Журнал "Information Security/ Информационная безопасность" #6, 2025

ловит по сигнатурам, учитывает репута- цию и реагирует на явные нарушения. Но как только поведение выходит в серую зону – формально допустимую, но нетипичную, – возможности NGFW быстро заканчиваются. Он фиксирует события, но не умеет интерпретировать их развитие во времени. SIEM же добавляет к сетевой теле- метрии слой накопленной экспертизы. Это не только правила корреляции, но и встроенные знания о типовых сценариях атак, ошибках конфигурации и злоупо- треблениях доступом. Эта экспертиза постоянно обновляется и живет отдельно от конкретного NGFW, в то время как сам экран всегда остается привязанным к своим механизмам контроля. В итоге SIEM способен смотреть на события NGFW шире, чем сам источник. Отдельного внимания заслуживает машинное обучение. Для NGFW аномалия – это, как правило, отклонение от явно заданного правила. Для SIEM аномалия – это изменение привычного поведения. История сетевой активности позволяет увидеть вещи, которые невозможно заме- тить в моменте: медленный рост исходя- щего трафика, смещение направлений, появление редких приложений у конкрет- ных пользователей. Такие сигналы слиш- ком тонки для реактивной логики NGFW, но именно они часто предшествуют серь- езным инцидентам. Еще одно принципиальное отличие – работа с ретроспективой. NGFW живет в настоящем и реагирует на события по мере их возникновения. SIEM же хранит историю и позволяет вернуться к ней, когда становится понятно, что именно искать. После выявления компрометации можно восстановить цепочку сетевых действий за недели и месяцы и увидеть ранние признаки, которые на тот момент не выглядели подозрительными. В итоге NGFW и SIEM решают разные задачи. Первый фиксирует и контроли- рует, второй – интерпретирует и учится. Вместе они позволяют перейти от реак- ции на отдельные события к работе с поведением и трендами, что и лежит в основе зрелого обнаружения угроз. Какие инциденты рождаются в SIEM из событий NGFW При нормальной корреляции из собы- тий NGFW начинают появляться инци- денты, которые сложно выявить другими средствами. Речь не столько о лобовых атаках, сколько о ситуациях, где пове- дение формально допустимо, но уже начинает расходиться с нормальной моделью работы сети. Хороший пример – внутреннее скани- рование и ранние стадии горизонталь- ного перемещения. Для NGFW это всего лишь серия разрешенных соединений между сегментами. Каждое из них выгля- дит нормально, но их сочетание по пор- там, направлениям и времени быстро складывается в характерный паттерн разведки. В связке с SIEM такие события перестают быть сетевым фоном и начи- нают читаться как осмысленное движе- ние внутри инфраструктуры. Похожая история с исходящими соеди- нениями. На ранних этапах C&C редко выглядит как что-то явно вредоносное. Чаще это редкие домены, нестандартные порты или почти легитимные приложе- ния. NGFW все это видит, но только накопленная история и корреляция поз- воляют отличить разовое отклонение от устойчивого канала управления. Брутфорс на VPN и веб-порталы в моменте тоже редко выглядит угро- жающе. Пара неудачных попыток аутен- тификации не вызывает тревоги, но их плотность и распределение по времени и учетным записям быстро выдают авто- матизацию. Здесь NGFW работает не как средство защиты доступа, а как сенсор давления на периметр – того самого давления, которое сами системы аутентификации могут не заметить. То же касается и нарушений политик. География, время, приложения – NGFW фиксирует такие отклонения постоянно, но без аналитики они выглядят как частные случаи. В SIEM эти события начинают складываться в более широкую картину обхода правил или постепенной деградации контроля, особенно если учитывать роль пользователя и его обычное поведение. Наконец, NGFW часто первым дает сигналы о возможной утечке данных. Нетипичный объем исходящего трафика, странные направления, непривычные приложения – все это заметно на сетевом уровне задолго до того, как инцидент становится очевидным. Важно, что SIEM в этом случае позволяет увидеть не про- сто факт передачи данных, а изменение поведения, которое к ней привело. Практика интеграции На практике интеграция NGFW в SIEM почти никогда не ломается исключи- тельно на техническом уровне: форматы поддерживаются, коннекторы есть, собы- тия летят. Проблемы начинаются, когда NGFW подключают как еще один лог- источник, но не меняется подход к работе с сетевыми данными. В итоге в SIEM либо заливается весь поток без разбора, либо, наоборот, собирается слишком усеченный набор событий, из которого невозможно восстановить поведение. Самый важный момент – осознанно решить, что именно имеет смысл соби- рать. NGFW умеет писать много и под- робно, но для аналитики ценнее не про- межуточные технические детали, а завершенные действия и их результат. Когда SOC начинает опираться на собы- тия уровня "разрешено", "заблокирова- но", "классифицировано как угроза", фокус сме- щается на принятые решения, а с такими дан- ными работать гораздо проще. Не менее критично качество парсинга. Ошибки в полях могут долго не бро- саться в глаза и создавать иллюзию, что все работает. На деле в этот момент теряется самое ценная связка в событиях – пользователя, приложения и ресурса. Поэтому опытные команды относятся к парсингу как к живому процессу, а не разовой настройке, и регулярно прове- ряют данные после обновлений NGFW и изменений политик. Еще один момент, который часто недо- оценивают, – постепенность. Попытка сразу покрыть все возможные сценарии почти всегда заканчивается либо лави- ной алертов, либо полным недоверием к ним. Куда эффективнее начинать с нескольких устойчивых паттернов и расширять аналитику по мере накоп- ления статистики и понимания того, как сеть ведет себя в норме. При таком под- ходе NGFW перестает быть шумным источником и становится опорой для собственной модели поведения сети. Грамотная интеграция NGFW – это не столько проект по подключению логов, сколько изменение отношения к сетевым данным. Когда SOC начинает восприни- мать NGFW как сенсор поведения, а SIEM – как инструмент интерпретации, сетевой уровень из вспомогательного превращается в один из ключевых эле- ментов обнаружения инцидентов. Выводы Ценность NGFW определяется не тем, сколько трафика он способен обработать и сколько сигнатур поддерживает, а тем, какую модель поведения он помогает построить. Сам по себе межсетевой экран остается реактивным инструментом – он фиксирует и контролирует, но почти не объясняет происходящее. Его события приобретают смысл только тогда, когда становятся частью более широкой карти- ны, собираемой и интерпретируемой SIEM. В этом контексте NGFW перестает быть сетевым уровнем безопасности и превращается в один из ключевых источников наблюдаемости. Через него SOC видит, как пользователи, сервисы и приложения реально взаимодействуют с инфраструктурой, где формальные политики начинают расходиться с фак- тическим поведением и в каких точках появляются первые, еще неочевидные признаки злоупотреблений. SIEM в этой связке выполняет роль переводчика и аналитика. Он превра- щает насыщенную, но фрагментирован- ную сетевую телеметрию в осмысленные инциденты, связывает отдельные дей- ствия в сценарии и позволяет работать с отклонениями еще до того, как они оформляются в явные атаки. l • 43 NGFW И ЗАЩИТА ПЕРИМЕТРА www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 78 NM Реклама