Журнал "Information Security/ Информационная безопасность" #4, 2025

Традиционный цикл реагирования в сетевой безопасности выглядит так: сенсоры фиксируют события, данные собираются в SIEM, затем через SOAR формируется ответ. Однако на практике этот процесс оказывается слишком мед- ленным: атаки развиваются быстрее, чем проходит цепочка обработки сигна- лов. Более того, не всегда удается кор- ректно интерпретировать события в SIEM, особенно если речь идет о слож- ных многоэтапных атаках, затрагиваю- щих разные сегменты инфраструктуры. В результате средства защиты есть, но их взаимодействие не во всех случаях позволяет вовремя локализовать инци- дент. Возникает вопрос: какие средства дей- ствительно подходят для оперативного реагирования и блокировок на уровне сети, и как их применять, не подвергая инфраструктуру дополнительной опас- ности? Давайте рассмотрим связку NDR и NAC как наиболее практичный вариант, сопоставим его с NGFW и другими под- ходами, а также покажем, куда в прин- ципе движется ИБ-архитектура (спойлер: от SIEM-центричной к XDR-центричной). Подходы к реагированию и роль NDR Практика применения систем класса NDR позволяет условно разделить мето- ды реагирования на три типа. Первый тип – автоматическое реагирование. Оно реализуется с помощью таких инструментов, как NAC, NGFW или через интеграцию с EDR. Его ключевое пре- имущество – скорость реакции, но есть и существенный недостаток – риск лож- ных срабатываний, которые могут нару- шить бизнес-процессы. Второй тип – реагирование с помощью оркестрации. События передаются в SIEM, SOAR или XDR, где принимается решение о даль- нейших действиях. Такой подход решает задачи масштабируемости и консоли- дации информации. В то же время он привносит задержку в Response и тре- бует заранее выстроенных интеграций между системами. Третий тип – ручное реагирование. Его основа – работа ана- литика: расследование, анализ пакетов, ручной запуск плейбуков. Это наиболее гибкий метод, но при этом и самый мед- ленный. При выборе одного из типов реагиро- вания многие организации впадают в крайности: одни делают ставку на полную автоматизацию и сталкиваются с вызываемыми ею сбоями, другие – полностью исключают ее, пытаясь избе- жать рисков. Наш опыт подтверждает, что наиболее правильный подход – сба- лансированный. Он предполагает при- менение автоматизации только в ситуа- циях с высоким уровнем уверенности, оставляя принятие решений в сложных случаях за человеком. Таким образом, ключевой вопрос заключается в том, как достичь баланса. Решения класса NDR (Network Detec- tion and Response) служат важным источ- ником данных для любого из описанных подходов к реагированию. Они выпол- няют задачу, с которой иные средства защиты не справляются: обеспечивают полную видимость сетевого трафика, в том числе в тех сегментах, где уста- новка агентского ПО невозможна или нецелесообразна. К таким сегментам относятся IoT-устройства, SIP-телефо- ния, камеры видеонаблюдения, промыш- ленные контроллеры, нестандартные операционные системы и специализи- рованные ОС, а также высоконагружен- ные серверы, где установка агента может повлиять на производительность. Без глубокого анализа трафика эти активы остаются в слепой зоне, поэтому NDR становится необходимым элемен- том архитектуры безопасности. Современные NDR-решения сочетают различные методы анализа: от индика- торов компрометации и сигнатур до поведенческих моделей, машинного обучения и корреляции событий. Особую роль играет механизм оценки уровня уверенности (скоринг), который опреде- ляет уверенность в детектировании атаки. Именно высокий уровень уверен- ности является основанием для автома- тического реагирования. На российском рынке представлены зрелые решения, такие как Гарда NDR 1 , которые поддер- живают ретроспективный поиск по тра- фику, интеграцию с другими средствами защиты и масштабируемую обработку больших объемов данных. Их ценность заключается не только в обнаружении аномалий, но и в предоставлении ана- литикам SOC информации, которая помогает лучше понять тактику и цели злоумышленника. У нас нет сомнений, что значимость NDR-решений в ближайшие годы будет только расти. Эта уверенность основа- на на двух ключевых факторах: уве- личивающейся нагрузке на конечные точки и повсеместном распространении шифрования, которое делает тради- ционные средства анализа менее эффективными. Кроме того, NDR помогает также решать задачу ретроспективного ана- лиза. Многие инциденты выявляются только спустя некоторое время, когда уже есть признаки компрометации. Воз- можность восстановить полную картину атаки, изучив сетевой трафик за преды- дущие дни или недели, становится неза- менимым элементом расследования. Здесь NDR дополняет EDR и SIEM, обес- печивая целостное понимание произо- шедшего. Это позволяет SOC-аналити- 60 • СПЕЦПРОЕКТ NDR + NAC: практическая стратегия сетевого реагирования корость развития современных сетевых атак такова, что системы защиты не успевают адекватно реагировать. При этом им не только важно быстрее “стрелять”, но и точнее ”прицеливаться”, иначе можно парализовать работу всей инфраструктуры. Как совместить скорость и точность, чтобы защитить инфраструктуру, а не навредить ей? Все больше специалистов находят ответ в тандеме NDR и NAC, и давайте разберемся, почему. С Станислав Грибанов, руководитель продукта “Гарда NDR” группы компаний “Гарда” Фото: ГК "Гарда" 1 https://garda.ai/products/network-security/ndr