Александр Воронин, «Примари», — о результатах исследования российских средств сетевого обнаружения
Александр Воронин
технический директор компании «Примари»
Ранее эксперты системного интегратора «Примари» представили исследование востребованных «сетевых песочниц», в котором сопоставили функционал решений для анализа и выявления вредоносной активности. Продолжая изучение технологий обнаружения сложных атак, инженерная команда «Примари» выполнила новое функциональное сопоставление отечественных NDR-систем. О результатах сравнительного анализа и основных критериях выбора таких систем рассказывает Александр Воронин, технический директор компании «Примари».
Борьба с APT-атаками
Наши инженеры обладают глубокой технической компетенцией и практическим опытом внедрения NDR-систем. В нашем распоряжении имеются собственные демо-стенды и демо-лаборатория, где мы систематически проводим пилотные испытания, демонстрации рабочих сценариев и проверки совместимости решений. Это дает нам возможность непредвзято оценивать функциональные возможности различных платформ и подбирать для заказчиков наиболее подходящие решения с учетом их специфических задач и инфраструктуры.
Ранее инженерная команда «Примари» провела собственное исследование и сравнение отечественных «сетевых песочниц». В данной статье мы предлагаем вашему вниманию сопоставление российских NDR-систем.
Системы сетевого обнаружения и реагирования (NDR) доказывают свою необходимость при противодействии сложным целевым атакам (APT). Арсенал злоумышленников пополняется легитимным программным обеспечением, все операции проводятся скрытно, и выявить их активность внутри организации становится крайне сложной задачей. NDR-решения справляются с этим благодаря глубокому анализу сетевой телеметрии и обнаружению аномалий в трафике и поведении пользователей.
Основные участники российского рынка
На российском рынке присутствуют четыре ключевых игрока:
- «Лаборатория Касперского». Kaspersky Anti Targeted Attack NDR (KATA NDR);
- Positive Technologies. PT Network Attack Discovery (PT NAD);
- «Гарда Технологии». Гарда NDR;
- F6. Network Traffic Analysis (F6 NTA).
Инженерная команда «Примари» подготовила функциональное сравнение этих решений, а также практические советы по выбору системы класса NDR.
Требования регуляторов
Сравнение отечественных средств защиты информации логично начать с проверки соответствия нормативным требованиям:
KATA NDR выделяется наличием сертификации ФСБ России в качестве средства обнаружения компьютерных атак класса АП (СОА АП), а также как средство антивирусной защиты класса Д (САВЗ Д).
Общий обзор
В данном разделе сравнения представлен общий взгляд на системы класса NDR. Функциональные требования к таким системам уже многократно описаны и включают, помимо прочего: обеспечение видимости сети, возможности активного поиска угроз (Threat Hunting), интеграцию с другими средствами защиты и опции для реагирования.
Мы наблюдаем глобальный тренд на глубокую интеграцию систем с платформами разведки угроз (TI-платформами) и репутационными базами, а также нативную интеграцию с классическими средствами защиты: системами IDPS (система обнаружения и предотвращения вторжений) и Sandbox (песочница). Машинное обучение уже стало обязательным компонентом для систем NDR. Ожидаем первых шагов в интеграции больших языковых моделей (LLM-моделей).
Сбор сетевой телеметрии
Качество обнаружения и обогащение контекстом во многом зависят от метода сбора сетевой телеметрии. Например, трафик netflow обрабатывается быстрее, но часть информации о полезной нагрузке внутри сессии теряется. Однако в ряде сценариев этот механизм работает отлично. Отмечаем «Гарда NDR» как единственное решение, поддерживающее работу с netflow.
«Лаборатория Касперского», судя по всему, стремится вернуть моду на сбор сетевой телеметрии с помощью агентов на конечных узлах. Исторически от этого отказывались, чтобы не увеличивать количество агентов на рабочей станции пользователя. В случае с Лабораторией используется единый агент Kaspersky Endpoint Security (KES), что позволяет повысить видимость происходящего в сети:
- создавать «карту сети» на участках, где отсутствует SPAN (зеркалирование портов);
- формировать таблицу сетевых сессий в сегментах без SPAN;
- улучшать видимость сети в сегментах с SPAN (например, передавать в NDR имя пользователя, запустившего сетевой процесс, название процесса и инициированную им сетевую сессию);
- накапливать дополнительные данные в базе инвентаризации активов (установленная ОС, перечень приложений, имя пользователя, все активные сетевые интерфейсы и т.д.).
Kaspersky SD-WAN способен выступать в роли источника трафика и телеметрии для KATA NDR, подчеркивая наличие нативной интеграции.
Выделим F6 NTA и KATA NDR как системы, поддерживающие обнаружение на основе YARA.
Внедрение и расширение
Выявление угроз
Продукты успешно показали себя в обнаружении базового хакерского инструментария, а также ряда тактик и техник злоумышленников.
Варианты реагирования и интеграции
Возможности автоматического реагирования отличают системы NDR от решений класса NTA. Мы наблюдаем глобальный тренд на построение XDR-платформ, где NDR выступает фундаментом и, следовательно, должен быть интегрирован со всеми компонентами XDR.
Все решения поддерживают REST API, что позволяет реализовывать сценарии реагирования на любом оборудовании и любых средствах защиты. Отметим Гарда NDR и KATA NDR как решения, которые «из коробки» обеспечивают интеграцию со средствами защиты других вендоров. Особо выделим KATA NDR как продукт с глубокой нативной интеграцией всего портфеля решений.
Наше заключение
При выборе системы NDR важно исходить из целей вашей компании, учитывать особенности инфраструктуры и бюджет. Все решения позволяют анализировать сетевой трафик, выявлять в нем вредоносные активности и аномалии.
Если для вас приоритетны сбор сетевой телеметрии, в том числе с рабочих станций пользователей, интеграция с TI-платформами и репутационными базами, признанная мировая экспертиза и широкий спектр опций реагирования, то ваш выбор — KATA NDR.
Если вам нужно NTA-решение, способное проводить ретроспективный анализ, выстраивать процесс threat hunting и расследовать атаки, имеющее встроенную ML-модель для поиска аномалий и отклонений в анализируемом трафике, а также возможности хранения метаданных в облаке, ваш выбор — PT NAD.
Если вам требуется вариант NDR с поддержкой NetFlow, возможностью использования пользовательских скриптов при реагировании и интеграцией с NAC-решениями (например, AxelNAC), ваш выбор — «Гарда NDR».
Если сертификация в регуляторах для вас не критична, и вы рассматриваете NTA-решение, управляемое из облачной консоли, вам подойдет NTA-модуль от F6.
■ Рекламаerid:2W5zFGF8QsTРекламодатель: ООО «ИТ Дистрибуция»ИНН/ОГРН: 7453176929/1077453006070Сайт: www.primari.ru