Контакты
Подписка 2025

Чем NDR лучше, чем NTA?

Станислав Грибанов, 09/10/24

В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?

Автор: Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”

ris1-Oct-09-2024-03-37-29-5512-PM

Вопрос об определении NTA (Network Traffic Analysis) и NDR (Network Detection and Response), а также о различиях между ними часто вызывает оживленные терминологические дискуссии в сообществе ИБ. Для объективности будем опираться на мнение ведущих экспертных агентств Gartner и KuppingerCole, которые обозначили ключевые критерии этих технологий.

Начнем с NTA. Этот класс систем занимается анализом сетевого трафика, определением направления потоков данных, выявлением аномалий в сетевом трафике: строит профиль "поведения" трафика в нормальных условиях (Baseline) и детектирует отклонения. Несигнатурные технологии выявления неизвестных угроз, такие как машинное обучение, продвинутая аналитика и др., являются для NTA основным средством детектирования. Именно выявление угроз нулевого дня и аномалий на основе сетевого трафика – основополагающая функциональность класса NTA.

С NDR все немного сложнее и интереснее. NDR не просто детектирует угрозы – он может сразу приступить к активным действиям по их нейтрализации. Используемые технологии позволяют находить угрозы и аномалии даже в зашифрованном трафике.

В условиях работы NDR на данных сетевой телеметрии важным инструментом детектирования является поддержка репутационных списков Threat Intelligence.

Одно из ключевых отличий NDR – это агрегирование отдельных срабатываний в структурированные инциденты и предоставление инструментов для дальнейшего расследования и устранения угроз. То есть, если NTA выявляет каждую аномалию как отдельное событие, то NDR группирует их в инциденты по метаданным – IP-адресам, портам и прочим параметрам, что повышает эффективность анализа.

И еще одно важное отличие – NDR предлагает активное реагирование на угрозы: это может быть как автоматическая реакция, так и сценарии (плейбуки), которые помогают быстро принимать меры.

Другими словами, NTA – это про глубокий анализ и выявление аномалий в сетевом трафике, а NDR – про комплексное обнаружение, групповую обработку, расследования, проактивный поиск и мгновенную реакцию на угрозы.

Что подразумевается под активным реагированием в NDR?

KuppingerCole, отвечая на этот вопрос, разделяет активное реагирование на два ключевых направления.

Первое связано с интеграцией инцидентов в общий ландшафт информационной безопасности, то есть передача данных о событии безопасности в другие системы, такие как SIEM или SOAR. Важно понимать, что SOAR получает инциденты с задержкой уже после того, как SIEM и другие инструменты, используемые SOAR, выполнили работу по корреляции и обогащению.

NDR же помогает реагировать быстрее. В случае выявления критичных инцидентов, NDR может направить их напрямую в SOAR, позволяя немедленно запускать необходимые плейбуки, минуя цепочку обработки событий в SIEM или других системах ИБ.

Второе направление активного реагирования – это непосредственное блокирование атак. NDR не только выявляет угрозы, но и активно противодействует им, не теряя времени на дополнительные шаги обработки.

Блокирование может осуществляться напрямую, если NDR интегрирован в разрыв сети, либо через взаимодействие с другими СЗИ. Наилучшей практикой при работе на копии трафика является блокирование через NAC – это наиболее безопасный метод, при котором атакующий лишается сетевого доступа. Другие варианты устранения угрозы – отключение учетных записей в Active Directory или блокирование запросов хоста через EDR.

Еще один интересный аспект – использование технологии Full Packet Capture: на российском рынке практически все системы класса NTA и NDR по умолчанию полностью записывают сетевой трафик.

Одним из типов активного реагирования является динамическое включение полной записи трафика только при возникновении инцидента, что помогает в расследовании.

К слову, в этом контексте возникает дилемма: сразу блокировать потенциальную угрозу или дать ей возможность развиваться до определенной стадии, продолжая записывать трафик для последующего анализа. Первый вариант кажется более верным, но он оставляет возможность для повторной реализации атаки.

При внедрении NDR необходим выбор метода активного реагирования в зависимости от оценки рисков для разных угроз.

Откуда брать трафик для NDR?

NDR работает на уровнях L2–L7, начиная с MAC-адресов и заканчивая данными прикладных протоколов.

Лучшее решение – получать трафик ядра сети, обычно его источником являются коммутаторы ядра. Трафик может также поступать с периметровых средств защиты, из отдельных изолированных сегментов, SPAN-портов оборудования или TAP-устройств (Test Access Point).

Устройства TAP кажутся хорошим вариантом – они могут устанавливаться в разрыв сетевого соединения, существенно упрощают анализ трафика и тем самым увеличивают эффективность внедрения NDR. И NTAи NDR-системы позволяют выявлять угрозы не только на основании сетевого трафика, но и с учетом телеметрии. Подачу NetFlow организовать существенно проще, чем зеркалирование полной копии трафика, телеметрию получают с маршрутизаторов и коммутаторов. Еще один плюс этого источника – меньший объем данных, что позволяет оптимизировать системы хранения.

Важные условия для применения NDR

Чтобы NDR показывал хорошую эффективность, требуется настройка, причем не только самой системы, но и процессов в организации.

Сначала нужно добиться, понимания:

  • как работает инфраструктура – указать адреса DC, DNS, DHCP и других сервисов;
  • какие сегменты есть в сети и какой трафик там должен ходить – определить белые списки сервисов и межсетевого взаимодействия, и доступа в Интернет;
  • как появляются новые узлы в сети, есть ли интеграция с CMDB или с системой инвентаризации.

Затем тонко настраиваются политики на основе поведенческих модели и DPI-фильтров. После настройки и тестирования на реальном трафике можно переходить к интеграции с другими СЗИ.

Темы:Защита сетейГардаЖурнал "Информационная безопасность" №4, 2024NDRNTA

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • Гарда DBF: в первую очередь – защита данных
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).
  • "Гарда Маскирование" для автоматического обезличивания баз данных
    Артемий Новожилов, архитектор систем информационной безопасности группы компаний “Гарда”
    Несмотря на то, что компании вкладывают значительные средства в защиту персональных данных, контролируя коммуникации, доступ пользователей, шифруя информацию, – утечки продолжают происходить. Причиной часто становятся ошибки при передаче данных в третьи руки для разного рода тестирований, решения маркетинговых задач и др. Российское законодательство, включая 152-ФЗ, обязывает защищать такую информацию, и в этих случаях применяется маскирование, для которого группа компаний “Гарда” предоставляет необходимый инструментарий.
  • Нашпионить угрозу: как усилить средства защиты информации с помощью Threat Intelligence
    Илья Селезнев, руководитель продукта “Гарда Threat Intelligence” компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    У каждого поставщика TI своя специфика, это связано с разнообразием источников информации, методологий сбора и анализа, а также с уникальной экспертизой каждой организации. В 2022 г. [1] свой продукт Threat Intelligence представила компания “Гарда Технологии”
  • Гарда NGFW. Баланс между софтом и железом без legacy-атавизмов
    Павел Мерещук, директор по развитию специальных проектов группы компаний “Гарда”
    Своим видением того, как выглядит оптимальное соотношение между выполнением требований законодательства и сохранением нужной заказчикам функциональности в NGFW, поделился директор по развитию специальных проектов группы компаний “Гарда” Павел Мерещук.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...