В современной практике распространены случаи, когда все системы защиты инфраструктуры компании сосредоточены на периметре. В таком подходе есть определенная логика, поскольку злоумышленник совершенно точно будет пытаться этот периметр пересечь. И вместе с тем, если ему удастся пройти незамеченным, он сможет оставаться внутри инфраструктуры годами, поскольку внутри никаких средств идентификации и обнаружения уже нет.
NTA-система (network traffic analysis) – это класс защитных решений, который ориентирован на комплексный анализ сетевого трафика как на периметре, так и внутри инфраструктуры. В теории, он должен серьезно повысить защищенность компании от киберпреступников, и воспрепятствовать их «многолетнему пребыванию» внутри ИС.
Но работает ли это на практике? В этой статье разобран вопрос эффективности NTA-систем относительно смежных решений, основные достоинства и недостатки этого класса защитных инструментов.
Главное достоинство NTA-систем по сравнению с другими анализаторами трафика разных уровней – это возможность исследовать события на уровне сети. Такая возможность особенно важна в контексте не только скорости выявления, но и оперативного реагирования на происшествие. Дополнительные возможности заключаются в возможности детализировать инциденты и действия злоумышленников в процессе расследования.
Дмитрий Пудов
Генеральный директор NGR Softlab
Внимание к NTA-системам стало возрастать в ответ на распространение сложных и таргетированных атак. Если в случае сетевой безопасности можно положиться на экспертизу вендора, то в случае с NTA эффективность напрямую будет зависеть от аналитиков компании. В ряде направлений сложно будет добиться высокой эффективности без применения подобных систем, таких как: выявление 0-day, расследование инцидентов, выявление и анализ аномалий, threat hunting.
В первую очередь подобные системы акцентируют свое внимание на идее постоянного мониторинга сетевой активности, предоставления инструментов расследования и глубокого анализа с целью выявления вредоносной активности. Аналитическая направленность как раз и отличает их от распространенных решений защиты на сетевом уровне. Этот класс решений предоставляет широкий спектр технологий для анализа: машинное обучение, гибкие правила детектирования, ретроспективный анализ и т.п. Также он, как правило, в большей степени ориентирован на интеграцию с другими инструментами SOC, что может существенно расширить возможные сценарии использования, повлиять на стоимость внедрения и последующую стоимость владения.
Ключевое преимущество NTA – это объем функций, которые берет на себя эта система. Ее функционал гораздо богаче и шире, чем у других снифферов и средств анализа сетевого трафика.
Интеграция системы анализа сетевого трафика в инфраструктуру компании положительно влияет на скорость обнаружения нежелательных событий, быстроту реакции на эти события. Упрощает процесс расследования, раскрутки цепочки действий злоумышленника. Это особенно важно в контексте противодействия APT-атакам, для которых характерно долгое присутствие в инфраструктуре компании с растянутым во времени перемещением.
Еще одна «побочная» функция NTA – это возможность контролировать соблюдение политики информационной безопасности и внутренних регламентов сотрудниками компании. Однако, такой обширный функционал этого класса решений имеет свои сложности.
Ближайшие «конкуренты» NTA-систем с позиции основного функционала – это IDS (IPS) и межсетевые экраны (NGFW). Оба инструмента не обладают столь же обширным функционалом и ориентированы на узкий спектр задач. На их фоне может создаться ощущение, что NTA «может все, но ничего не может хорошо», в том плане что целевые инструменты, сделанные под конкретную задачу, справляются с конкретными функциями лучше.
Максим Головлев
Технический директор iTPROTECT
IDS и IPS, чаще всего, устанавливаются на границе периметра, для анализа сетевого трафика, выявления сетевых атак и оповещения о них ИБ-отдела. Задачи NTA чуть шире – они аккумулируют и проводят глубокий анализ всего трафика, как внешнего, так и внутреннего, как зашифрованного, так и расшифрованного, а также данных с NGFW, который мог пропустить атаку (например, в случае, когда она осуществлялась с использованием легитимных учетных данных или сетевое соединение подпадало под разрешающее правило). Например, в NTA есть возможность проведения автоматического ретроспективного анализа для выявления угроз, которые ранее не были обнаружены за счет использование новых IoC.
Однако для каждого типа сетевых атак, для разных схем и разных приложений существуют свои решения, нельзя все заменить NTA или использовать только NGFW. NTA - это важный инструмент, но при наличии базовых превентивных средств защиты сети.
НТА – это оптимальное решение с той точки зрения, что она требует гораздо меньших ресурсов. Если попробовать обеспечить близкий уровень защиты с помощью тотальной интеграции в инфраструктуру межсетевых экранов – существенно снизится скорость отклика системы и возрастет нагрузка на нее.
Часто в качестве плюса этого класса систем называют возможности кастомизации сигнатур и машинного обучения. Это действительно так, однако для эффективной реализации этих преимуществ на практике нужно время и подготовленные специалисты, которых в конкретной компании может просто не быть.
Исходя из данных агентства Gartner, NTA – это одна из трех защитных систем, которые в совокупности покрывают большую часть инфраструктуры и способны существенно снизить диапазон возможностей для киберпреступников. В него, также, входит ERP и SIEM.
Сергей Петренко
Д.т.н.,профессор, руководитель направления "Информационная безопасность" Академии АйТи
К лучшим отечественным NTA-системам относятся решения: Kaspersky Anti Targeted Attack (KATA), PT Network Attack Discovery, «Гарда Монитор» и др. А к лучшим западным NTA-системам относятся решения: Cisco Stealthwatch; Darktrace Enterprise Immune System; FireEye SmartVision; HPE Aruba Networks IntroSpect; IronNet Cybersecurity IronDefense; LogRhythm NetworkXDR; Palo Alto Networks Cortex XDR; RSA NetWitness Network; Vectra Cognito Detect; Verizon Network Detection and Response и др.
Однако, оценивая эффективность NTA-систем нужно сказать следующее. Высокая устойчивость критически важной информационной инфраструктуры государства и бизнеса в условиях роста угроз безопасности не сводится исключительно к способности оперативно реагировать на новые вызовы и угрозы. Требуются принципиально новые идеи и подходы, которые позволят упомянутым корпоративным системам достигать целей функционирования в условиях роста угроз безопасности (возможно, с потерей некоторой функциональности).
Однако, нужно понимать, что совокупность этих систем – это огромное количество правил, корреляций, ложноположительных событий, аномалий и сигналов. И даже если вендор справится с 99% этих сигналов, то оставшийся 1% может оказаться огромным объемом задач для специалистов на местах.
Нельзя забывать и о российской специфике, в которой главенствуют два тренда:
увеличение числа кибератак;
сокращение количества защитных инструментов на рынке.
В таких условиях многие компании могут отказаться от номинально более эффективных инструментов в пользу более простых и привычных, опыт работы с которыми уже есть.
NTA-система – это логичное развитие IDS. Оно обладает большим функционалом и принадлежит к другому уровню продуктов, для которого характерна комплексность и гибкость, возможность максимально адаптировать систему под конкретную отраслевую инфраструктуру.
Иван Чернов
Менеджер по развитию UserGate
По большому счету, NTA – это маркетинговая эволюция продукта класса IDS, которая собирает копию трафика и проводит его аналитику, поэтому считать этот продукт решением для активной защиты неверно по определению. Что касается эффективности NTA-систем в рамках своего основного функционала – сбора и анализа трафика – то она достаточно высока, однако, есть нюанс – большая часть трафика в сети является защищенным, зашифрованным, и NTA просто получит зашифрованные данные, в которых самостоятельно не разберется. Для того же, чтобы NTA-система работала эффективно, необходимо предварительно расшифровать трафик. Сделать это можно, например, с помощью межсетевых экранов нового поколения (NGFW UserGate). Однако встает вопрос – зачем вам передавать данные в NTA, если со всеми задачами справится NGFW?
Вместе с тем, это все еще система анализа сетевого трафика, которая не может существовать в вакууме. Для ее эффективной работы нужны как смежные системы, так и наличие высококвалифицированных кадров на местах, которые будут взаимодействовать с этой системой.
Можно говорить о том, что NTA наиболее актуальны для зрелых, с позиции кибербезопасности, компаний, которые уже «выжали максимум» из смежных инструментов и не только хотят серьезно усилить защиту инфраструктуры, но и осознают диапазон условий, при которых эта система будет максимально эффективна.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться