Обзор российских NTA/NDR систем

Антивирусы, спам-фильтры, файерволы – все это необходимые, но все же несовершенные средства защиты. Все больше компаний отдают предпочтение более высокому уровню защищенности сети, который достигается за счет использования Network Traffic Analysis/Network detection and response (NTA/NDR), что на русский язык переводится как «системы анализа трафика, обнаружения и предотвращения атак».

Важным отличием NTA/NDR-систем от всего перечисленного выше является предмет анализа. Она не анализирует на предмет опасности отдельно файлы, письма или соединения по IP. Под «всевидящим оком» NTA/NDR оказываются данные и сетевое поведение пользователей. Портал Cyber Media подготовил обзор отечественных NTA/NDR-систем при содействии Positive Technologies.

Основной функционал NTA/NDR

С помощью систем анализа трафика можно успешно решать следующие задачи:

• выявлять и сетевые атаки;
• искать уязвимости в защитных системах компании;
• обнаруживать не только сам факт атаки, но и ее источник.

На отечественном рынке инструментов NTA/NDR представлен ряд игроков, которые уже завоевали доверие пользователей. Для этого обзора мы отобрали четыре системы:

• PT Network Attack Discovery (PT NAD) от Positive Technologies;
• Group-IB Network Traffic Analysis (NTA) от Group-IB;
• «Гарда Монитор» от компании «Гарда Технологии»;
• Kaspersky Anti-Targeted Attack от «Лаборатории Касперского».

В рамках последнего комплексного XDR-решения (Extended Detection and Response) в обзор вошли исключительно данные по NTA/NDR, как составной части инструмента. Данные для обзора по всем решениям получены из открытых источников.

PT NAD

В основе работы PT Network Attack Discovery лежат сразу семь технологий обнаружения угроз:

1. Поведенческая аналитика
2. Статическая анализ сессий
3. Правила обнаружения угроз
4. Модули глубокой аналитики.
5. Репутационные списки
6. Машинное обучение
7. Ретроспективный анализ

Такая комбинация обеспечивает важное преимущество инструмента — ему под силу выявлять злоумышленников, действующих как по внешнему периметру, так и внутри сети. То есть сотрудник с нечестными намерениями относительно данных компании не сумеет реализовать свои планы так же, как и хакер, действующий извне.

PT NAD способен анализировать даже зашифрованный трафик. При этом сведения сохраняются и существенно облегчают расследование инцидентов. Срок и другие параметры их хранения настраиваются в зависимости от решаемых задач, что обеспечивает максимальное удобство работы и производительность системы.

Инструмент входит в состав решения для комплексного противодействия целевым угрозам Anti-APT, а потому работает в связке с PT Sandbox. Также PT NAD систему можно интегрировать со сторонними песочницами и системами класса SIEM.

Важная особенность инструмента — высокая скорость работы. Один модуль способен обрабатывает 10 гигабит данных в секунду. Это число растет кратно количеству установленных модулей. Таким образом пользователь может определить для себя оптимальную конфигурацию и стоимость использования решения, чтобы полностью удовлетворить свои потребности в анализе трафика, но не переплачивать за лишние мощности.

При анализе трафика решение способно автоматически определять тип и роль сетевого устройства. Это позволяет выявлять несанкционированные подключения за счет определения подлинности сервера DHCP или сердца любой инфраструктуры компании активного каталога(Active Directory).

Отдельным преимуществом является экспертиза разработчиков Positive Technologies. Компания проводит киберучения и имеет собственную программу Bug Bounty. Любые инциденты информационной безопасности тщательно расследуются и используются для усиления уровня защиты.

Group-IB Network Traffic Analysis (NTA)

Инструмент Group-IB Network Traffic Analysis (NTA) входит в состав флагманского решения Group-IB Managed XDR, предназначенного для проактивного поиска и защиты от сложных киберугроз, и работает на основе собственных сигнатур, данных Group-IB Threat Intelligence (Киберразведки) и технологий машинного обучения.

Ключевыми функциями модуля NTA являются:

• Поддержка и анализ сетевых протоколов L2–L7;
• Выявление скрытых каналов (DNS tunneling, ICMP tunneling, Domain
• generation algorithms):
• Выявление горизонтального перемещения;
• Выявление наличия индикаторов компрометации с использованием данных киберразведки Threat Intelligence;
• Сбор сетевых логов с метаинформацией о сетевых соединениях;
• Сигнатурный анализ трафика с поддержкой совместимых с Suricata
• сигнатур;
• YARA-правила для дополнительной кастомизации анализа файлов и ссылок.

Таким образом модуль даёт возможность выявить взаимодействие заражённых узлов с командными центрами злоумышленников (равно как и попытки сокрытия каналов, через которые оно осуществляется), необычное поведение устройств и файлов, а также сетевые аномалии, используемые для
распространения угроз внутри сети.

Продукт работает в связке с модулем Group-IB Malware Detonation Platform (MDP), который выполняет функции песочницы, создавая изолированную от основной сети организации среду для анализа вредоносных файлов. В результате подобных действий опасность анализируемых данных определяется на основе классификатора, сформированного с использованием системы поведенческого анализа.

Система обеспечивает анализ потока данных, подаваемого на оборудование из разных источников: SPAN / RSPAN (в том числе — в GRE-туннеле), ICAP (файлы из трафика), SMB / NFS (сетевые хранилища), SMTP / POP3 (почтовый трафик). При интеграции по SMTP и по ICAP возможно настроить режим блокировки: пользователи не смогут загрузить вредоносные вложения либо получить вредоносные письма.

Модули NTA и MDP имеют единую консоль управления, что обеспечивает удобство для пользователя. Мониторинг угроз осуществляется круглосуточно, при возникновении инцидентов специалисты компании
оказывают аналитическую поддержку.

«Гарда Монитор»

Инструмент успешно решает задачу анализа трафика, выявления атак, источник которых находится как за пределами, так и внутри сети. Решение записывает все сетевые потоки, собирает данные, которые могут использоваться не только для выявления инцидентов, но и для их дальнейшего расследования.

В общей сложности решение способно хранить более 100 Тб трафика. Скорость анализа трафика на один модуль составляет 10 гигабит в секунду. Компания самостоятельно определяет количество модулей, позволяющее отслеживать все необходимые данные. «Гарда Монитор» не просто отслеживает и записывает трафик, но и классифицирует его на основе более 250 имеющихся в системе типов протоколов.

Поведенческая аналитика инструментом осуществляется на основе машинного обучения. Используются также статистические методы. В результате «Гарда монитор» успешно обнаруживает даже незначительные отклонения от привычной модели поведения пользователя.

Система имеет широкие возможности интеграции и передачи информации во внешние системы.

Работа с «Гарда монитор» осуществляется в веб-интерфейсе, который легко настраивается под конкретного пользователя. Доступны несколько вариантов дашбордов, гибкие отчеты и настраиваемая статистика по трафику.

Инструмент подойдет для использования в компаниях с разветвленной сетью филиалов. Ситуацию с безопасностью можно отслеживать как для всего гео-кластера в целом, так и настроить свои критерии для каждого из подразделений.

Kaspersky Anti-Targeted Attack

Решение Kaspersky AntiTargeted Attack сложнее других анализировать в рамках данного обзора, так как это полноценный инструмент XDR. Однако в числе его функций есть и характерные именно для NTA/NDR-решений.

Инструмент:

• собирает и сохраняет данные в автоматическом порядке для последующего расследования киберинцидентов;
• проводит ретроспективный анализ и исследует корпоративный трафик на основе сигнатурного анализа;
• распознает и обнаруживает сетевую активность по 80 протоколам, в частности по 53 протоколам прикладного уровня модели TCP/IP.
• использует песочницу для всестороннего анализа угроз в безопасной среде;
• использует машинное обучение для повышения уровня реагирования системы на угрозы.
• Позволяет загружать Open IOC
• Позволяет использовать YARA-правила Детектировать техники Domain generation algorithms и др.
• Использует репутационную базу KSN и имеет возможность получать дополнительный контекст для исследования (Threat Look UP)

Решение KATA позволяет анализировать входящий, исходящий и внутренний трафик.

Для анализа внутреннего трафика решение использует IDS правила, которые написаны экспертами Лаборатории Касперского и позволяют выявить внутрисетевые аномалий т.к. атаки на Kerberos, атаки через SMB/NFS уязвимости, сетевые сканирования и др.

В основе работы Kaspersky AntiTargeted Attack лежит база знаний об угрозах «Лаборатории Касперского», что является несомненным плюсом по уровню экспертизы. При этом любые найденные потенциальные или реальные сопоставляются с базой знаний MITRE ATT&CK. Таким образом, пользователям гарантируется всегда актуальное состояние сведений об угрозах, на которые опирается инструмент.

Заявленная скорость обработки трафика сетевых устройств для решения составляет до 4 гигабит в секунду. Это несколько ниже, чем у двух инструментов из данного обзора (для третьего данных, в которых источниках найти не удалось).

Решение работает в связке с Kaspersky Security Network, где осуществляет сверку с глобальными данными в непрерывном и автоматическом режиме. Также инструмент обращается к порталу Kaspersky Threat Intelligence для получения дополнительного контекста при расследовании инцидентов.

Решение интегрировано с почтовым и сетевыми шлюзами (KSMG и KWTS), что позволяет осуществлять централизованное реагирование на почтовом и сетевом трафике, а также передавать данные в SIEM системы (KUMA и др.).

Решение KATA сертифицировано ФСТЭК России, ФСБ России, МО РФ.

Поставляется в виде виртуального аплайнса или программно-аппаратного комплекса (ПАК), состоящего из полностью отечественных компонентов.Для управления работой инструмента используется единая веб-консоль с гибкими возможностями настройки. Пользоваться функционалом Kaspersky Anti-Targeted Attack удобно вне зависимости от специфики решаемых задач.

Выводы

Все четыре инструмента успешно выполняют свои функции. Однако в принципах их работы есть нюансы. Так, PT NAD, «Гарда Монитор» и Kaspersky AntiTargeted Attack обеспечивают анализ угроз и как внутри сети, так и вне ее.

Важная часть работы NTA/NDR-системы – песочница, где любые найденные потенциальные угрозы анализируются в безопасной среде. Из четырех решений собственный инструмент sandbox или возможность интеграции с подобным инструментарием сторонних разработчиков отсутствует только у «Гарда Монитор». По крайней мере, в открытых источниках информации о его наличии обнаружить не удалось.

Включенные в данный обзор решения осуществляют анализ угроз на основе машинного обучения. Однако набор методов, которые используются в комплекте с ним, у каждого инструмента свой. По их общему количеству существенно опережают конкурентов Kaspersky AntiTargeted Attack  и PT NAD.

Отдельно стоит отметить разработчиков, которые создали и актуализируют базу данных для системы на основе обширной собственной экспертизы. По этому параметру особое место занимают Positive Technologies и «Лаборатория Касперского».