erid 2SDnje4KwUm

NTA-система: лучшая практика или ИБ-маркетинг?

Премия Securitymedia
NTA-система: лучшая практика или ИБ-маркетинг?
NTA-система: лучшая практика или ИБ-маркетинг?
24.10.2022

В современной практике распространены случаи, когда все системы защиты инфраструктуры компании сосредоточены на периметре. В таком подходе есть определенная логика, поскольку злоумышленник совершенно точно будет пытаться этот периметр пересечь. И вместе с тем, если ему удастся пройти незамеченным, он сможет оставаться внутри инфраструктуры годами, поскольку внутри никаких средств идентификации и обнаружения уже нет.

NTA-система (network traffic analysis) – это класс защитных решений, который ориентирован на комплексный анализ сетевого трафика как на периметре, так и внутри инфраструктуры.  В теории, он должен серьезно повысить защищенность компании от киберпреступников, и воспрепятствовать их «многолетнему пребыванию» внутри ИС.

Но работает ли это на практике? В этой статье разобран вопрос эффективности NTA-систем относительно смежных решений, основные достоинства и недостатки этого класса защитных инструментов.

Что дает NTA-система

Главное достоинство NTA-систем по сравнению с другими анализаторами трафика разных уровней – это возможность исследовать события на уровне сети. Такая возможность особенно важна в контексте не только скорости выявления, но и оперативного реагирования на происшествие. Дополнительные возможности заключаются в возможности детализировать инциденты и действия злоумышленников в процессе расследования.

Дмитрий Пудов
Генеральный директор NGR Softlab

Внимание к NTA-системам стало возрастать в ответ на распространение сложных и таргетированных атак. Если в случае сетевой безопасности можно положиться на экспертизу вендора, то в случае с NTA эффективность напрямую будет зависеть от аналитиков компании. В ряде направлений сложно будет добиться высокой эффективности без применения подобных систем, таких как: выявление 0-day, расследование инцидентов, выявление и анализ аномалий, threat hunting.

В первую очередь подобные системы акцентируют свое внимание на идее постоянного мониторинга сетевой активности, предоставления инструментов расследования и глубокого анализа с целью выявления вредоносной активности. Аналитическая направленность как раз и отличает их от распространенных решений защиты на сетевом уровне. Этот класс решений предоставляет широкий спектр технологий для анализа: машинное обучение, гибкие правила детектирования, ретроспективный анализ и т.п. Также он, как правило, в большей степени ориентирован на интеграцию с другими инструментами SOC, что может существенно расширить возможные сценарии использования, повлиять на стоимость внедрения и последующую стоимость владения.

Ключевое преимущество NTA – это объем функций, которые берет на себя эта система. Ее функционал гораздо богаче и шире, чем у других снифферов и средств анализа сетевого трафика.

Интеграция системы анализа сетевого трафика в инфраструктуру компании положительно влияет на скорость обнаружения нежелательных событий, быстроту реакции на эти события. Упрощает процесс расследования, раскрутки цепочки действий злоумышленника. Это особенно важно в контексте противодействия APT-атакам, для которых характерно долгое присутствие в инфраструктуре компании с растянутым во времени перемещением.

Еще одна «побочная» функция NTA – это возможность контролировать соблюдение политики информационной безопасности и внутренних регламентов сотрудниками компании. Однако, такой обширный функционал этого класса решений имеет свои сложности.

Сравнение со смежными решениями

Ближайшие «конкуренты» NTA-систем с позиции основного функционала – это IDS (IPS) и межсетевые экраны (NGFW). Оба инструмента не обладают столь же обширным функционалом и ориентированы на узкий спектр задач. На их фоне может создаться ощущение, что NTA «может все, но ничего не может хорошо», в том плане что целевые инструменты, сделанные под конкретную задачу, справляются с конкретными функциями лучше.

Максим Головлев
Технический директор iTPROTECT

IDS и IPS, чаще всего, устанавливаются на границе периметра, для анализа сетевого трафика, выявления сетевых атак и оповещения о них ИБ-отдела. Задачи NTA чуть шире – они аккумулируют и проводят глубокий анализ всего трафика, как внешнего, так и внутреннего, как зашифрованного, так и расшифрованного, а также данных с NGFW, который мог пропустить атаку (например, в случае, когда она осуществлялась с использованием легитимных учетных данных или сетевое соединение подпадало под разрешающее правило). Например, в NTA есть возможность проведения автоматического ретроспективного анализа для выявления угроз, которые ранее не были обнаружены за счет использование новых IoC.

Однако для каждого типа сетевых атак, для разных схем и разных приложений существуют свои решения, нельзя все заменить NTA или использовать только NGFW. NTA - это важный инструмент, но при наличии базовых превентивных средств защиты сети.

НТА – это оптимальное решение с той точки зрения, что она требует гораздо меньших ресурсов. Если попробовать обеспечить близкий уровень защиты с помощью тотальной интеграции в инфраструктуру межсетевых экранов – существенно снизится скорость отклика системы и возрастет нагрузка на нее.

Часто в качестве плюса этого класса систем называют возможности кастомизации сигнатур и машинного обучения. Это действительно так, однако для эффективной реализации этих преимуществ на практике нужно время и подготовленные специалисты, которых в конкретной компании может просто не быть.

«Великая триада SOC’а»

Исходя из данных агентства Gartner, NTA – это одна из трех защитных систем, которые в совокупности покрывают большую часть инфраструктуры и способны существенно снизить диапазон возможностей для киберпреступников. В него, также, входит ERP и SIEM.

Сергей Петренко
Д.т.н.,профессор, руководитель направления "Информационная безопасность" Академии АйТи

К лучшим отечественным NTA-системам относятся решения: Kaspersky Anti Targeted Attack (KATA), PT Network Attack Discovery, «Гарда Монитор» и др. А к лучшим западным NTA-системам относятся решения: Cisco Stealthwatch; Darktrace Enterprise Immune System; FireEye SmartVision; HPE Aruba Networks IntroSpect; IronNet Cybersecurity IronDefense; LogRhythm NetworkXDR; Palo Alto Networks Cortex XDR; RSA NetWitness Network; Vectra Cognito Detect; Verizon Network Detection and Response и др.

Однако, оценивая эффективность NTA-систем нужно сказать следующее. Высокая устойчивость критически важной информационной инфраструктуры государства и бизнеса в условиях роста угроз безопасности не сводится исключительно к способности оперативно реагировать на новые вызовы и угрозы. Требуются принципиально новые идеи и подходы, которые позволят упомянутым корпоративным системам достигать целей функционирования в условиях роста угроз безопасности (возможно, с потерей некоторой функциональности).

Однако, нужно понимать, что совокупность этих систем – это огромное количество правил, корреляций, ложноположительных событий, аномалий и сигналов. И даже если вендор справится с 99% этих сигналов, то оставшийся 1% может оказаться огромным объемом задач для специалистов на местах.

Нельзя забывать и о российской специфике, в которой главенствуют два тренда:

  • увеличение числа кибератак;

  • сокращение количества защитных инструментов на рынке.

В таких условиях многие компании могут отказаться от номинально более эффективных инструментов в пользу более простых и привычных, опыт работы с которыми уже есть.

Вывод

NTA-система – это логичное развитие IDS. Оно обладает большим функционалом и принадлежит к другому уровню продуктов, для которого характерна комплексность и гибкость, возможность максимально адаптировать систему под конкретную отраслевую инфраструктуру.

Иван Чернов
Менеджер по развитию UserGate

По большому счету, NTA – это маркетинговая эволюция продукта класса IDS, которая собирает копию трафика и проводит его аналитику, поэтому считать этот продукт решением для активной защиты неверно по определению. Что касается эффективности NTA-систем в рамках своего основного функционала – сбора и анализа трафика – то она достаточно высока, однако, есть нюанс – большая часть трафика в сети является защищенным, зашифрованным, и NTA просто получит зашифрованные данные, в которых самостоятельно не разберется. Для того же, чтобы NTA-система работала эффективно, необходимо предварительно расшифровать трафик. Сделать это можно, например, с помощью межсетевых экранов нового поколения (NGFW UserGate). Однако встает вопрос – зачем вам передавать данные в NTA, если со всеми задачами справится NGFW?

Вместе с тем, это все еще система анализа сетевого трафика, которая не может существовать в вакууме. Для ее эффективной работы нужны как смежные системы, так и наличие высококвалифицированных кадров на местах, которые будут взаимодействовать с этой системой.

Можно говорить о том, что NTA наиболее актуальны для зрелых, с позиции кибербезопасности, компаний, которые уже «выжали максимум» из смежных инструментов и не только хотят серьезно усилить защиту инфраструктуры, но и осознают диапазон условий, при которых эта система будет максимально эффективна.


Комментарии 0