Разделы

Цифровизация Импортонезависимость

Александр Воронин, «Примари», — о результатах исследования российских средств сетевого обнаружения

Александр Воронин
 

технический директор компании «Примари»
 

Ранее эксперты системного интегратора «Примари» опубликовали исследование популярных «сетевых песочниц», где сравнили возможности решений для анализа и детектирования вредоносной активности. Продолжая тему технологий обнаружения сложных атак, инженерная команда «Примари» подготовила новое функциональное сравнение российских NDR-систем. О результатах сравнительного анализа и ключевых критериях выбора таких систем рассказывает Александр Воронин, технический директор компании «Примари».

Борьба с APT-атаками

Наши инженеры обладают глубокой технической экспертизой и опытом реальных внедрений NDR-систем. Мы располагаем собственными демо-стендами и демо-лабораторией, где регулярно проводим пилотные тестирования, демонстрации сценариев работы и проверки совместимости решений. Это позволяет нам объективно оценивать функциональные возможности различных платформ и подбирать для заказчиков оптимальные решения под их конкретные задачи и инфраструктуру.

Ранее Инженерная команда «Примари» провела собственное исследование и сравнение отечественных «сетевых песочниц». В этой статье предлагаем вашему вниманию сравнение российских NDR-систем.

Команда «Примари» подготовила новое функциональное сравнение российских NDR-систем

Средства сетевого обнаружения и реагирования (NDR) показывают свою незаменимость в борьбе со сложными APT-атаками. Инструментарий злоумышленника пополняется легитимным программным обеспечением, все действия выполняются скрытно, в результате, обнаружить деятельность злоумышленника внутри организации задача вовсе нетривиальная. NDR-системы решают эту задачу за счёт глубокого анализа сетевой телеметрии и выявления аномалий в сетевом трафике и поведении пользователей.

Ключевые игроки российского рынка

На российском рынке есть четыре заметных игрока:

Инженерная команда «Примари» подготовила функциональное сравнение решений, а также практические рекомендации по выбору системы класса NDR.

Регуляторные требования

Сравнение отечественных средств защиты информации логично начать с анализа выполнения регуляторных требований:


KATA NDR
PT NAD
Гарда NDR
F6 NTA
Сертификация ФСТЭК России
Да
Да
Да
Нет
Сертификация ФСБ России
Да
Нет
Нет
Нет
Реестр отечественного ПО
Да
Да
Да
Да

KATA NDR выделяется сертификацией в ФСБ России, как средство обнаружения компьютерных атак класс АП (СОА АП), а также, как средство антивирусной защиты класса Д (САВЗ Д).

Высокоуровневый взгляд

В этом разделе сравнения представлен высокоуровневый взгляд на системы класса NDR. Функциональные требования к системам неоднократно описаны и, помимо прочего, включают в себя: обеспечение видимости в сети, возможности активного поиска угроз (Threat Hunting), интеграции с другими средствами защиты и опции по реагированию.

Мы видим глобальный тренд на глубокую интеграцию систем с платформами разведки угроз (TI-платформами) и репутационными базами, а также нативные интеграции с классическими средствами защиты: системами IDPS (система обнаружения и предотвращения вторжений) и Sandbox (песочница). Машинное обучение уже обязательный компонент для систем NDR. Ждем первых шагов в интеграции больших языковых моделей (LLM-моделей).

Функционал
KATA NDR
PT NAD
Гарда NDR
F6 NTA
Машинное обучение
Да
Да
Да
Да
Хранение полной копии сырого трафика
Да
Да
Да
Нет
Интеграция с глобальной репутационной базой
Да
Нет
Нет
Нет
Поддержка TI Feeds
Да
Да
Да
Да
Встроенные механизмы IDPS
Да
Да
Да
Да
Интеграция с пеочницей (Sandbox)
Да
Да
Да, сторонний вендор
Да
Встроенный сетевой антивирус
Да
Нет
Нет
Нет
Интеграция с SIEM (система управления информацией и событиями безопасности)
Да
Да
Да
Да
Реагирование: REST API
Да
Да
Да
Да
Обнаружение аномальной активности, в том числе в зашифрованном трафике
Да
Да
Да
Да
Модуль инвентаризации
Да
Да
Да
Да
Модуль DPI
Да
Да
Да
Да
Консоль работы с инцидентами
Да
Да
Да
Да
Международное тестирование
Да
Нет
Нет
Нет

Сбор сетевой телеметрии

Качество обнаружения и обогащение контекстом во многом зависит от способа сбора сетевой телеметрии, например, трафик netflow обрабатывается быстрее, но часть информации о полезной нагрузке внутри сессии теряется. Однако, в ряде сценариев механизм отлично отрабатывает. Отмечаем «Гарда NDR», как единственное решение, поддерживающее работу с netflow.

«Лаборатория Касперского», судя по всему, работает над тем, чтобы вернуть моду на сбор сетевой телеметрии с помощью агентов на конечных узлах. Исторически от этого отходили, чтобы не увеличивать количество агентов на рабочей станции пользователя. В случае с Лабораторией, используется единый агент Kaspersky Endpoint Security (KES), это позволяет повысить видимость того, что происходит в сети:

  • строить «карту сети» в сегментах без SPAN (зеркалирования портов);
  • строить таблицу сетевых сессия в сегментах без SPAN;
  • повышать сетевую видимость в сегментах со SPAN (например, отправлять в NDR имя пользователя, от имени которого запускался сетевой процесс, имя процесса и инициированную сетевую сессию);
  • собирать дополнительную информацию в базу инвентаризации ассетов (установленная ОС, список приложений, имя пользователя, все используемые сетевые интерфейсы и др.).

Kaspersky SD-WAN может служить источником трафика и телеметрии для KATA NDR, отмечаем нативную интеграцию.

Отметим F6 NTA и KATA NDR, как системы, поддерживающие YARA обнаружение.

Функционал
KATA NDR
PT NAD
Гарда NDR
F6 NTA
Сбор сетевой телеметрии SPAN
Да
Да
Да
Да
Сбор телеметрии с конечных устройств
Да
Нет
Нет
Нет
Интеграция с SD-WAN
Да
Нет
Нет
Нет
Интеграция с сетевыми брокерами
Да
Да
Да
Да
Обработка netflow
Нет
Нет
Да
Нет
Обработка ERSPAN
Да
Да
Да
Да
Поддержка YARA
Да
Нет
Нет
Да
Импорт PCAP
Да
Да
Да
Нет

Развертывание и масштабирование

Функционал
KATA NDR
PT NAD
Гарда NDR
F6 NTA
Возможность установки всех компонентов системы на виртуальные машины
Да
Да
Да
Да
Предельная скорость захвата трафика в виртуальной среде
4 Гбит/сек
(VMWare, Ред, Брест, zVirt)
3 Гбит/сек (в zVirt),
1 Гбит/сек (в остальных)
1 Гбит/сек
1 Гбит/сек
Минимальные вычислительные мощности на анализ 1 Гбит/сек трафика (в сумме)
1 машина
Логические ядра — 38
ОЗУ — 88 ГБ
1 машина
Логические ядра — 48
ОЗУ — 128 Гб
1 машина
Логические ядра — 48
ОЗУ — 32 Гб
1 машина
Логические ядра — 16
ОЗУ — 64 Гб
Отказоустойчивость
Да
Да
Да
Да

Обнаружение угроз

Решения успешно справились с обнаружением базового хакерского инструментария, а также некоторых техник и тактик злоумышленников.

Функционал
KATA NDR
PT NAD
Гарда NDR
F6 NTA
Обнаружение угроз
DGA
Да
Да
Да
Да
Cobalt Strike
Да
Да
Да
Да
Brute Ratel C4
Да
Да
Да
Да
Туннелирование
Да
Да
Да
Да
Разведка
Да
Да
Да
Да
Эксплуатация уязвимостей
Да
Да
Да
Да
Медленные сканирования
Да
Да
Да
Да

Опции реагирования и интеграции

Возможности автоматического реагирования отличают системы NDR от систем класса NTA. Мы видим глобальный тренд на построение XDR-платформ, где NDR лежит в основе, а значит, должен быть интегрирован со всеми элементами XDR платформы.

Все решения поддерживают REST API, что позволяет реализовывать сценарии реагирования на любом оборудовании, на любых средствах защиты. Выделим Гарда NDR и KATA NDR, как решения, которые «из коробки» поддерживают интеграцию со средствами защиты других вендоров. Отдельно выделим KATA NDR, как решение с глубокой нативной интеграцией всего продуктового портфеля.

Функционал
KATA NDR
PT NAD
Гарда NDR
F6 NTA
Опции реагирования и интеграции
REST API
Да
Да
Да
Да
Пользовательские скрипты
Да
Нет
Да
Нет
Внешние СЗИ
UserGate, Check Point, Cisco
Нет
AxelNAC, Cisco
Нет
Интеграция с SIEM
Да
Да
Да
Да
Интеграция с IRP / SOAR
Через отправку в SIEM
Через отправку в SIEM
TheHive из коробки, остальные через API
Через отправку в SIEM
Интеграция с XDR
Да
Да
Да, сторонний вендор
Да
Интеграция с системами управления инцидентами
Нет
Да
Да, сторонний вендор
Да
Интеграция с вендорской песочницей
Да (бесшовная интеграция)
Да (ICAP)
Только со сторонней песочницей
Да
Интеграция со сторонней песочницей
Нет
Нет
Да
Да
Интеграция с NGFW
Да (ICAP)
Да
Да
Да
Интеграция с Secure Web Gateway
Да (ICAP)
Да
Через API или ICAP
Да
Интеграция с Secure Email Gateway
Да
Да
Да
Да
Интеграция с AD
Да
Да
Да
Да
Интеграция с Threat Intelligence
Переход в TIP из контекстного меню IoC
Да
Только сравнение по IoC, без контекста
Да
Использование потоков данных (feeds)
С помощью KUMA / CyberTrace
Да
Сталкер, включен в лицензию
Да
Типы потоков данных (feeds)
С помощью KUMA / CyberTrace (20+ разных потоков данных)
IP-адреса
Активность botnet, подозрительные IP, DNS-over-HTTPS
Активность botnet, подозрительные IP, DNS-over-HTTPS

Наше мнение

Выбирая систему NDR, необходимо исходить из целей вашей компании, опираться на особенности инфраструктуры и бюджет. Все решения позволяют анализировать сетевой трафик, находить в нем вредоносные активности и аномалии.

Если вам важны сбор сетевой телеметрии в том числе и с рабочих станций пользователя, интеграции с TI-платформами и репутационными базами, признанная мировая экспертиза и широкий набор опций реагирования, то KATA NDR ваш выбор.

Если вам необходимо NTA решение, позволяющая проводить ретроспективный анализ, выстраивать процесс threat hunting и расследование атак. Имеет в своем составе ML-модель, которая ищет аномалии и отклонения в анализируемом трафикеи имеет возможности по хранению метаданных в облачном хранилище — ваш выбор PT NAD.

Если вам требуется вариант NDR, в котором есть NetFlow и возможность использовать пользовательские скрипты при реагировании, а также поддерживается интеграция с NAC-решениями (например, AxelNAC) — ваш выбор «Гарда NDR».

В случае, если вам не важна сертификация в регуляторах, и вы рассматриваете решение NTA, которое может администрироваться из облачной консоли — вам подойдет NTA-модуль от F6.

О компании


«Примари» — системный интегратор в сфере информационной безопасности. Компания работает с 2007 г., имеет лицензии ФСТЭК/ФСБ и защищает более 600 000 рабочих мест в различных секторах российской экономики.

Возможности компании:

  • Глубокая техническая экспертиза и опыт реальных внедрений;
  • Собственный демо-фонд оборудования и демо лаборатория;
  • Стенды для демонстраций и воспроизведения сценариев атак;
  • Постоянное обучение и сертификация специалистов;
  • Пилотные тестирования;
  • Собственный портал поддержки.

Рекламаerid:2W5zFGF8QsTРекламодатель: ООО «ИТ Дистрибуция»ИНН/ОГРН: 7453176929/1077453006070Сайт: www.primari.ru