Комплексная защита сети без огромных трат: обзор решений PT NAD и PT NGFW

Сегодня невозможно построить эффективную защиту сети, полагаясь лишь на периметр. Угрозы давно не ограничиваются внешними атаками — злоумышленники проникают внутрь и месяцами остаются незамеченными. Классические средства защиты не справляются. И именно поэтому все больше ИБ-отделов переходят к связке поведенческого анализа и современных NGFW-решений.

В этой статье разбираем два продукта, которые позволяют построить реально рабочую защиту с учетом современных угроз и ограниченных ресурсов:

• PT Network Attack Discovery (PT NAD) — система анализа сетевого поведения.
• PT Next Generation Firewall (PT NGFW) — фаервол нового поколения с встроенными механизмами глубокой фильтрации и управления доступом.

PT Network Attack Discovery: инструмент для контроля внутренней сети и скрытых угроз

PT NAD — это система поведенческого анализа сетевого трафика, предназначенная для обнаружения кибератак, которые остаются незамеченными классическими средствами защиты. Она автоматически фиксирует подозрительные действия в инфраструктуре, помогает расследовать инциденты и проводить проактивный поиск угроз.

Что выявляет PT NAD?

1. Угрозы в зашифрованном трафике. Система проводит глубокий поведенческий анализ, позволяя выявлять вредоносные программы, маскирующиеся под нестандартные или самописные протоколы, даже внутри TLS-сессий.
2. Перемещения внутри сети. Фиксируются действия злоумышленников после проникновения в периметр: разведка, удаленное выполнение команд, атаки на Active Directory, Kerberos и другие критичные компоненты.
3. Работа с актуальной экспертизой. Эксперты PT ESC постоянно отслеживают активность хакерских группировок, анализируют сложные атаки и на основе этого обновляют правила и индикаторы компрометации в PT NAD.
4. Эксплуатация уязвимостей. Обнаруживаются попытки эксплуатации как известных, так и еще не классифицированных уязвимостей — даже до появления CVE-идентификатора.
5. Активность вредоносного ПО. PT NAD распознает вредоносное ПО по характерным признакам сетевого поведения, даже если оно не вызывает срабатывания антивирусных решений.
6. Признаки ранее не зафиксированных атак. После обновления базы знаний автоматически запускается ретроспективный анализ трафика — позволяет найти следы уже состоявшихся атак, прошедших незамеченными.
7. Маскировка от систем защиты. Система определяет свыше 100 сетевых протоколов и 9 туннельных (включая DNS, HTTP, SMTP, ICMP), используемых для сокрытия активности, передачи данных и связи с внешними серверами.
8. Генерация доменов. С помощью ML-моделей PT NAD выявляет автоматически сгенерированные доменные имена, которые вредоносное ПО применяет для устойчивой связи с C&C-серверами.

Рассмотрим возможности подробнее.

1. Расследование инцидентов: от факта до выводов

Для подтверждения кибератаки специалистам по информационной безопасности необходимо собрать полную картину происходящего: журналы с конечных точек, события из систем защиты, сетевой контекст и артефакты. Только так можно установить, была ли атака реальной, как она развивалась, и какие последствия могла повлечь.

PT NAD существенно упрощает этот процесс. Система автоматически сохраняет копию сетевого трафика, обрабатывает его и предоставляет всю необходимую информацию для анализа. Это позволяет оперативно определить, имело ли место вторжение, и принять меры без задержек.

С помощью PT NAD специалист по ИБ может локализовать угрозу, восстановить последовательность действий атакующего, выявить слабые места в инфраструктуре и собрать доказательства. Кроме того, система помогает выработать корректные компенсирующие меры, чтобы исключить повторение аналогичного сценария в будущем.

2. Управление сетевыми активами

PT NAD обеспечивает полную видимость всех устройств, подключенных к сети, включая те, на которые невозможно установить SIEM- или EDR-агенты. Система автоматически выявляет незащищенные узлы и передает эту информацию службе безопасности.

Каждое устройство в инфраструктуре проходит профилирование: PT NAD собирает данные о сетевых протоколах, открытых портах, установленной ОС и программном обеспечении, определяет тип и назначение узла. Все профили обновляются в реальном времени, что позволяет IT-отделу контролировать текущее состояние инфраструктуры и оперативно реагировать на изменения.

3. Проактивный поиск угроз (Threat Hunting)

PT NAD поддерживает ручную проверку гипотез, когда инфраструктура анализируется без сигнала от системы защиты.

• Проверка следов деятельности APT-групп на основе данных о TTP;
• Анализ специфических артефактов (внутренние туннели, нестандартные обращения);
• Выявление атак на ранних этапах, до активации полезной нагрузки.

4. Выявление аномалий и скрытых угроз в инфраструктуре

Хотя значительную часть атак можно остановить на периметре, в ряде случаев злоумышленники проходят дальше — во внутренний контур сети. Именно там начинают разворачиваться сложные, многоэтапные сценарии, которые стандартные средства защиты чаще всего не фиксируют.

PT NAD отслеживает поведение сетевых узлов и анализирует трафик с использованием машинного обучения. Встроенные самообучающиеся модули, разработанные специалистами PT Expert Security Center, позволяют выявлять угрозы, которые не обнаруживаются сигнатурным методом.

Система использует поведенческий и статистический анализ сетевых сессий, индикаторы компрометации, а также ретроспективный разбор событий. Это дает возможность обнаружить атаки как на самых ранних стадиях, так и в тех случаях, когда злоумышленник уже получил доступ к инфраструктуре.

Анализ трафика охватывает десятки параметров каждой сессии и позволяет точно идентифицировать вредоносную активность даже внутри шифрованных каналов. База индикаторов и правил обновляется каждую неделю, что обеспечивает устойчивость системы к новым вектором атак.

Благодаря такой архитектуре PT NAD помогает команде ИБ своевременно выявлять сложные угрозы и предотвращать критичные последствия еще до того, как они затронут бизнес.

5. Контроль соблюдения ИБ-регламентов

Обнаруживаются:

• учетные записи с небезопасными паролями;
• удаленные подключения без должной защиты;
• использование утилит для скрытной активности (например, Mimikatz, PSExec);
• аномальные действия пользователей и сервисов.

Снижается площадь атаки за счет устранения конфигурационных уязвимостей и нарушения политик безопасности.

PT NGFW: защита сети нового поколения для высокой нагрузки и гибкой инфраструктуры

PT NGFW — это российский межсетевой экран нового поколения, разработанный для работы в высоконагруженных и распределенных средах. Продукт сертифицирован ФСТЭК, поддерживает все ключевые функции корпоративного класса и соответствует современным требованиям к производительности, безопасности и масштабируемости.

Где применяется

Решение эффективно защищает:

• периметр корпоративной сети при полной загрузке каналов на скоростях более 10 Гбит/с,
• внутренние сегменты и трафик между филиалами за счет микро- и макросегментации,
• каналы передачи данных между дата-центрами,
• облачную инфраструктуру — с поддержкой гипервизоров ESXi и KVM.

Основной функционал безопасности

Контроль приложений и действий пользователей

PT NGFW способен распознавать свыше 4500 приложений и подприложений, включая востребованные в России решения: «1С», «Госуслуги», «Яндекс», «VK», «Битрикс» и другие. За счет собственных декодеров и парсеров система не просто определяет приложение, но и фиксирует, какие именно действия выполняет пользователь внутри него.

Управление доступом по пользователям

Решение интегрируется с каталогами пользователей, такими как Microsoft Active Directory, и позволяет строить политики безопасности, учитывая конкретных пользователей и группы. Это дает возможность задавать точные правила доступа: кто, куда и с каким приложением может работать.

Система предотвращения вторжений (IPS)

В PT NGFW реализованы высокопроизводительные алгоритмы IPS, оптимизированные для анализа трафика на скоростях до 60 Гбит/с. Поддерживается настройка независимых IPS-профилей с возможностью выбора сигнатур и конфигурации правил. Встроенные сигнатуры формируются экспертами PT ESC, также можно добавлять пользовательские правила.

Расшифровка TLS

Фаервол поддерживает инспекцию зашифрованного трафика, включая TLS 1.3, без необходимости понижения версии протокола. Это позволяет выявлять угрозы, скрытые внутри защищенных соединений.

Фильтрация веб-контента

Система URL-фильтрации предоставляет возможность создавать политики доступа на основе категорий сайтов. В комплекте более 75 преднастроенных категорий, доступна ручная настройка и добавление собственных групп.

Инфраструктурные возможности

• Полноценная маршрутизация трафика;
• Работа с виртуальными контекстами;
• Гибкая иерархия правил и групп;
• Быстрая система поиска настроек и объектов;
• Поддержка отказоустойчивых кластеров;
• Расширенные функции NAT;
• Подробное журналирование всех операций.

Экспертиза и тестирование

Разработку и развитие PT NGFW обеспечивает команда PT Expert Security Center — группа специалистов с глубокими компетенциями в области информационной безопасности. Они отвечают за создание актуальных правил для системы предотвращения вторжений (IPS), поставку индикаторов компрометации, а также регулярное обновление перечня вредоносных ресурсов, с которыми фаервол взаимодействует в рамках URL-фильтрации и анализа трафика.

Производительность и стабильность PT NGFW подтверждены тестами, проводимыми в соответствии с отраслевым стандартом RFC 9411 (методика оценки сетевых устройств безопасности). В рамках испытаний проверяется:

• точность распознавания приложений через AppMix,
• возможность расшифровки TLS и анализа HTTP-запросов объемом 5 кБ,
• эффективность встроенной IPS-системы с 10 030 сигнатурами,
• работа в L3-режиме с поддержкой двух виртуальных контекстов,
• обработка до 10 000 политик на младших платформах и до 100 000 — на старших,
• полное логирование всех политик и действий.

Производительность и архитектура

Производительность PT NGFW — одна из лучших на российском рынке: более 300 Гбит/с в режиме анализа пользователей и приложений. Высокая скорость достигается за счет переноса обработки TCP/IP из ядра в пользовательское пространство. Это исключает избыточные копирования пакетов и позволяет достигать заявленных скоростей без специализированных аппаратных ускорителей.

Что важно

• PT NGFW одинаково хорошо работает на периметре, в дата-центре и в облаке;
• Подходит для задач с высокой плотностью трафика и большим количеством политик (до 100 000 на старших платформах);
• Обеспечивает реальную инспекцию и защиту, а не просто фильтрацию по порту и IP;
• Создан для работы в российских реалиях, с поддержкой отечественных протоколов и сервисов.

Почему вам нужна именно связка PT NAD + PT NGFW

Современные атаки давно выходят за рамки простого «взлома периметра». Злоумышленники действуют скрытно, используют легитимные инструменты, туннелируют трафик и маскируются под обычную активность. В этих условиях одной системы недостаточно. Нужно сочетание: один инструмент — для управления трафиком и фильтрации на входе, второй — для глубокого анализа того, что происходит внутри. Именно так работает связка PT NGFW и PT NAD.

NGFW берет на себя защиту внешнего контура. Он контролирует, кто и что входит в сеть, какие приложения и пользователи задействованы, какие данные пересекают периметр. Он фильтрует трафик, расшифровывает TLS, блокирует попытки вторжений и ограничивает доступ к опасным ресурсам. При этом NGFW позволяет создавать гибкие политики доступа, сегментировать инфраструктуру и централизованно управлять маршрутизацией.

PT NAD подключается на другом уровне. Он не фильтрует, а наблюдает. Отслеживает поведение всех узлов в сети, определяет, как они взаимодействуют, какие аномалии возникают, кто куда подключается и почему. Если кто-то обходит защиту, PT NAD это увидит — даже если злоумышленник уже внутри и не вызывает срабатывания классических средств защиты.

Он фиксирует перемещения, боковое распространение, использование внутренних уязвимостей и нарушения регламентов безопасности. Кроме того, PT NAD сохраняет трафик, что критически важно для расследований и ретроспективного анализа.

В чем сила этой связки?

• Сквозная видимость. Связка закрывает весь путь — от внешнего соединения до внутренних коммуникаций между сервисами, пользователями и устройствами. NGFW — это точка входа и фильтра. PT NAD — это внутренняя разведка. Вместе они формируют полную карту сетевых взаимодействий, в реальном времени.
• Быстрая реакция на инциденты. Если NGFW зафиксировал нестандартную активность, PT NAD показывает, что происходит дальше. Кто куда пошел, какие команды выполнил, куда попытался подключиться. Вместо разрозненных алертов команда ИБ получает целостную картину атаки, включая маршрут злоумышленника и последствия.
• Защита в сложной инфраструктуре. Многие компании сегодня работают в условиях распределенных сетей, удаленных офисов, гибридных облаков и высокой динамики изменений. В таких средах важно иметь не только фильтр на границе, но и инструмент анализа всей инфраструктуры целиком. PT NGFW управляет доступом. PT NAD обеспечивает контроль за действиями внутри.

Если вы хотите видеть, что происходит в сети, не просто блокировать угрозы, а понимать, как они развиваются — связка PT NAD + NGFW даст именно это. И при этом — не превратит вашу ИБ-команду в заложников настройки и отладки.