Журнал "Information Security/ Информационная безопасность" #4, 2024

• 51 Вопрос об определении NTA (Network Traffic Analysis) и NDR (Network Detection and Response), а также о различиях между ними часто вызывает оживленные терми- нологические дискуссии в сообществе ИБ. Для объективности будем опираться на мнение ведущих экспертных агентств Gartner и KuppingerCole, которые обозна- чили ключевые критерии этих технологий. Начнем с NTA. Этот класс систем зани- мается анализом сетевого трафика, опре- делением направления потоков данных, выявлением аномалий в сетевом трафике: строит профиль "поведения" трафика в нормальных условиях (Baseline) и детекти- рует отклонения. Несигнатурные техноло- гии выявления неизвестных угроз, такие как машинное обучение, продвинутая ана- литика и др., являются для NTA основным средством детектирования. Именно выявление угроз нулевого дня и аномалий на основе сетевого трафика – основопо- лагающая функциональность класса NTA. С NDR все немного сложнее и интерес- нее. NDR не просто детектирует угрозы – он может сразу приступить к активным действиям по их нейтрализации. Исполь- зуемые технологии позволяют находить угрозы и аномалии даже в зашифрованном трафике. В условиях работы NDR на данных сете- вой телеметрии важным инструментом детектирования является поддержка репу- тационных списков Threat Intelligence. Одно из ключевых отличий NDR – это агрегирование отдельных срабатываний в структурированные инциденты и предо- ставление инструментов для дальнейшего расследования и устранения угроз. То есть, если NTA выявляет каждую аномалию как отдельное событие, то NDR группирует их в инциденты по метаданным – IP-адресам, портам и прочим параметрам, что повы- шает эффективность анализа. И еще одно важное отличие – NDR предлагает активное реагирование на угро- зы: это может быть как автоматическая реакция, так и сценарии (плейбуки), кото- рые помогают быстро принимать меры. Другими словами, NTA – это про глубокий анализ и выявление аномалий в сетевом трафике, а NDR – про комплексное обна- ружение, групповую обработку, расследо- вания, проактивный поиск и мгновенную реакцию на угрозы. Что подразумевается под активным реагированием в NDR? KuppingerCole, отвечая на этот вопрос, разделяет активное реагирование на два ключевых направления. Первое связано с интеграцией инциден- тов в общий ландшафт информационной безопасности, то есть передача данных о событии безопасности в другие системы, такие как SIEM или SOAR. Важно понимать, что SOAR получает инциденты с задержкой уже после того, как SIEM и другие инстру- менты, используемые SOAR, выполнили работу по корреляции и обогащению. NDR же помогает реагировать быстрее. В случае выявления критичных инцидентов, NDR может направить их напрямую в SOAR, позволяя немедленно запускать необходимые плейбуки, минуя цепочку обработки событий в SIEM или других системах ИБ. Второе направление активного реагиро- вания – это непосредственное блокирова- ние атак. NDR не только выявляет угрозы, но и активно противодействует им, не теряя времени на дополнительные шаги обработки. Блокирование может осуществляться напрямую, если NDR интегрирован в раз- рыв сети, либо через взаимодействие с другими СЗИ. Наилучшей практикой при работе на копии трафика является блоки- рование через NAC – это наиболее без- опасный метод, при котором атакующий лишается сетевого доступа. Другие вари- анты устранения угрозы – отключение учетных записей в Active Directory или бло- кирование запросов хоста через EDR. Еще один интересный аспект – исполь- зование технологии Full Packet Capture: на российском рынке практически все систе- мы класса NTA и NDR по умолчанию пол- ностью записывают сетевой трафик. Одним из типов активного реагирования является динамическое включение полной записи трафика только при возникновении инцидента, что помогает в расследовании. К слову, в этом контексте возникает дилемма: сразу блокировать потенциаль- ную угрозу или дать ей возможность раз- виваться до определенной стадии, про- должая записывать трафик для последую- щего анализа. Первый вариант кажется более верным, но он оставляет возмож- ность для повторной реализации атаки. При внедрении NDR необходим выбор метода активного реагирования в зависи- мости от оценки рисков для разных угроз. Откуда брать трафик для NDR? NDR работает на уровнях L2–L7, начиная с MAC-адресов и заканчивая данными при- кладных протоколов. Лучшее решение – получать трафик ядра сети, обычно его источником являются коммутаторы ядра. Трафик может также поступать с периметровых средств защиты, из отдельных изолированных сегментов, SPAN-портов оборудования или TAP- устройств (Test Access Point). Устройства TAP кажутся хорошим вари- антом – они могут устанавливаться в раз- рыв сетевого соединения, существенно упрощают анализ трафика и тем самым увеличивают эффективность внедрения NDR. И NTA- и NDR-системы позволяют выявлять угрозы не только на основании сетевого трафика, но и с учетом телемет- рии. Подачу NetFlow организовать суще- ственно проще, чем зеркалирование пол- ной копии трафика, телеметрию получают с маршрутизаторов и коммутаторов. Еще один плюс этого источника – меньший объем данных, что позволяет оптимизиро- вать системы хранения. Важные условия для применения NDR Чтобы NDR показывал хорошую эффек- тивность, требуется настройка, причем не только самой системы, но и процессов в организации. Сначала нужно добиться, понимания: l как работает инфраструктура – указать адреса DC, DNS, DHCP и других сервисов; l какие сегменты есть в сети и какой тра- фик там должен ходить – определить белые списки сервисов и межсетевого взаимодействия, и доступа в Интернет; l как появляются новые узлы в сети, есть ли интеграция с CMDB или с системой инвентаризации. Затем тонко настраиваются политики на основе поведенческих моделей и DPI- фильтров. После настройки и тестирования на реальном трафике можно переходить к интеграции с другими СЗИ. l Чем NDR лучше, чем NTA? 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вен- доров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA? В Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда” Фото: ГК “Гарда” На правах рекламы ЗАЩИТА СЕТЕЙ www.itsec.ru