Лаборатория кибербезопасности Servicepipe и «Спикател» объявили о запуске системы обнаружения сетевых угроз (NDR), способной выявлять зашифрованные угрозы, скрытые туннели и проксированный трафик в корпоративных сетях без необходимости его расшифровки. Платформа анализирует, как выглядит штатная работа каждого узла в конкретной организации, и фиксирует отклонения вне зависимости от того, зашифрован трафик или нет. Об этом CNews сообщили представители Servicepipe.
Данный подход позволяет выявлять следующие угрозы.
Зашифрованные каналы управления (C2). Злоумышленник уже проник в сеть и получает команды через обычный HTTPS. Межсетевой экран видит легитимное соединение. Система же замечает периодические обращения к одному и тому же серверу с нестандартным интервалом и аномальным TLS-отпечатком — это признаки beaconing (периодической отправки сигналов зараженным устройством злоумышленнику).
Скрытые туннели и обход политик. Сотрудники используют VPN, прокси и туннели для обхода корпоративных политик безопасности. Система распознает замаскированные туннели по поведенческим признакам — даже если они маскируются под обычный веб-трафик.
Эксфильтрация данных. Утечка конфиденциальной информации через DNS, HTTPS или облачные хранилища остается незаметной для периметровых средств защиты. Система фиксирует аномальные объемы исходящего трафика, нетипичных получателей и признаки кодирования данных в DNS-запросах.
Распространение внутри сети. Злоумышленник, получивший доступ к одной рабочей станции, перемещается к серверам внутри сети. Межсетевой экран этого не видит — трафик east-west не проходит через периметр. Система отмечает новые связи между узлами, которые ранее никогда не взаимодействовали.
Теневые ИТ-ресурсы. Несанкционированные устройства, неучтенные сервисы, личные VPN сотрудников — система автоматически обнаруживает все, что не соответствует политикам безопасности организации.
Платформа предназначена для организаций, где сетевая инфраструктура является критически важным активом: крупный и средний бизнес, государственные структуры, операторы связи. Система дополняет существующие средства защиты — межсетевые экраны, IDS, SIEM — закрывая слепые зоны, которые они не могут контролировать.
«Сегодня более 87% сетевого трафика зашифровано, и традиционные средства защиты зачастую просто не видят, что происходит внутри сети: когда трафик зашифрован, проксирован или туннелирован — сигнатуры не работают. Этим активно пользуются злоумышленники: они маскируют управление под обычный HTTPS, передают данные через легитимные каналы и действуют внутри периметра, оставаясь незамеченными месяцами, — отметил директор Лаборатории кибербезопасности Servicepipe и «Спикател» Михаил Хлебунов. — Мы разработали решение, чтобы компании могли видеть угрозы, которые пропускают их текущие инструменты — без необходимости расшифровывать трафик, устанавливать агенты или перестраивать сеть».
