User Interface. Frontend;
- User Interface. Backend;
- Ядро продукта. Логика анализа трафика;
- Сетевая инфраструктура. Логика получения и разбора трафика;
- Машинное обучение. Эвристические алгоритмы по оценке пользовательского поведения и отправляемых данных.
Разработчики C++
Разработчики Python/JS
- Проработка и реализация SaaS-архитектуры PT AF.
- Реализация возможности разграничения полномочий пользователей по управлению политиками безопасности для большого числа установленных копий продукта (multitenance).
- Работа над REST API — инструментом управления PT AF, который используется как для собственного UI, так и для интеграции с любыми другими внешними системами.
- Развитие систем Orchestration и Provisioning, позволяющих создавать достаточное количество копий продукта для обслуживания пользовательского трафика.
- CLI – консольный интерфейс управления продуктом на основе REST API.
- Разработка и поддержка новой версии Frontend для UI. Язык преимущественно AngularJS, Node.JS.
- Развитие системы обновления продукта. Интеграция с собственным сервером управления лицензиями. Организация доступа для технической поддержки на сервер PT AF. Сбор статистической информации с PT AF на сервер сбора данных.
- Доработка системы отчетности — генерация отчетов об инцидентах, статусе системы, нагрузке, шаблонизирование пользовательских отчетов.
Инженеры по качеству
Что мы предлагаем
Команда проекта пока небольшая, а значит, каждый ее член может принимать ключевые решения. Помимо прочего, работа в Positive Technologies — это:
Развитие компьютерных и сетевых технологий привело к появлению распределенных приложений, среди которых наибольшей популярностью пользуются веб-приложения. В последние годы наблюдается лавинообразный рост числа этих приложений, предназначенных как для решения различных бизнес-задач, так и для управления всевозможными устройствами, контроллерами и системами автоматизированного управления технологическими процессами. Широкое распространение веб-приложений делает задачу защиты их серверной и клиентской частей очень актуальной для львиной доли компаний всех отраслей экономики.
Экспертный опыт компании Positive Technologies показывает, что в большинстве случаев разработчики веб-приложений не уделяют должного внимания безопасности своей продукции. В то же время сложность веб-приложений и большое количество применяемых в них технологий приводит к многочисленным ошибкам проектирования, реализации и администрирования реальных бизнес-систем.
Для анализа и повышения уровня защищенности веб-приложений компания Positive Technologies предлагает два инновационных продукта – PT Application Inspector (PT AI) и PT Application Firewall (PT AF). В учебном курсе «Развертывание и администрирование PT Application Firewall» рассматриваются характерные для веб-приложений риски, методы поиска уязвимостей в веб-приложениях в рамках подготовки ко вводу в эксплуатацию и построения процесса SDLC, а также способы защиты уже развернутого веб-приложения от сетевых атак. Кроме того, в курс включен разбор атак, направленных не только на серверную часть веб-приложений и их бизнес-логику, но и атак на клиентскую часть, эксплуатация которых несет потенциальный репутационный ущерб бизнесу.
Аудитория
- Администраторы корпоративных сетей.
- Администраторы безопасности.
- Разработчики веб-приложений.
Предварительная подготовка
Для успешного прохождения курса слушателям требуются следующие знания и навыки:
- общее представление об архитектуре стека протоколов TCP/IP;
- практический опыт работы с операционными системами семейства Windows;
- базовые знания о сетевых технологиях;
- общее представление об информационной безопасности и основах построения защищенных корпоративных систем;
- базовые знания в области веб-технологий.
В результате обучения
Вы приобретете знания и систематизируете сведения:
- о рисках, связанных с использованием веб-технологий;
- о механизмах и способах атак на веб-приложения;
- о методологии разработки безопасных приложений.
Вы сможете:
- квалифицированно осуществлять анализ защищенности веб-приложений при помощи программного продукта PT AI;
- грамотно защищать веб-приложения при помощи решения PT AF;
- использовать сведения об уязвимостях, полученных при помощи PT AI, при настройке PT AF;
- использовать PT AF для мониторинга и анализа атак в сети, в том числе постфактум при наличии дампа сетевого трафика; использовать возможности PT AF для расширенного анализа безопасности веб-приложений.
Пакет слушателя
Авторизованное учебное пособие.
Дополнительно
После прохождения курса выпускники получают:
- свидетельства об обучении Учебного центра "Информзащита",
- сертификаты о прохождении авторизованного курса от компании Positive Technologies.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Курс готовит к сертификационному экзамену PT-AF-CS.
Программа курса
Модуль 1. Введение. Распределенные приложения. Модель «клиент-сервер», веб-приложения. Проблемы и основные понятия безопасности веб-технологий. Угрозы безопасности веб-приложений. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
Практическая работа 1. Внедрение SQL-кода
Модуль 2. Обзор технологий минимизации рисков. Фильтрация пользовательского ввода. Стандарт Content Security Policy. Специализированные межсетевые экраны и системы обнаружения атак. Устройство и принципы работы системы защиты приложений Positive Technologies Application Firewall (PT AF). Модели развертывания. Использование защитных механизмов уровня операционной системы при выборе программной модели развертывания. Схема лицензирования. Варианты подключения. Анализ зашифрованного трафика.
Практическая работа 2. Развертывание PT AF
Модуль 3. Анализ событий. Концепция интерфейса. Работа с консолью PT AF (dashboard). Использование запросов и фильтров. Геолокация.
Практическая работа 3. Работа с фильтрами в Консоли PTAF
Модуль 4. Выявление ложных срабатываний, подтверждение наличия уязвимости.
Практическая работа 4. Фильтрация ложных срабатываний
Модуль 5. Настройка модулей защиты трафика. Профили защиты. Защитные модули PT Application Firewall. Корреляция событий.
Практическая работа 5. Настройка профиля защиты
Модуль 6. Механизмы реагирования. Оповещения. Модификация трафика. Блокировка. Интеграция с системами управления событиями безопасности.
Практическая работа 6. Настройка механизмов реагирования
Формат
14 - 16 июня 2022
20 - 22 июля 2022
01 - 03 ноября 2022
Каталог курсов
Расписание курсов
Обучение
Учебный центр
Сведения об образовательной организации
Контакты
Повышение осведомленности
Учебный центр
Мы используем файлы cookie, чтобы предоставлять вам наилучшие услуги на нашем веб-сайте, измерять посещаемость и эффективность,
а также размещать рекламу. Узнать больше
Нажимая «Принимаю» или оставаясь на сайте,
вы соглашаетесь с условиями использования.
Условия использования файлов cookie
Когда вы посещаете какой-либо веб-сайт, включая наш, в вашем браузере могут сохраняться данные, или браузер может передавать такие данные, в основном, в виде файлов cookie. Такие данные обычно не идентифицируют вас непосредственно, но могут предоставлять вам индивидуализированные возможности работы в интернете. Это может быть информация о ваших предпочтениях или вашем устройстве, которая, как правило, используется для работы веб-сайта в соответствии с вашими ожиданиями. Эти файлы cookie позволяют нам подсчитывать количество и источники посетителей, чтобы оценивать и улучшать работу нашего веб-сайта. В результате мы знаем, какие страницы являются наиболее и наименее популярными, и видим, каким образом посетители перемещаются по веб-сайту. Все данные, собираемые при помощи этих cookie, объединяются и поэтому являются анонимными. Если вы не разрешаете использование этих файлов cookie, у нас не будет данных о посещении вами нашего веб-сайта, и мы не сможем контролировать его эффективность.
Мы уважаем ваше право на конфиденциальность, поэтому вы можете отказаться от использования некоторых типов файлов cookie.
Продолжая работу на сайте вы выражаете свое согласие на автоматизированную обработку данных включая файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии, в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто, с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнёрам Компании, предоставляющим сервис по указанным метрическим программам. Обработка информации осуществляется в целях улучшения работы сайта, совершенствования продуктов и услуг Компании, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Компании и его партнёров.
Настоящее согласие действует с момента его предоставления и в течение всего периода использования сайта.
В случае отказа от обработки персональных данных метрическими программами я проинформирован о необходимости прекратить использование сайта или отключить файлы cookie в настройках браузера.
Настройки вашего браузера и устройства
Кроме того, если вы хотите ограничить, заблокировать или удалить файлы cookie, вы можете сделать это в настройках вашего веб-браузера. В зависимости от используемого браузера необходимые шаги могут немного отличаться. Нажмите на любую из ссылок для браузеров ниже, чтобы ознакомиться с инструкциями.
Если вы не пользуетесь ни одним из вышеперечисленных браузеров, вызовите функцию «Справка» в вашем веб-браузере, чтобы узнать, что вам нужно сделать.
Обратите внимание, что доступ к определенным разделам наших веб-сайтов возможен только при разрешенных файлах cookie, и вы должны понимать, что отключение файлов cookie может привести к тому, что вы не сможете получить доступ к некоторому контенту и воспользоваться всеми функциями нашего Онлайн-сервиса.
Адаптируется под защищаемые приложения
PT Application Firewall сочетает в себе «коробочность» и возможности тонкой настройки, что позволяет ему работать одновременно с большим числом приложений разной степени сложности и значимости.
Блокирует массовые и целевые атаки
Благодаря комбинации защитных механизмов и экспертизе Positive Technologies, PT Application Firewall обеспечивает комплексную защиту от известных угроз и атак нулевого дня.
Отзывы
«Благодаря межсетевому экрану PT Application Firewall мы можем контролировать безопасность веб-приложений „Абсолют Банка“ и оперативно реагировать на актуальные угрозы. PT Application Firewall подтвердил заявленные характеристики и зарекомендовал себя как надежное, производительное и функциональное решение».
С помощью PT AF «Связной» обеспечил защиту более десятка своих онлайн-сервисов (включая Svyaznoy.ru) и 15 миллионов посетителей этих сервисов. "Мы протестировали различные решения, как отечественные, так и импортные. Продукт компании Positive Technologies отвечает всем предъявленным нами требованиям. С помощью PT Application Firewall были выявлены атаки, которые не обнаруживались другими средствами. Кроме того, мы знакомы с профессиональной командой Positive Technologies, следим за прогрессом этой компании, и это дает нам уверенность, что PT Application Firewall будет достойно развиваться".
С помощью PT Application Firewall «МегаФон» обеспечил защиту 12 ключевых веб-систем, которые обрабатывают до 60 000 запросов пользователей в секунду. «Мы изучили продукты различных компаний, включая лидеров зарубежного рынка, но предпочли российское решение PT Application Firewall. Мы давно сотрудничаем с Positive Technologies, и нам нравится то, что делают коллеги. Есть понимание, что их продукты будут развиваться и удовлетворять наши новые потребности. Мы находимся в постоянном диалоге, всегда получаем необходимую поддержку, и для нас очень важно, что наш партнер нас слышит».
С помощью PT AF Уральский федеральный университет обеспечил защиту своего официального сайта. «Изучая рынок средств ИБ, мы обратили внимание на межсетевой экран уровня приложений PT Application Firewall, так как в нем реализованы самые современные технологии защиты веб-приложений. Использование PT Application Firewall позволило нам осуществлять непрерывный мониторинг безопасности портала УрФУ и оперативно реагировать на атаки. Мы благодарны экспертам компаний Positive Technologies и "Экстрим безопасность" за проявленную при совместных работах отзывчивость и высокий уровень профессионализма».
С помощью PT AF ВГТРК обеспечила защиту и доступность более двух десятков веб- и мобильных приложений, транслировавших Олимпийские игры. «Благодаря использованию PT Application Firewall все атаки были своевременно блокированы, а миллионы наших онлайновых зрителей и слушателей получили бесперебойную трансляцию Олимпийских игр».
Данная статья является отправной точкой в цикле статей по продуктам Positive Technologies. Первая часть будет посвящена MaxPatrol 8, а сегодня в рамках данной статьи мы поговорим о разнообразии продуктов и решений Positive Technologies и их совместном использовании.
У Positive Technologies существует целый арсенал решений по защите корпоративной и технологической сети. Упрощенный пример совместного взаимодействия продуктов продемонстрирован на данном рисунке.
Теперь поговорим о каждом продукте отдельно:
MaxPatrol 8 — система анализа защищенности и соответствия стандартам, может работать в следующих режимах:
- Pentest — тестирование инфраструктуры методом черного ящика
- Audit — проверка на наличие уязвимостей методом белого ящика
- Compliance — тестирование на соответствие основным стандартам (ISO, PCI DSS и CIS)
MaxPatrol SIEM— система выявления событий информационной безопасности. MaxPatrol SIEM дает полную видимость IT-инфраструктуры, позволяет детектировать инциденты информационной безопасности в режиме реального времени и существенно сокращать скорость реагирования на эти инциденты.
Продукт поддерживает более 300 источников данных для мониторинга, включая большой спектр российского программного обеспечения.
Вместе с MaxPatrol SIEM компании получают знания по обнаружению современных угроз в виде регулярно пополняемых пакетов экспертизы в Positive Technologies Knowledge Base (PT KB). PT KB входит в состав MaxPatrol SIEM.
PT Industrial Security Incident Manager (PT ISIM) — система непрерывного анализа трафика технологических сетей предприятий (АСУ ТП). Обеспечивает поиск следов нарушений информационной безопасности в технологических сетях, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ, приказы ФСТЭК № 31, 239, требования по взаимодействию с ГосСОПКА).
Инструмент работает с копией трафика и протоколами в сегменте АСУ ТП. Кибератаки выявляются на ранней стадии благодаря использованию собственной базы идентификаторов промышленных угроз (PT ISTI), а также комбинации сигнатурных методов обнаружения атак и механизма поведенческого анализа.
PT Application Firewall — межсетевой экран уровня приложений. Cистема позволяет точно обнаруживать и блокировать атаки на веб-ресурсы, включая угрозы из списка OWASP Top 10, WASC, L7 DDoS и атаки нулевого дня. PT Application Firewall обеспечивает непрерывную защиту приложений, пользователей и инфраструктуры и помогает соответствовать стандартам безопасности.
PT Application Firewall может работать в одном из трех режимов:
- Работа “в разрыв” — весь трафик проходит непосредственно через PT Application Firewall. Может устанавливаться по моделям прозрачного прокси-сервера, обратного прокси-сервера и сетевого моста L2
- Режим мониторинга — маршрутизатор заворачивает трафик на PT Application Firewall, который обнаруживает инциденты и предупреждает о них системы безопасности
- Автономный режим — продукт изучает системные журналы на предмет наличия в них следов атак, что может быть использовано при расследовании инцидентов
Продукт умеет автоматически выгружать результаты анализа в PT Application Firewall, который применяет правила для блокировки атак на уязвимое приложение на время исправления кода.
Решение комбинирует статические, динамические и интерактивные методы (SAST, DAST и IAST).
По итогам анализа PT
Application Inspector выдает данные о номере строки и типе уязвимости, а также генерирует безопасные тестовые эксплойты необходимые для подтверждения или опровержения наличия уязвимости.
Благодаря модулю динамического анализа эти эксплойты запускаются на любом тестовом стенде, в том числе в автоматическом режиме, что существенно сокращает трудозатраты экспертов.
PT Network Attack Discovery (PT NAD) – система анализа трафика для выявления атак на периметре и внутри сети. PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.
Система хранит сырой трафик и 1200 параметров сетевых сессий. Это помогает выявлять следы компрометации, подтверждать атаку, проводить расследование и собирать доказательную базу.
Из особенностей следует выделить:
- Инструмент определяет 80 протоколов, 30 из них разбирает вплоть до уровня L7
- Имеет на борту собственные правила обнаружения угроз
- Возможна фильтрация сессий по 1200 параметрам для точного поиска
- Определяет техники и тактики из модели MITRE ATT&CK
- Хранит данные об атаках внутри компании атаки и их последствия даже в шифрованном трафике
- Есть интеграция с SIEM-системами
Из ключевых особенностей стоит отметить:
- Возможность гибко настраивать виртуальные среды. PT Sandbox позволяет загрузить в виртуальную среду специфическое программное обеспечение и его версии, которые используются в компании. Это позволяет выявлять целевые атаки на конкретное ПО и 0-day уязвимости
- Обнаружение вредоносной сетевой активности. Продукт выявляет угрозы в трафике, генерируемом в процессе анализа файлов (в том числе, в шифрованном). Это помогает видеть опасную сетевую активность, которая внешне не связана с конкретным файлом
- Выявление новых угроз и скрытого присутствия вредоносного ПО за счет ретроспективного анализа. Автоматическая перепроверка запускается после обновления баз знаний антивирусных движков. Это обеспечивает оперативное обнаружение новейших угроз, которые еще не детектировались на момент проверки файла
- Актуальные для России знания в продукте. Правила PT ESC для анализа файлов создают эксперты, которые постоянно исследуют деятельность хакерских группировок и занимаются расследованием инцидентов в крупных компаниях
Опции внедрения
Sniffer
Анализ копии трафика, который передается в PT AF со SPAN-порта коммутатора
Reverse proxy
Перехват и расшифровка трафика, блокирование атак. Самый популярный сценарий внедрения WAF
Transparent proxy
Подключение «в разрыв» на пути трафика между клиентом и веб-сервером в качестве L2-моста
Читайте также: