Контакты
Подписка 2025
Статьи по информационной безопасности

Чем NDR лучше, чем NTA?

Станислав Грибанов, 09/10/24

В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?

Автор: Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”

ris1-Oct-09-2024-03-37-29-5512-PM

Вопрос об определении NTA (Network Traffic Analysis) и NDR (Network Detection and Response), а также о различиях между ними часто вызывает оживленные терминологические дискуссии в сообществе ИБ. Для объективности будем опираться на мнение ведущих экспертных агентств Gartner и KuppingerCole, которые обозначили ключевые критерии этих технологий.

Начнем с NTA. Этот класс систем занимается анализом сетевого трафика, определением направления потоков данных, выявлением аномалий в сетевом трафике: строит профиль "поведения" трафика в нормальных условиях (Baseline) и детектирует отклонения. Несигнатурные технологии выявления неизвестных угроз, такие как машинное обучение, продвинутая аналитика и др., являются для NTA основным средством детектирования. Именно выявление угроз нулевого дня и аномалий на основе сетевого трафика – основополагающая функциональность класса NTA.

С NDR все немного сложнее и интереснее. NDR не просто детектирует угрозы – он может сразу приступить к активным действиям по их нейтрализации. Используемые технологии позволяют находить угрозы и аномалии даже в зашифрованном трафике.

В условиях работы NDR на данных сетевой телеметрии важным инструментом детектирования является поддержка репутационных списков Threat Intelligence.

Одно из ключевых отличий NDR – это агрегирование отдельных срабатываний в структурированные инциденты и предоставление инструментов для дальнейшего расследования и устранения угроз. То есть, если NTA выявляет каждую аномалию как отдельное событие, то NDR группирует их в инциденты по метаданным – IP-адресам, портам и прочим параметрам, что повышает эффективность анализа.

И еще одно важное отличие – NDR предлагает активное реагирование на угрозы: это может быть как автоматическая реакция, так и сценарии (плейбуки), которые помогают быстро принимать меры.

Другими словами, NTA – это про глубокий анализ и выявление аномалий в сетевом трафике, а NDR – про комплексное обнаружение, групповую обработку, расследования, проактивный поиск и мгновенную реакцию на угрозы.

Что подразумевается под активным реагированием в NDR?

KuppingerCole, отвечая на этот вопрос, разделяет активное реагирование на два ключевых направления.

Первое связано с интеграцией инцидентов в общий ландшафт информационной безопасности, то есть передача данных о событии безопасности в другие системы, такие как SIEM или SOAR. Важно понимать, что SOAR получает инциденты с задержкой уже после того, как SIEM и другие инструменты, используемые SOAR, выполнили работу по корреляции и обогащению.

NDR же помогает реагировать быстрее. В случае выявления критичных инцидентов, NDR может направить их напрямую в SOAR, позволяя немедленно запускать необходимые плейбуки, минуя цепочку обработки событий в SIEM или других системах ИБ.

Второе направление активного реагирования – это непосредственное блокирование атак. NDR не только выявляет угрозы, но и активно противодействует им, не теряя времени на дополнительные шаги обработки.

Блокирование может осуществляться напрямую, если NDR интегрирован в разрыв сети, либо через взаимодействие с другими СЗИ. Наилучшей практикой при работе на копии трафика является блокирование через NAC – это наиболее безопасный метод, при котором атакующий лишается сетевого доступа. Другие варианты устранения угрозы – отключение учетных записей в Active Directory или блокирование запросов хоста через EDR.

Еще один интересный аспект – использование технологии Full Packet Capture: на российском рынке практически все системы класса NTA и NDR по умолчанию полностью записывают сетевой трафик.

Одним из типов активного реагирования является динамическое включение полной записи трафика только при возникновении инцидента, что помогает в расследовании.

К слову, в этом контексте возникает дилемма: сразу блокировать потенциальную угрозу или дать ей возможность развиваться до определенной стадии, продолжая записывать трафик для последующего анализа. Первый вариант кажется более верным, но он оставляет возможность для повторной реализации атаки.

При внедрении NDR необходим выбор метода активного реагирования в зависимости от оценки рисков для разных угроз.

Откуда брать трафик для NDR?

NDR работает на уровнях L2–L7, начиная с MAC-адресов и заканчивая данными прикладных протоколов.

Лучшее решение – получать трафик ядра сети, обычно его источником являются коммутаторы ядра. Трафик может также поступать с периметровых средств защиты, из отдельных изолированных сегментов, SPAN-портов оборудования или TAP-устройств (Test Access Point).

Устройства TAP кажутся хорошим вариантом – они могут устанавливаться в разрыв сетевого соединения, существенно упрощают анализ трафика и тем самым увеличивают эффективность внедрения NDR. И NTAи NDR-системы позволяют выявлять угрозы не только на основании сетевого трафика, но и с учетом телеметрии. Подачу NetFlow организовать существенно проще, чем зеркалирование полной копии трафика, телеметрию получают с маршрутизаторов и коммутаторов. Еще один плюс этого источника – меньший объем данных, что позволяет оптимизировать системы хранения.

Важные условия для применения NDR

Чтобы NDR показывал хорошую эффективность, требуется настройка, причем не только самой системы, но и процессов в организации.

Сначала нужно добиться, понимания:

  • как работает инфраструктура – указать адреса DC, DNS, DHCP и других сервисов;
  • какие сегменты есть в сети и какой трафик там должен ходить – определить белые списки сервисов и межсетевого взаимодействия, и доступа в Интернет;
  • как появляются новые узлы в сети, есть ли интеграция с CMDB или с системой инвентаризации.

Затем тонко настраиваются политики на основе поведенческих модели и DPI-фильтров. После настройки и тестирования на реальном трафике можно переходить к интеграции с другими СЗИ.
Темы:Защита сетейКомпанииГардаЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Защита API – это не просто WAF и блокировки
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Еще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев.
  • Finternet: перезагрузка финансовой системы
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Мир современных финансов стремительно меняется под влиянием технологического прогресса. Одним из самых революционных явлений стало появление концепции Finternet, объединяющей финансовую сферу и цифровые технологии. Это не просто эволюция традиционных финансовых систем, а их полное преобразование, позволяющее осуществлять банковские операции, инвестировать, кредитовать и страховать риски в цифровой среде без посредников и территориальных границ.
  • Куда российским компаниям мигрировать с Active Directory?
    Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.
  • В ложном слое не может быть легальных пользователей
    Екатерина Харитонова, руководитель продукта “Гарда Deception”, группа компаний “Гарда”
    Deception нередко называют последней линией обороны, однако есть и другое мнение, что это первый шаг активной защиты, отправная точка для проактивных действий в кибербезопасности. На самом деле Deception стоит рассматривать как наступательную стратегию.
  • Makves делает ставку на сервис высокого уровня
    Дмитрий Петушков, директор по развитию Makves
    Дмитрий Петушков, директор по развитию Makves (входит в группу компаний “Гарда”) рассказал о том, как выбрать эффективное ИБ-решение в условиях технологического паритета и на что стоит обратить внимание при выборе системы класса DCAP.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"