Журнал "Information Security/ Информационная безопасность" #6, 2025

В нормальной, взрослой инфраструктуре NGFW– уже не просто стена на периметре. Его главная ценность не столько в том, что он что-то блокирует (хотя без этого тоже никуда), а в том, что через него про- ходит почти вся осмысленная сетевая активность. По сути, это точка, где видно не пакеты, а намерения – кто, каким при- ложением и зачем пытается получить доступ к тому или иному ресурсу. По плот- ности контекста эти данные часто богаче, чем телеметрия с хостов или серверов. NGFW фиксирует сразу несколько измерений в одном событии: пользова- теля, устройство, приложение и направ- ление доступа. Поэтому он работает не просто как сетевой, а как поведенческий сенсор. Через него проходят и нормаль- ные бизнес-сценарии, и первые, еще неоформленные признаки проблем – обход политик, странные приложения, нетипичные направления трафика. Нередко именно здесь атака начинает быть заметной раньше, чем ее подхва- тывают EDR или антивирус. При этом NGFW часто воспринимают утилитарно – как шумный источник сете- вых логов, к которому обращаются уже после инцидента. Такой подход сильно обесценивает его роль. На самом деле NGFW – один из немногих источников, который позволяет связать сетевую активность с бизнес-контекстом: кто и каким способом делает что-то нети- пичное и почему это выбивается из ожидаемого сценария. Сырые логи NGFW бесполезны для SOC Проблема NGFW как источника дан- ных не в том, что он дает плохие логи. Наоборот – он дает их слишком много. В одном потоке перемешаны техниче- ские детали и куски контекста, которые сами по себе ничего не значат. В отрыве от остальной инфраструктуры эти собы- тия просто фиксируют факт сетевой активности, но не отвечают на главный вопрос SOC – есть ли здесь что-то, на что стоит реагировать. Одно и то же действие может выгля- деть по-разному в логах разных про- изводителей и даже внутри одной плат- формы – в зависимости от профиля или политики. В итоге аналитик каждый раз вручную переводит сетевые события в логику инцидентов, а такой подход плохо масштабируется и быстро упирается в ограниченность людского ресурса. Есть и другая ловушка – иллюзия наблюдаемости. Когда событий много, кажется, что SOC все видит. Но на практике он видит лишь фрагменты. Отдельное соединение, блокировка или сигнатура почти никогда не имеют смыс- ла без контекста пользователя, его пре- дыдущих действий и событий в других системах. Плюс ко всему сырые логи плохо работают с динамикой. NGFWфиксирует момент, но не сценарий. Без агрегации и временной корреляции события остаются набором разрозненных фактов, из которых сложно восстановить цепочку действий. В таком виде NGFW помогает разбирать инциденты лишь постфактум и почти не дает ранних сигналов. Контекст решает Сбор и хранение логов не являются проблемой сами по себе – с этим NGFW и сам справляется отлично. Потребность в SIEM 1 появляется, когда возникает необходимость понять, что сетевые события означают в динамике и в кон- тексте всей инфраструктуры. NGFW отлично фиксирует факт взаимодей- ствия, но почти ничего не знает о наме- рениях субъекта и ценности ресурса, к которому осуществляется доступ. Без этого контекста сетевое событие оста- ется техническим артефактом, а не эле- ментом инцидента. Когда события NGFW сопоставляются с информацией из каталогов и систем управления доступом, меняется сама логика интерпретации. Один и тот же сетевой паттерн может быть нормой для сервисной учетной записи и тре- вожным сигналом для обычного пользо- вателя. Без знания ролей, принадлеж- ности к группам и истории активности SIEM не способен корректно оценить значимость события. NGFW видит дей- ствие, но только контекст объясняет, допустимо ли оно. Похожая ситуация возникает при кор- реляции с EDR и средствами защиты конечных точек. Сетевое соединение, которое выглядит как редкое, но допу- стимое, приобретает иной смысл, если на устройстве зафиксированы признаки компрометации или отклонения в пове- дении процессов. Не менее важна корреляция с собы- тиями аутентификации и удаленного доступа. NGFW фиксирует, откуда и каким способом пользователь выходит в сеть, но без сопоставления с резуль- татами аутентификации невозможно отличить легитимную активность от использования скомпрометированных учетных данных. Связка сетевых и учет- ных событий позволяет увидеть сцена- рии, где формально все шаги разреше- ны, но их последовательность противо- речит нормальной модели работы. Другими словами, SIEM выступает пространством сборки контекста, в кото- ром NGFW занимает одну из ключевых ролей. Он дает телеметрию о фактиче- ских действиях, а другие источники добавляют смысл – кто этот пользова- тель, в каком состоянии устройство, насколько ценен ресурс и какие действия ему обычно свойственны. На этом уровне появляется возможность говорить не о событиях, а о поведении. Экспертиза – то, чего нет в NGFW, но есть в SIEM Даже самый продвинутый NGFW оста- ется системой с жестко заданной логи- кой. Он хорошо применяет политики, 42 • СПЕЦПРОЕКТ Ценность логов NGFW рождается в SIEM GFW – один из самых важных источников контекстных дан- ных для SOC, но его ценность раскрывается только при глу- бокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анали- зируются в связке с другими источниками. N Василий Кочканиди, аналитик RuSIEM Фото: RUSIEM 1 https://rusiem.com/