Журнал "Information Security/ Информационная безопасность" #4, 2025

Поведенческая аналитика в области защиты сетей возникла как попытка ответить на главный вызов: атака почти никогда не начинается с явного сигнала, она растворяется в привычных транзак- циях, подражает легитимным соедине- ниям и маскируется под привычный тра- фик. Для того чтобы увидеть в этой массе скрытую аномалию, требовалась не просто фиксация событий, а понима- ние характерных траекторий, по которым двигаются сетевые пакеты в трафике. Именно тогда появилась идея выстраи- вать картину нормальности, где каждое соединение, каждый запрос и каждый поток данных должны были найти свое место, а все, что не вписывается в модель, становилось поводом для рас- следования. Так родилась концепция базовой линии, которая долгое время воспринималась как естественный фун- дамент поведенческого анализа. Но со временем стало очевидно: поведение сложных систем не сводится к среднему арифметическому, а сама попытка опи- сать многообразие сетевых взаимодей- ствий одной статичной моделью содержит больше ограничений, чем преимуществ. Небазовая линия На ранних этапах развития корпора- тивных ИТ модель базовой линии как усредненного поведения выглядела правдоподобно: инфраструктуры были статичны, приложения – относительно предсказуемы, а маршруты движения данных – линейны. Однако по мере того как корпоративная среда стала включать в себя гибридные облака, SaaS, контей- нерные платформы и распределенные приложения, оказалось, что норма подвижна! Попытка зафиксировать ее в статическом виде стала напоминать стремление сфотографировать реку в момент течения: снимок есть, но река уже другая. Сказался и фактор человеческого поведения. Пользователь, который сего- дня работает в офисе и взаимодействует с локальными сервисами, завтра может подключиться через VPN из другой стра- ны и инициировать запросы к новым ресурсам. Для системы, опирающейся на устоявшуюся базовую линию, такое поведение будет выглядеть подозри- тельно, хотя оно полностью соответ- ствует бизнес-логике. Нарастающее число подобных аномалий порождает лавину ложных тревог, подрывающих доверие к аналитике и превращающих инструмент в источник шума. Более того, сама идея усредненной нормы плохо сочетается с реальностью динамического бизнеса. Каждый новый проект, каждое обновление корпоратив- ного приложения или миграция сервиса в облако меняют топологию сетевых взаимодействий. В таких условиях базо- вая линия перестает быть точкой отсчета и превращается в балласт, который нужно постоянно пересматривать, пере- обучать и уточнять. Чем сложнее стано- вится организация, тем быстрее размы- вается ценность исходного подхода, и тем яснее становится: поведенческая аналитика требует более гибкой, кон- текстной основы, чем фиксация усред- ненного состояния сети. Контекст как новый взгляд Когда стало очевидно, что усреднен- ная модель не в состоянии уловить реальное многообразие поведения, пове- денческая аналитика обратилась к кон- тексту. В отличие от статической базовой линии, контекст позволяет рассматри- вать событие не в вакууме, а в связке с ролью субъекта, типом приложения, вре- менем суток, характером бизнес-про- цесса. Наблюдать трафик без этого измерения – все равно что анализиро- вать речь без знания языка: видны звуки, но смысл ускользает. Примером может служить доступ инженера 1С к CRM-системе. В терминах базовой линии это аномалия: сотрудник не выполнял таких операций раньше. Но в терминах бизнес-контекста – это может быть регламентное задание, согласованное с ИТ-отделом. Точно так же всплеск активности между подсисте- мами склада и бухгалтерии может быть следствием обновления интеграционного модуля, а не утечки данных. Контекст позволяет отличить технически необыч- ное от действительно подозрительного. Контекстный подход делает аналитику более сложной, но и более осмысленной. Система должна понимать, что поведе- ние сущностей неоднородно и меняется в зависимости от их функций и задач. Контекстная модель не стремится построить единую норму, а формирует динамическое представление о том, что для конкретной организации является допустимым. Здесь поведенческий ана- лиз обретает зрелость: он перестает быть статистикой и становится интер- претацией. Бизнес-ориентированный NTA/NDR В профессиональной среде для обо- значения решений по сетевой защите закрепилось несколько терминов. На российском рынке чаще используют определение NTA (Network Traffic Analy- sis), в международной аналитике Gartner и крупных вендоров прижался термин NDR (Network Detection and Response). Поскольку в основе обеих концепций лежит одно и то же направление разви- тия технологий, в дальнейшем мы будем использовать обозначение NTA/NDR, чтобы сохранить преемственность тер- минов и избежать путаницы. Контекстуальная аналитика изменила не только технику работы с трафиком, но и сам статус NTA/NDR в корпоративной экосистеме безопасности. Если раньше 64 • СПЕЦПРОЕКТ Эволюция NTA/NDR от базовой линии к контексту иксируй норму, ищи отклонения – концепция базовой линии долго считалась естественным фундаментом для поведенче- ской аналитики. Но чем сложнее становились сети и разнооб- разнее поведение пользователей, тем очевиднее становились ограничения этого подхода. И вот в центре внимания оказы- вается не средняя арифметика трафика, а совсем иные спосо- бы понимать происходящее. Ф Дмитрий Костров, независимый эксперт по информационной безопасности Фото: Д. Костров