PT MultiScanner: блокировка вредоносного ПО в почтовом трафике
Компания Positive Technologies выпустила новую версию системы PT MultiScanner, которая способна локализовать и блокировать передачу вредоносных объектов прямо в почтовом потоке, а также объединять выявленное вредоносное ПО во всей инфраструктуре в одну угрозу заражения. Это позволяет повысить эффективность расследования и реагирования на инциденты заражения и дает возможность отслеживать распространение вредоносного ПО в инфраструктуре.
Усовершенствованная архитектура новой версии позволяет обрабатывать до 150 тысяч файлов в час в потоковом режиме. Ресурсы системы не простаивают даже при отсутствии загрузки (например, в нерабочие часы): автоматически запускается ретроспективный анализ (позволяющий выявлять ранее неизвестное вредоносное ПО).
В PT MultiScanner появилась возможность использования черных и белых списков: можно вручную создавать кастомизированные списки или использовать черные списки, поставляемые Positive Technologies. Это позволяет настраивать детектирование заражения с учетом специфики конкретной компании, а также повысить эффективность обнаружения и блокировки вредоносного ПО. При обнаружении объекта из черного списка в исторических данных PT MultiScanner запускает ретроспективный анализ и оповещает оператора в Web-интерфейсе и (или) уведомлением на выделенный почтовый адрес или в SIEM-систему.
Вся актуальная информация об объектах – заблокированных, пропущенных или выявленных в рамках ретроспективного анализа – в новой версии продукта отображается в единой панели статистики. Это повышает скорость реагирования оператора на выявленные в сети угрозы заражения. Для удобства работы с данными PT MultiScanner позволяет создавать пользовательские фильтры, что сокращает время на обработку запросов до десятков секунд.
Наконец, PT MultiScanner агрегирует все одинаковые объекты, передаваемые в различных потоках распространения вредоносного ПО, в одну угрозу заражения, что снижает трудозатраты оператора на анализ схемы распространения и повышает эффективность расследования и реагирования на возникшие инциденты.