Компания «Гарда» (входит в состав «ИКС Холдинг») интегрировала в свое решение «Гарда NDR» новые инструменты, нацеленные на повышение результативности обнаружения киберугроз и ускорение процесса расследования инцидентов. В продукте появились функции автоматической оценки рисков хостов и выявления аномальных отклонений в их работе с помощью ML-кластеризации. Об этом CNews рассказали представители «Гарда».
Обновление возможностей решения направлено на обнаружение сложных и нетипичных атак. В «Гарда NDR» объединены автоматическая кластеризация для поиска аномалий в поведении и динамическая оценка рисков хостов. ML-кластеризация дает возможность изучать поведение устройств в сети и выявлять атаки, которые не фиксируются стандартными средствами защиты, включая скрытые действия, нестандартные отклонения в коммуникациях и атаки нулевого дня.
Данный метод основан на комбинации технологий обнаружения угроз: более 80 детекторов аномалий, работающих на базе моделей машинного обучения (ML), глубокий анализ содержимого сетевых пакетов (DPI) и телеметрии (Netflow), сигнатурный анализ (IDS), индикаторы компрометации «Гарда Threat Intelligence Feeds», а также ловушки и приманки Deception. Совместное использование этих технологий лежит в основе оценки рисков хостов и позволяет автоматически расставлять приоритеты среди узлов инфраструктуры по степени вероятной компрометации. В итоге вместо потока разрозненных предупреждений аналитики получают структурированную картину реального уровня риска и могут выявлять узлы, через которые атака распространяется горизонтально внутри инфраструктуры. Это ускоряет принятие решений по реагированию и сокращает время, необходимое для расследования инцидентов.
Помимо новых механизмов выявления угроз, обновленная версия включает ряд улучшений, направленных на ускорение внедрения и снижение нагрузки на команды информационной безопасности. В продукт добавлены графический инсталлятор и автоматическая загрузка политик из архива, что упрощает начальную настройку системы и сокращает время подготовки к работе. Кроме того, добавлена поддержка цифровых отпечатков в формате JA4, позволяющая обнаруживать известные признаки вредоносного ПО в зашифрованном трафике.
Вот переписанный HTML-контент на русском языке с сохранением всех исходных тегов:Особый акцент сделан на повышении продуктивности работы аналитиков SOC. В новую версию добавлена свежая модель машинного обучения, предназначенная для выявления автоматически сгенерированных доменов (DGA). Она определяет домены, которые создаются киберпреступниками для управления вредоносным ПО и обхода блокировок, с точностью, недостижимой при использовании эвристических подходов. Модель прошла обучение на десятках миллионов образцов. Благодаря этому специалисты тратят меньше времени на обработку ложных срабатываний и могут сконцентрироваться на реально опасных атаках. Помимо этого, были расширены возможности передачи событий аудита в SIEM, внедрены улучшения в интерфейсе, а также добавлены дополнительные средства настройки политик детектирования. Как результат, количество кликов, необходимых пользователю при проведении расследования инцидента, сократилось на 20-50% в зависимости от конкретного сценария, а логика работы продукта стала более интуитивной. Это напрямую снижает вероятность пропуска атаки из-за человеческого фактора.
Данное решение объединяет технологии, которые сейчас в основном доступны лишь мировым технологическим гигантам и не встречаются на российском рынке в составе единого продукта. За счет комбинации различных методов «Гарда NDR» расширяет спектр выявляемых угроз и усиливает защиту сетевой инфраструктуры.
«Сегодня организациям нужны не просто обнаружения угроз, а четкие ответы: где именно в сети находится реальная опасность и на что следует обратить внимание в первую очередь. С внедрением нового функционала в “Гарда NDR” мы стараемся решить две основные проблемы аналитиков SOC: уменьшить объем ручного анализа и ускорить процесс реагирования. Автоматический риск-скоринг хостов ранжирует узлы по уровню опасности и значительно сокращает время расследования. ML-кластеризация хостов позволяет анализировать поведение устройства не изолированно, а в сравнении с группой хостов, схожих по поведению в сетевом трафике (кластере): если устройство ведет себя иначе, чем остальные хосты из его кластера, это указывает на аномальное поведение и возможный инцидент. В итоге бизнес получает управляемую модель безопасности, не отвлекаясь на ложные сигналы», – отметил Станислав Грибанов, руководитель продуктового направления «Гарда».
