Александр Воронин, «Примари», — о результатах исследования российских средств сетевого обнаружения

Александр Воронин
технический директор компании «Примари»
Ранее эксперты системного интегратора «Примари» опубликовали исследование популярных «сетевых песочниц», где сравнили возможности решений для анализа и детектирования вредоносной активности. Продолжая тему технологий обнаружения сложных атак, инженерная команда «Примари» подготовила новое функциональное сравнение российских NDR-систем. О результатах сравнительного анализа и ключевых критериях выбора таких систем рассказывает Александр Воронин, технический директор компании «Примари».
Борьба с APT-атаками
Наши инженеры обладают глубокой технической экспертизой и опытом реальных внедрений NDR-систем. Мы располагаем собственными демо-стендами и демо-лабораторией, где регулярно проводим пилотные тестирования, демонстрации сценариев работы и проверки совместимости решений. Это позволяет нам объективно оценивать функциональные возможности различных платформ и подбирать для заказчиков оптимальные решения под их конкретные задачи и инфраструктуру.
Ранее Инженерная команда «Примари» провела собственное исследование и сравнение отечественных «сетевых песочниц». В этой статье предлагаем вашему вниманию сравнение российских NDR-систем.
Средства сетевого обнаружения и реагирования (NDR) показывают свою незаменимость в борьбе со сложными APT-атаками. Инструментарий злоумышленника пополняется легитимным программным обеспечением, все действия выполняются скрытно, в результате, обнаружить деятельность злоумышленника внутри организации задача вовсе нетривиальная. NDR-системы решают эту задачу за счёт глубокого анализа сетевой телеметрии и выявления аномалий в сетевом трафике и поведении пользователей.
Ключевые игроки российского рынка
На российском рынке есть четыре заметных игрока:
- «Лаборатория Касперского». Kaspersky Anti Targeted Attack NDR (KATA NDR);
- Positive Technologies. PT Network Attack Discovery (PT NAD);
- «Гарда Технологии». Гарда NDR;
- F6. Network Traffic Analysis (F6 NTA).
Инженерная команда «Примари» подготовила функциональное сравнение решений, а также практические рекомендации по выбору системы класса NDR.
Регуляторные требования
Сравнение отечественных средств защиты информации логично начать с анализа выполнения регуляторных требований:
KATA NDR выделяется сертификацией в ФСБ России, как средство обнаружения компьютерных атак класс АП (СОА АП), а также, как средство антивирусной защиты класса Д (САВЗ Д).
Высокоуровневый взгляд
В этом разделе сравнения представлен высокоуровневый взгляд на системы класса NDR. Функциональные требования к системам неоднократно описаны и, помимо прочего, включают в себя: обеспечение видимости в сети, возможности активного поиска угроз (Threat Hunting), интеграции с другими средствами защиты и опции по реагированию.
Мы видим глобальный тренд на глубокую интеграцию систем с платформами разведки угроз (TI-платформами) и репутационными базами, а также нативные интеграции с классическими средствами защиты: системами IDPS (система обнаружения и предотвращения вторжений) и Sandbox (песочница). Машинное обучение уже обязательный компонент для систем NDR. Ждем первых шагов в интеграции больших языковых моделей (LLM-моделей).
Сбор сетевой телеметрии
Качество обнаружения и обогащение контекстом во многом зависит от способа сбора сетевой телеметрии, например, трафик netflow обрабатывается быстрее, но часть информации о полезной нагрузке внутри сессии теряется. Однако, в ряде сценариев механизм отлично отрабатывает. Отмечаем «Гарда NDR», как единственное решение, поддерживающее работу с netflow.
«Лаборатория Касперского», судя по всему, работает над тем, чтобы вернуть моду на сбор сетевой телеметрии с помощью агентов на конечных узлах. Исторически от этого отходили, чтобы не увеличивать количество агентов на рабочей станции пользователя. В случае с Лабораторией, используется единый агент Kaspersky Endpoint Security (KES), это позволяет повысить видимость того, что происходит в сети:
- строить «карту сети» в сегментах без SPAN (зеркалирования портов);
- строить таблицу сетевых сессия в сегментах без SPAN;
- повышать сетевую видимость в сегментах со SPAN (например, отправлять в NDR имя пользователя, от имени которого запускался сетевой процесс, имя процесса и инициированную сетевую сессию);
- собирать дополнительную информацию в базу инвентаризации ассетов (установленная ОС, список приложений, имя пользователя, все используемые сетевые интерфейсы и др.).
Kaspersky SD-WAN может служить источником трафика и телеметрии для KATA NDR, отмечаем нативную интеграцию.
Отметим F6 NTA и KATA NDR, как системы, поддерживающие YARA обнаружение.
Развертывание и масштабирование
Обнаружение угроз
Решения успешно справились с обнаружением базового хакерского инструментария, а также некоторых техник и тактик злоумышленников.
Опции реагирования и интеграции
Возможности автоматического реагирования отличают системы NDR от систем класса NTA. Мы видим глобальный тренд на построение XDR-платформ, где NDR лежит в основе, а значит, должен быть интегрирован со всеми элементами XDR платформы.
Все решения поддерживают REST API, что позволяет реализовывать сценарии реагирования на любом оборудовании, на любых средствах защиты. Выделим Гарда NDR и KATA NDR, как решения, которые «из коробки» поддерживают интеграцию со средствами защиты других вендоров. Отдельно выделим KATA NDR, как решение с глубокой нативной интеграцией всего продуктового портфеля.
Наше мнение
Выбирая систему NDR, необходимо исходить из целей вашей компании, опираться на особенности инфраструктуры и бюджет. Все решения позволяют анализировать сетевой трафик, находить в нем вредоносные активности и аномалии.
Если вам важны сбор сетевой телеметрии в том числе и с рабочих станций пользователя, интеграции с TI-платформами и репутационными базами, признанная мировая экспертиза и широкий набор опций реагирования, то KATA NDR ваш выбор.
Если вам необходимо NTA решение, позволяющая проводить ретроспективный анализ, выстраивать процесс threat hunting и расследование атак. Имеет в своем составе ML-модель, которая ищет аномалии и отклонения в анализируемом трафикеи имеет возможности по хранению метаданных в облачном хранилище — ваш выбор PT NAD.
Если вам требуется вариант NDR, в котором есть NetFlow и возможность использовать пользовательские скрипты при реагировании, а также поддерживается интеграция с NAC-решениями (например, AxelNAC) — ваш выбор «Гарда NDR».
В случае, если вам не важна сертификация в регуляторах, и вы рассматриваете решение NTA, которое может администрироваться из облачной консоли — вам подойдет NTA-модуль от F6.
■ Рекламаerid:2W5zFGF8QsTРекламодатель: ООО «ИТ Дистрибуция»ИНН/ОГРН: 7453176929/1077453006070Сайт: www.primari.ru



