NTA/NDR-системы

Место NTA/NDR в экосистеме ИБ

Аббревиатура NTA расшифровывается, как Network Traffic Analysis, и переводится как «анализ сетевого трафика». NTA решения осуществляют отслеживание, непрерывный мониторинг и анализ сетевых соединений (detecting systems, система детекции): обнаруживают аномалии, скрытые угрозы и несанкционированную активность.

NDR означает Network Detection and Response — выявление угроз и реакция на них. Это решение не просто проверяет трафик, но и активно противодействует обнаруженным угрозам.

У обоих систем общая задача — глубокий анализ. Весь трафик подлежит оценке на предмет соответствия норме. В отличие от обычного межсетевого экрана или стандартного решения EDR (Endpoint Detection and Response, обнаружение и реагирование на конечных точках), которые часто пропускают атаки внутри периметра, объектом изучения для NTA и NDR выступает сетевое поведение.

В ходе анализа такие решения регистрируют подозрительные аномалии и скрытые инциденты. Они устраняют «слепые зоны» внутри корпоративной сети. Их модули анализа выявляют «теневое IT» и неучтенные серверы. Кроме того, NTA-технология выполняет роль «черного ящика». Она записывает каждый пакет в архив. Затем этот трафик помогает киберспециалистам в расследованиях.

NTA и NDR имеют сходную функциональность в изучении поведения пользователей и устройств на основе машинного обучения и статистического анализа. Оба решения осуществляют глубокий разбор пакетов посредством DPI (Deep Packet Inspection, глубокая проверка пакетов) на уровне L7 в поисках горизонтальных перемещений хакеров.

Различия NTA и NDR в том, что первые системы исторически сфокусированы на обнаружении (Detection), а вторые акцентированы на реагировании (Response). Для NTA, главным образом, характерны сбор и анализ метаданных и хранение истории событий. NDR же часто инегрирован с сетевым оборудованием для блокировки кибератак, объединяет данные из EDR (Endpoint Detection and Response, защита конечных точек) и поддерживает функционал поиска угроз (Threat Hunting).

Почти любое современное решение NTA и NDR — это гибрид, так как актуальные угрозы требуют и непрерывного мониторинга, и быстрой реакции. Качественная система объединяет функции обоих классов и повышает прозрачность внутренних коммуникаций, предотвращает утечки данных. Благодаря системам NTA и NDR сетевой трафик перестает быть скрытой средой для деятельности злоумышленника, поэтому любое решение этого типа, в целом, повышает общую устойчивость бизнеса.

Назначение систем NTA и NDR

Основные заказчики этих двух платформ — крупный корпоративный сектор, финансовые организации и ритейл. NTA/NDR системы востребованы:

• в энергетике и промышленности для мониторинга технологических сетей;
• субъектами КИИ (критической информационной инфраструктуры), в том числе, чтобы соответствовать требованиям ФСТЭК и ФСБ;
• телеком-провайдерами для борьбы с DDoS-атаками и для контроля перегрузок магистральных каналов;
• центрами мониторинга SOC (Security Operations Center), которые используют сетевой трафик, как базовый источник телеметрии: постоянный анализ потоков данных обогащает события в SIEM (Security Information and Event Management) и ускоряет реакцию в SOAR (Security Orchestration, Automation and Response).

NTA/NDR, как правило, контролируют сегменты ЦОД, особенно высоконагруженные каналы, и облачные платформы. Эти системы проверяют внутрисетевой трафик (West-East). Несмотря на распределенный характер сбора данных, такие платформы объединяют филиальные сети в единый контур.

Каждое решение использует разнообразные сенсоры для контроля периферии: удаленные (сетевые SPAN/TAP), хостовые (агенты), облачные (интеграции с логами), периферийные (в филиалах и на VPN-шлюзах), виртуальные (в гипервизорах и виртуальных сетях), inline (в разрыве трафика). Так NTA/NDR выявляют неконтролируемую ИТ-активность, временные серверы и IoT-устройства. Что немаловажно — анализ сетевого трафика позволяет защитить принтеры и промышленные контроллеры без EDR-агентов.

NTA/NDR-системы предназначаются быть «бортовым самописцем» для форензики. Ретроспективный анализ дает киберспециалистам полный доступ к архиву пакетов, помогает восстанавливать детали инцидента. Опираясь на NTA/NDR специалисты находят злоумышленников, даже если они не оставляют следов в виде регистрации инцидентов (Threat Hunting), и обнаруживают любые другие скрытые следы компрометации.

Кроме того, NTA/NDR-системы сохраняют сетевой трафик для долгосрочного аудита и комплаенса и предоставляют точные данные для оценки рисков. Весь трафик такие системы строго классифицируют по протоколам. Глубокий анализ предотвращает развитие атак на ранних стадиях и исключает появление неучтенных зон, непрерывность анализа сетевых взаимодействий минимизирует ущерб от взлома. Так трафик остается под полным контролем экспертов.

Дополнительно NTA/NDR системы мониторят соблюдение регламентов ИБ и корпоративных политик. Непрерывное изучение пакетов вскрывает работу программ майнеров, торрентов и мессенджеров, передачу данных через незащищенные протоколы, выявляет инсайдерскую активность и другие утечки. Плюс весь сетевой трафик эти системы проверяют на наличие слабых паролей.

Что еще крайне важно: NTA/NDR-системы берут на себя ресурсоемкое исследование профилей поведения узлов и разгружают вычислительные мощности других средств защиты.

Организация процесса и архитектура

Современные NTA или NDR системы должны получать качественные данные. Существует два основных метода, по которым трафик попадает на анализ.

Первый — полная копия пакетов

Специалисты используют физические ответвители TAP или настраивают порты SPAN на сетевых коммутаторах: система видит каждое действие внутри сети без искажений. Такое решение требует больших мощностей для обработки, но дает максимальную точность.

Второй — работа с метаданными через протоколы NetFlow или IPFIX.

Здесь трафик не копируется целиком. Инструменты NTA поставляют только краткую сводку о соединениях. Подобное решение идеально подходит для магистральных каналов с огромной нагрузкой. Анализ метаданных занимает меньше ресурсов, но отражает общую картину происходящего.

Методы обработки информации определяют эффективность защиты. Весь сетевой трафик проходит через многослойный фильтр:

1. Технология DPI выполняет глубокий разбор пакетов на уровне приложений. Система понимает, какая программа инициировала обмен данными.
2. Поведенческий анализ строит модель нормальной жизнедеятельности для каждого узла в сети. Если обычный принтер, часто одно из самых уязвимых устройств в инфраструктуре, внезапно начинает массовую рассылку данных на внешний сервер, решение фиксирует аномалию.
3. С помощью машинного обучения (ML) идет поиск сложных закономерностей и скрытых угроз без четких признаков. NTA система постоянно сверяет текущую активность с той, которую ML расценивает как нормальную и безопасную.
4. Сигнатурный анализ дополняет этот процесс и находит уже известные вирусы.

Жизненный цикл инцидента внутри платформы состоит из четких этапов. Сначала происходит обнаружение. Система срабатывает на конкретное правило детекта или видит резкое отклонение от нормы. Весь подозрительный трафик получает метку инцидента. Далее начинается расследование. Специалист восстанавливает полный контекст сетевого взаимодействия. NTA решение строит наглядные графы связей между хостами. Становится ясно, кто и когда начал атаку. Программа извлекает важные артефакты: файлы, DNS-запросы и HTTP-заголовки. Этот анализ помогает понять масштаб проблемы.

Следующий этап — заключается в активном реагировании. Современное решение класса NDR не просто подает сигнал, а действует. Система отправляет команду на сетевой экран или контроллер сети для мгновенной изоляции опасного сегмента. Одновременно идет автоматическая генерация тикета в ServiceDesk, в «диспетчерскую» для ИТ/ИБ-отдела.

Проактивный поиск или, иначе, хантинг (Threat Hunting) завершает этот цикл. Профессиональные «охотники за угрозами» проводят ретроспективный анализ событий. Они используют специальные DSL-языки запросов к хранилищу. Весь архивный трафик проверяют на наличие новых, ранее неизвестных следов компрометации.

Место и роль NTA и NDR в комплексной информационной защите

Эффективная работа невозможна без тесной интеграции в общую экосистему безопасности. NTA-система выступает ключевым поставщиком данных для SIEM (Security Information and Event Management, Система управления информацией и событиями безопасности), где события от сети объединяются с логами серверов. Интеграция с EDR позволяет связать сетевое соединение с конкретным процессом на компьютере пользователя. Этот двойной системный анализ исключает ложные срабатывания. Весь трафик становится прозрачным до уровня отдельной запущенной программы.

Связка с SOAR (Security Orchestration, Automation and Response, Средство оркестрации, автоматизации и реагирования) позволяет автоматизировать сложные сценарии защиты. Если NTA или NDR система видит начало шифрования данных, SOAR мгновенно блокирует порт.

Качественный анализ сетевых потоков становится основой для принятия решений и в рамках комплексной защиты значительно повышает скорость реакции на взлом. Постоянный и многоуровневый контроль гарантирует стабильность бизнеса, особенно если решение соответствует задачам конкретной ИТ-инфраструктуры.

Критерии выбора решения класса NTA и NDR

Оценить подходит ли NTA/NDR платформа вендора, можно сопоставив текущие запросы информационной безопасности с ее возможностями.

Производительность и масштабируемость — важнейшие характеристики. Эффективная NTA-система выдерживает пиковые нагрузки и обрабатывает весь сетевой трафик без задержек. Стоит просчитать пропускную способность (Throughput), скорость обработки пакетов (PPS — Packets Per Second), число одновременных соединений (Concurrent Sessions), глубину и скорость извлечения объектов (Extraction Rate и Metadata Latency). Важно также понять как устроено в решении горизонтальное (Scale-out) и вертикальное (Scale-up) масштабирование, достаточно ли объемов многоуровневого хранения (Storage Scalability).

Глубина анализа (DPI) — еще один ключевой технический параметр. Качественное решение видит протоколы прикладного уровня и находит скрытые туннели. Здесь важны такие параметры, как количество разбираемых L7-протоколов, уровень дешифрации (SSL/TLS Inspection), способность извлекать метаданные.

Сроки хранения данных определяют возможности форензики. NTA-система фиксирует трафик в архиве для ретроспективных проверок. Базовые показатели: как долго решение хранит метаданные и сырой трафик (PCAP), как быстро данные записываются на диск.

Решение должно пройти тесты на качество детектов. Показательно количество False Positive (ложноположительные) и False Negative (пропуски: Breach & Attack Simulation (BAS), Red Teaming, Evasion Techniques). Точный анализ отсекает лишний информационный шум и ложные алерты.

NTA-система для государственных структур должна располагать действующим сертификатом ФСТЭК, что юридически легитимизирует этот компонент информационной защиты.

Обзор российских решений

В отечественной практике NTA редко существует в виде изолированного программного модуля. Чаще это подсистема в составе комплексных продуктов. Разработчики встраивают инструмент анализа сетевых потоков в платформы кибербезопасности, в средства микросегментации или в инфраструктуру SOC. Рассмотрим примеры наиболее востребованных решений.

Kaspersky Anti Targeted Attack (KATA)

Решение выступает как часть расширенной платформы XDR. KATA система проводит анализ сетевого трафика и детального контекста каждой конечной точки, включающего и телеметрию.

NTA-компонент здесь проверяет входящий и исходящий трафик на наличие признаков целевых атак. Программа автоматически коррелирует подозрительную активность в сети с процессами на рабочих станциях. Для безопасной проверки подозрительных объектов это решение использует изолированную песочницу.

Весь почтовый и веб-трафик проходит через многоуровневые фильтры. KATA выявляет скрытые каналы управления и попытки кражи учетных записей. Постоянный анализ метаданных помогает восстановить хронологию сложных инцидентов. Все решение и каждый инструмент в его составе работают на опережение угроз.

PT Network Attack Discovery (PT NAD) от Positive Technologies

Платформа выполняет глубокий анализ более чем тысячи различных протоколов и распознает вредоносную активность на самых ранних стадиях. Решение захватывает сетевой трафик и сохраняет его для ретроспективного поиска следов взлома.

NTA-модуль бесшовно взаимодействует с системой управления уязвимостями MaxPatrol. Анализ идет в режиме реального времени на скоростях до 10 Гбит/с. Система находит попытки эксплуатации уязвимостей и любые перемещения хакеров от устройства к устройству внутри периметра.

PT NAD предоставляет экспертам наглядную карту всех сетевых взаимодействий. Глубокий анализ вскрывает скрытые туннели и подозрительные DNS-запросы. Весь трафик проверяется по базе из тысяч уникальных правил ИБ от исследовательского центра вендора.

Solar NTA от группы компаний «Солар»

Продукт ориентирован на высокую производительность в крупных сетях. Эта система встраивается в инфраструктуру коммерческих и корпоративных центров SOC. Основной акцент здесь — прозрачный сетевой трафик и выполнение строгих требований государственных регуляторов.

Продукт осуществляет детальный анализ потоков данных в географически распределенных филиалах. NTA инструменты Solar быстро локализуют источник угрозы и блокируют опасные соединения. Система поддерживает экспорт событий во внешние SIEM-системы.

Это решение профилирует поведение каждого узла и находит аномалии в West-East трафике. Весь сетевой трафик проверяется на признаки вывода конфиденциальной информации, причем программный анализ помогает быстро расследовать сложные киберпреступления.

NTA-инструменты от Solar обеспечивают непрерывный мониторинг критически важных сегментов сети. Специальный компонент собирает данные через физические и виртуальные сенсоры. Система работает с копиями пакетов и с протоколами NetFlow/IPFIX. Это увеличивает гибкость при внедрении в разные типы инфраструктур и гарантирует, что любой сетевой трафик будет под постоянным наблюдением автоматических алгоритмов.

Система Solar NTA востребована государственными организациями и субъектами КИИ. Решение эффективно контролирует распределенный трафик филиалов и полностью соответствует требованиям регуляторов.

На что влияет внедрение NTA или NDR

Системы NTA/NDR повышают прозрачность сетевой среды. Аналитический модуль в их составе выявляет все скрытые взаимодействия узлов. Решения такого класса сокращают время простоя (MTTR) за счет быстрой локализации зараженного объекта. Возможность идентификации по IP и MAC адресам обеспечивает мгновенную изоляцию скомпрометированных хостов.

NTA/NDR-платформы фиксируют попытки сетевых атак в реальном времени. Таким образом, организация переходит от реактивной модели защиты к проактивной. Весь вредоносный трафик блокируется на уровне доступа. И, что крайне важно, NTA-инструменты, как необходимый элемент цифровой инфраструктуры КИИ, подтверждают соответствие регуляторным требованиям ФСТЭК.

Преимущества обращения в УЦ ПРОФИ

Системы NTA и NDR переросли роль простых анализаторов трафика. Решения этого класса стали полноценными центрами компетенций для качественного расследования компьютерных атак любой сложности. Выбор конкретного российского решения требует учета архитектурных особенностей инфраструктуры заказчика, правильной оценки необходимой глубины анализа специфических протоколов и юридической составляющей внедрения.

Компания УЦ ПРОФИ имеет значительный опыт проектирования и внедрения систем защиты информации, включающих NTA и NDR решения. Являемся сертифицированными партнерами ведущих российских вендоров, все работы выполняются на основании лицензий ФСБ и ФСЭК России.

Правильно подобранный продукт превращает разрозненные сетевые данные в мощное средство противодействия взлому и обеспечивают полный контроль над цифровым периметром организации. Интеграция таких платформ гарантирует высокий уровень киберустойчивости бизнеса.