Positive Technologies випустила нову версію PT MultiScanner: система тепер може локалізувати та блокувати передачу шкідливих об'єктів прямо в поштовому потоці, а також об'єднувати виявлене шкідливе програмне забезпечення по всій інфраструктурі в одну загрозу зараження. Це дозволяє значно підвищити ефективність розслідування та реагування на інциденти зараження та дає можливість відстежувати поширення шкідливого програмного забезпечення в інфраструктурі.

Використання шкідливого ПЗ утримує лідерство в загальному списку найбільш актуальних методів атак ― на нього припадає 39% загального обсягу атак, при цьому більше половини націлені на інфраструктуру компаній і дозволяють зловмиснику здійснити первинне проникнення та розвинути свою присутність усередині периметра.

Часто виявлене та заблоковане шкідливе ПЗ на вузлі або в потоці може обернутися історією набагато більшого масштабу, ніж просто одиничний інцидент. Важливим аспектом тут є максимально оперативне виявлення всіх заражених вузлів та можливість працювати з даними в одній системі: необхідно бачити та аналізувати всю картину загалом за всіма можливими векторами розповсюдження. Сьогодні PT MultiScanner дозволяє знайти всі потоки поширення інфекції та торкнуті нею життєво важливі органи інфраструктури. А для роботи з отриманими даними створено зручний веб-інтерфейс з дашбордами, статистикою та фільтрами, що настроюються».

Удосконалена архітектура оновленого PT MultiScanner дозволяє обробляти до 150 тисяч файлів на годину в потоковому режимі. Ресурси системи не простоюють навіть за відсутності завантаження (наприклад, у неробочий годинник): автоматично запускається ретроспективний аналіз (що дозволяє виявляти раніше невідоме шкідливе ПЗ), завдяки чому виключається ймовірність впливу на продуктивність системи в години пікового навантаження.

У PT MultiScanner з'явилася можливість використання чорних та білих списків: можна вручну створювати кастомізовані списки або використовувати чорні списки, які постачаються Positive Technologies. Це дозволяє налаштовувати детектування зараження з урахуванням специфіки конкретної компанії, а також суттєво підвищити ефективність виявлення та блокування шкідливого програмного забезпечення. При виявленні об'єкта з чорного списку в історичних даних PT MultiScanner запускає ретроспективний аналіз і повідомляє оператора у веб-інтерфейсі та (або) надіславши повідомлення на виділену поштову адресу або в SIEM-систему.

Вся актуальна інформація про об'єкти - заблоковані, пропущені або виявлені в рамках ретроспективного аналізу - у новій версії продукту відображається в єдиній панелі статистики. Це значно підвищує швидкість реагування оператора на виявлені у мережі загрози зараження. Для зручності роботи з даними PT MultiScanner дозволяє створювати фільтри користувача, що скорочує час на обробку таких, наприклад, запитів, як «знайти всі шифрувальники в пошті, веб-трафіку або сховище» до десятків секунд.

PT MultiScanner агрегує всі однакові об'єкти, що передаються в різних потоках поширення шкідливого ПЗ, в одну загрозу зараження, що знижує трудовитрати оператора на аналіз схеми поширення і значно підвищує ефективність розслідування та реагування на інциденти.

Розгортання нової версії продукту триватиме не більше 40 хвилин