Журнал "Information Security/ Информационная безопасность" #4, 2025

он воспринимался как специализирован- ный сенсор, собирающий телеметрию для последующей передачи в SIEM, то теперь он начинает претендовать на роль самостоятельного аналитического слоя. Именно здесь впервые возникает пони- мание, что сеть отражает не только дви- жение пакетов, но и структуру бизнес- процессов: как пользователи обращаются к системам, каким образом сервисы взаимодействуют друг с другом, где про- ходят невидимые границы доверия. Такой сдвиг означает, что NTA/NDR больше не может ограничиваться сто- ронним взглядом на инфраструктуру. Он становится частью стратегической картины, требуя внимания и от SOC- аналитиков, и от бизнеса. И если для первых важны сигналы о нетипичном соединении или подозрительной нагруз- ке, то вторым нужно понимать, почему то или иное взаимодействие вообще возникает и насколько оно согласуется с логикой организации. NTA/NDR в этой конфигурации превращается в мост между сетевой топологией и корпора- тивной моделью процессов, открывая возможности, которых прежде просто не существовало. NTA/NDR помогает увидеть, что за каждой сетевой сессией стоит не абстрактный пакет, а конкретный поль- зователь, конкретная роль и конкретная задача. И чем точнее это понимание, тем ближе NTA/NDR подбирается к уров- ню бизнес-ориентированной безопасно- сти, где технические аномалии стано- вятся индикаторами организационных рисков. Граница между NTA/NDR и SIEM По мере того как NTA/NDR наращивает аналитические функции, все острее зву- чит вопрос о его отношениях с SIEM. Исторически разделение выглядело про- стым: NTA/NDR фиксировал сетевую телеметрию, а SIEM собирал события со всех источников, агрегировал и строил единую картину инцидентов. Но в тот момент, когда NTA/NDR начи- нает интерпретировать поведение сущ- ностей через бизнес-контекст и выдавать осмысленные сигналы, эта граница раз- мывается. Возникает соблазн рассматривать NTA/NDR как сетевой SIEM – систему, способную не только генерировать собы- тия, но и самостоятельно связывать их в сценарии угроз. С другой стороны, такой подход чреват дублированием функционала и ростом избыточности: каждая из систем будет претендовать на роль центра, а не сенсора. В итоге SOC рискует получить два конкурирую- щих источника правды, и таким образом вместо ясности появляется конфликт. Поэтому вопрос для архитекторов без- опасности звучит так: где проходит линия разграничения? Должен ли NTA/NDR оставаться глубоко специализированным инструментом, который видит больше всех в сетевом слое, но доверяет финаль- ную корреляцию SIEM? Или же он вправе занять место полноценного ана- литического узла, который опирается на собственную модель контекста и не сводится к роли поставщика сырых данных? От ответа на этот вопрос зави- сит не только рас- пределение функ- ций между средства- ми, но и сама архи- тектура SOC: будет ли она построена по принципу централизованного ядра, или же станет системой, где каждый анали- тический модуль вносит собственный контекст в общую мозаику. Вызовы контекстной аналитики Контекстный подход при всей своей привлекательности оказывается не столько технологическим, сколько орга- низационным испытанием. Чтобы систе- ма могла отличить легитимное действие от подозрительного, ей требуется посто- янное обогащение знаниями о бизнес- процессах, ролях и регламентах. Но в отличие от формальной базовой линии, которая обучается на статистических характеристиках трафика, контекст нель- зя извлечь автоматически – его нужно встроить изнутри организации. Это озна- чает, что эффективность NTA/NDR напрямую зависит от того, насколько тесно взаимодействуют ИБ и ИТ, насколько полно документированы про- цессы и насколько сами пользователи следуют определенным моделям пове- дения. Другой вызов связан с ресурсами. Чем глубже система анализирует связи между событиями, тем выше нагрузка на инфраструктуру и тем дороже стано- вится эксплуатация. Контекстная ана- литика требует не только вычислитель- ных мощностей, но и специалистов, спо- собных интерпретировать ее результаты. И если для базовой линии достаточно было инженера, знакомого с сетевыми протоколами, то работа с контекстом предполагает понимание бизнес-логики и умение сопоставлять цифровые следы с организационными структурами. И наконец, остается вопрос масштаби- руемости. Контекстная модель, построен- ная для одной организации, не перено- сима в другую: она отражает уникальную конфигурацию процессов, пользователей и приложений. Следовательно, каждое внедрение NTA/NDR с акцентом на кон- текст превращается в индивидуальный проект, где универсальные рецепты усту- пают место локальным настройкам. Это резко повышает ценность технологии для зрелых SOC, но ставит под сомнение возможность ее массового и коробочного распространения. Выводы Поведенческая аналитика началась с веры в возможность построить уни- версальную норму и фиксировать все отклонения как потенциальные угрозы. Эта идея дала рынку важный импульс, но выявились и ее ограничения: дина- мика инфраструктур, разнообразие поль- зовательских сценариев и постоянное движение бизнес-процессов сделали статическую базовую линию слишком подвижной основой. Попытка удержи- вать ее в актуальном состоянии оберну- лась ложными срабатываниями и поте- рей доверия к инструментам. Контекст вывел ситуацию из тупика. Вместо усредненных моделей мы полу- чили возможность оценивать поведение сущностей через призму ролей, прило- жений и процессов. Это сделало NTA/NDR не просто сетевым сенсором, а аналити- ческим узлом, способным сопоставлять движение пакетов с логикой бизнеса. Однако вместе с новыми возможностями пришли и новые вызовы: рост стоимости и сложности систем, зависимость от качества организационных процессов, уникальность каждой реализации. И здесь важно признать: контекстная аналитика – удовольствие не из дешеаых. Она требует не только вычислительных мощностей, но и специалистов высокого уровня, которых на рынке немного. А добавим сюда еще и вечный конфликт между ИТ и ИБ, и становится понятно, почему внедрение идет медленнее, чем хотелось бы. Сегодня вопрос звучит так: где найти баланс между глубиной контекста и управ- ляемостью решений, между ролью NTA/NDR как специализированного сенсо- ра и его претензией на место в аналитиче- ском ядре наряду с SIEM. Ответ на этот вопрос будет определять не только буду- щее конкретных технологий, но и архитек- туру сетевой безопасности в целом. l • 65 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: ГРОТЕК