SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS

Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
13.05.2024

Руслан Рахметов, Security Vision

 

Подавляющее большинство современных кибератак осуществляется через сети передачи данных - интернет, локальные сети, облака, OT-сети в промышленности. Для эффективного выявления и реагирования на кибератаки используется большое количество средств защиты, которые можно условно разделить на сетевые, хостовые и облачные. Сетевые СЗИ контролируют и анализируют трафик, хостовые СЗИ обеспечивают безопасность конечных устройств, облачные СЗИ обеспечивают защиту cloud-инфраструктур (опубликованные приложения, размещенные данные, интеграции). Среди сетевых защитных решений наиболее известными являются продукты следующих классов: межсетевые экраны и шлюзы безопасности (включая NGFW, WAF, SWG, UTM), системы контроля доступа к сети (NAC, Network Access Control), системы защиты от DDoS-атак, средства предоставления сетевого доступа с нулевым доверием (ZTNA, Zero Trust Network Access), платформы безопасного пограничного доступа (SASE, Secure Access Service Edge), а также рассматриваемые в данной статье системы анализа трафика (Network Traffic Analysis, NTA), системы сетевого обнаружения и реагирования (Network Detection and Response, NDR), сетевые системы обнаружения / предотвращения вторжений (NIDS/NIPS, Network Intrusion Detection / Prevention System). Ниже мы опишем основные функциональные особенности, а также сходства и различия средств NTA, NDR и IDS.

                                       

1. Системы анализа трафика (Network Traffic Analysis, NTA).


Решения класса NTA обеспечивают выявление кибератак в трафике за счет обнаружения подозрительных и вредоносных сетевых соединений (например, применение эксплойтов, загрузка ВПО, C&C-соединения, эксфильтрация украденных данных), потенциальных вредоносных устройств в сети, а также отклонений от нормальной (типовой для данной инфраструктуры) структуры трафика. Устройства класса NTA позволяют проводить анализ сетевого трафика «на лету» и вести запись подающегося на них сетевого трафика для обеспечения расследования киберинцидентов. Информацию на NTA можно передавать либо через flow-сообщения (протоколы NetFlow v5/v9, IPFIX, sFlow, jFlow), либо передавая в NTA копию сетевого трафика (технологии SPAN / RSPAN / ERSPAN, подключения TAP), либо используя протокол ICAP. Решения класса NTA используются для обнаружения скрытых киберугроз и инцидентов ИБ, которые не были выявлены другими способами, обнаружения вредоносного трафика, выявления утечек данных и аномально большого расхода трафика, а также для диагностики и выявления проблем с сетевой инфраструктурой и сетевым оборудованием. Дополнительно в NTA-решениях может использоваться технология DPI (Deep Packet Inspection, глубокий анализ пакетов) для точного определения типа трафика и используемых приложений, что повышает точность выявления сетевых угроз.

 

Устройства NTA могут выполнять роль «черных ящиков» для инфраструктуры: в момент кибератаки межсетевые экраны могут быть перегружены или скомпрометированы, поэтому информацию о сетевых соединениях, предшествовавших инциденту, лучше получать из надежного источника, которым и будет NTA. Запись трафика, особенно если он передается в «сыром» виде (например, через SPAN-порт), может быть достаточно ресурсозатратной задачей, особенно в части хранения информации и обработки большого входящего потока данных, поэтому одними из главных характеристик при выборе NTA-решения будут стоимость встроенного хранилища, возможность его расширения, лицензионные условия по глубине хранения данных, а также пропускная способность устройства. Сохранив данные в NTA, администраторы ИБ получают возможность проведения ретроспективного анализа собранной информации для поиска индикаторов компрометации, подозрительных соединений, обнаружения новых сетевых сервисов (приложений) и устройств, которые подключились к корпоративной сети.

 

Основными отличительными характеристиками решений класса NTA являются:


1) Принцип работы (flow-сообщения, копия сетевого трафика, ICAP): работа с flow и ICAP быстрее, но дает меньше полезной информации, а для анализа полной копии сетевого трафика, полученной через SPAN / RSPAN / ERSPAN, требуется высокая вычислительная мощность, которая окупается детальностью получаемых результатов.


2) Возможность анализа внешних и внутренних сетевых коммуникаций: важно анализировать не только сетевой трафик из/в корпоративной сети (так называемый north-south трафик, пересекающий периметр сетевой инфраструктуры компании), но и внутренний сетевой трафик в корпоративной сети, включая передачу данных между подсетями, филиалами, удаленными офисами (так называемый east-west трафик).


3) Возможность и глубина записи трафика, анализ трафика «на лету»: длительное хранение сетевого трафика поможет расследовать более старые инциденты и предоставить отчет регулирующим органам, а мониторинг трафика «на лету» позволит выявлять угрозы в момент их реализации.


4) Разнообразие поддерживаемых сетевых протоколов: для контроля корпоративных и облачных инфраструктур достаточной будет поддержка наиболее популярных сетевых протоколов уровней L2-L7, но в промышленных системах автоматизации и OT-инфраструктурах потребуется поддержка технологических протоколов, зачастую проприетарных. Перечень поддерживаемых протоколов будет определять применимость конкретного NTA-продукта для защиты корпоративных, облачных, промышленных сетей, а также возможность обнаружения новых хостов в сети и мониторинга работы устройств IoT / IIoT, киберфизических и промышленных систем. Кроме того, важно, чтобы NTA-решение поддерживало анализ зашифрованного трафика - либо путем инспекции (расшифрования на лету), либо эвристическими / поведенческими / статистическими методами, включая методы машинного обучения.


5) Принципы и технологии анализа трафика и обнаружения сетевых киберугроз: методы анализа сетевых коммуникаций включают в себя эвристические, поведенческие, статистические методы (например, для выявления техник Domain Generation Algorithms, Fast Flux, туннелирования трафика), методы машинного обучения, применение правил обнаружения угроз (например, правила YARA, Snort, Suricata), использование репутационных списков (например, индикаторы компрометации), применение ретроспективного анализа.

 

Для эффективного выявления аномалий, в решениях класса NTA могут применяться сразу несколько вышеприведенных технологий анализа трафика, которые комбинируются для оптимального соотношения ресурсопотребления и глубины анализа, например, методом "воронки", когда трафик сначала проходит через быстрые фильтры на основе правил и репутационных списков, затем поступает на вход модуля эвристики, затем происходит обработка с использованием машинного обучения, а в конце - ручной ретроспективный анализ силами аналитиков. Для подготовки NTA-системы к выявлению аномалий на основе методов машинного обучения и поведенческой аналитики производятся следующие действия:


1) Формируется первичный baseline, т.е. базовый уровень нормального (типового) трафика, характерного для защищаемой инфраструктуры. Длительность этого периода обучения может составлять несколько дней и недель, в течение которых NTA определяет свойства и характеристики рутинного, типового трафика, отклонения от которого будут считаться нарушением. На данном этапе важно, чтобы NTA обучился на «чистом» трафике, в котором нет вредоносных составляющих (например, «отстуков» ВПО или скрытых каналов коммуникации между зараженными хостами) - если система обучится на таком «грязном» трафике, то она в дальнейшем не сможет выявить подобные сетевые угрозы.


2) Выявление аномалий: обученная NTA-система сможет определить, какие сетевые коммуникации демонстрируют отклонения от нормы, например, резкие всплески ICMP-трафика от определенной рабочей станции, массовые API-запросы, новый DNS-сервер в сети, объемные POST-запросы, ранее не использовавшиеся облачные сервисы.


3) Анализ аномалий: не все отклонения трафика от ранее установленной нормы являются признаком кибератаки, поэтому необходимо понять причины выявленных отклонений, например, запросить обоснование использования нового ВКС-приложения или инсталляции нового сервера в сети компании. На этом же этапе можно обнаружить ошибки конфигурации сетевого оборудования, которые могут являться причиной выявленных сетевых аномалий.


4) Формирование актуализированного baseline на основе выявленных ложных срабатываний и трансформации профиля сетевого трафика за счет санкционированных инфраструктурных изменений.


5) Дальнейшее выявление и анализ аномалий, непрерывная адаптация baseline под санкционированные изменения в сетевом трафике.

 

2. Системы сетевого обнаружения и реагирования (Network Detection and Response, NDR).


Системы сетевого обнаружения и реагирования (Network Detection and Response, NDR) - это решения для выявления и реагирования на сетевые киберугрозы. Термины NDR и NTA зачастую смешивают или не проводят четкую границу между данными типами СЗИ, однако по сравнению с NTA, решения NDR всё же являются более продвинутыми системами за счет реализации функционала глубокой работы с аналитикой киберугроз (Threat Intelligence), поиском киберугроз (Threat Hunting), а также возможностями по непосредственному реагированию на обнаруженные сетевые угрозы. Таким образом, NTA используются для обнаружения признаков кибератак, а NDR позволяют реализовать активное противодействие выявленным угрозам с применением методов автоматизации реагирования на киберинциденты - например, за счет самостоятельной оркестрации средств защиты или через интеграцию с SOAR-платформами. NDR-решения также зачастую интегрируются с «песочницами» для выявления и анализа ВПО в переданных по сети файлах, системами сетевой форензики (для детального изучения трафика и сохранения юридически значимых атрибутов киберинцидентов), SIEM-системами, а также поддерживают маппинг выявленных инцидентов в соответствии с матрицей MITRE ATT&CK. Кроме того, производители систем класса NDR зачастую интегрируют их с решениями EDR (Endpoint Detection and Response, системы защиты конечных точек), которые предназначены для защиты конечных точек с функционалом, который включает в себя не только защиту от ВПО, но и мониторинг состояния и поведения устройства, сохранение журналов событий, возможность выполнить действия по активному реагированию и восстановлению на устройстве. Продукты NDR дополняют EDR-решения и компенсируют некоторые их недостатки, такие как необходимость установки EDR-модулей на поддерживаемые конечные точки, возможность отключения EDR-компонент атакующими, а также невозможность контроля неподдерживаемых ОС с помощью EDR-агентов.

 

3. Сетевые системы обнаружения / предотвращения вторжений (NIDS/NIPS, Network Intrusion Detection / Prevention Systems).


Сетевые системы обнаружения / предотвращения вторжений (NIDS/NIPS, Network Intrusion Detection / Prevention Systems) - это решения для анализа сетевого трафика в целях выявления вредоносной активности (эксплуатация уязвимостей, несанкционированный доступ к защищаемым ресурсам, функционирование вредоносного или нежелательного ПО). Сетевые IDS выявляют вредоносный трафик и уведомляют администратора ИБ, а сетевые IPS позволяют также блокировать вредоносный трафик и разрывать активные сетевые соединения. Выявление вредоносного трафика в сетевых IDS/IPS производится по правилам и сигнатурам (например, форматов систем Snort или Suricata), что позволяет детектировать уже опубликованные эксплойты, попытки эксплуатации уязвимостей и известные типы атак, поэтому такие СЗИ эффективны для быстрой первичной очистки больших объемов входящего сетевого трафика. Кроме того, продвинутые сетевые IDS/IPS предоставляют функционал виртуального патчинга для блокирования попыток эксплуатации уязвимостей, которые пока что не устранены в инфраструктуре. В целом, сетевые системы обнаружения и предотвращения вторжений являются уже классическими СЗИ и зачастую встраиваются в популярные межсетевые экраны, однако, по сравнению с NTA не обладают функционалом хранения трафика и расширенными возможностями машинного обучения и выявления сетевых аномалий, а по сравнению с NDR не выполняют проактивное реагирование на киберинциденты, не поддерживают функционал Threat Intelligence и Threat Hunting.

СЗИ ИБ для начинающих Управление инцидентами Угрозы ИБ SOAR SIEM MITRE

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2