Дмитрий Костров, 07/10/25
Фиксируй норму, ищи отклонения – концепция базовой линии долго считалась естественным фундаментом для поведенческой аналитики. Но чем сложнее становились сети и разнообразнее поведение пользователей, тем очевиднее становились ограничения этого подхода. И вот в центре внимания оказывается не средняя арифметика трафика, а совсем иные способы понимать происходящее.
Автор: Дмитрий Костров, независимый эксперт по информационной безопасности
Поведенческая аналитика в области защиты сетей возникла как попытка ответить на главный вызов: атака почти никогда не начинается с явного сигнала, она растворяется в привычных транзакциях, подражает легитимным соединениям и маскируется под привычный трафик. Для того чтобы увидеть в этой массе скрытую аномалию, требовалась не просто фиксация событий, а понимание характерных траекторий, по которым двигаются сетевые пакеты в трафике. Именно тогда появилась идея выстраивать картину нормальности, где каждое соединение, каждый запрос и каждый поток данных должны были найти свое место, а все, что не вписывается в модель, становилось поводом для расследования. Так родилась концепция базовой линии, которая долгое время воспринималась как естественный фундамент поведенческого анализа. Но со временем стало очевидно: поведение сложных систем не сводится к среднему арифметическому, а сама попытка описать многообразие сетевых взаимодействий одной статичной моделью содержит больше ограничений, чем преимуществ.
Небазовая линия
На ранних этапах развития корпоративных ИТ модель базовой линии как усредненного поведения выглядела правдоподобно: инфраструктуры были статичны, приложения – относительно предсказуемы, а маршруты движения данных – линейны. Однако по мере того как корпоративная среда стала включать в себя гибридные облака, SaaS, контейнерные платформы и распределенные приложения, оказалось, что норма подвижна! Попытка зафиксировать ее в статическом виде стала напоминать стремление сфотографировать реку в момент течения: снимок есть, но река уже другая.
Сказался и фактор человеческого поведения. Пользователь, который сегодня работает в офисе и взаимодействует с локальными сервисами, завтра может подключиться через VPN из другой страны и инициировать запросы к новым ресурсам. Для системы, опирающейся на устоявшуюся базовую линию, такое поведение будет выглядеть подозрительно, хотя оно полностью соответствует бизнес-логике. Нарастающее число подобных аномалий порождает лавину ложных тревог, подрывающих доверие к аналитике и превращающих инструмент в источник шума.
Более того, сама идея усредненной нормы плохо сочетается с реальностью динамического бизнеса. Каждый новый проект, каждое обновление корпоративного приложения или миграция сервиса в облако меняют топологию сетевых взаимодействий. В таких условиях базовая линия перестает быть точкой отсчета и превращается в балласт, который нужно постоянно пересматривать, переобучать и уточнять. Чем сложнее становится организация, тем быстрее размывается ценность исходного подхода, и тем яснее становится: поведенческая аналитика требует более гибкой, контекстной основы, чем фиксация усредненного состояния сети.
Контекст как новый взгляд
Когда стало очевидно, что усредненная модель не в состоянии уловить реальное многообразие поведения, поведенческая аналитика обратилась к контексту. В отличие от статической базовой линии, контекст позволяет рассматривать событие не в вакууме, а в связке с ролью субъекта, типом приложения, временем суток, характером бизнес-процесса. Наблюдать трафик без этого измерения – все равно что анализировать речь без знания языка: видны звуки, но смысл ускользает.
Примером может служить доступ инженера 1С к CRM-системе. В терминах базовой линии это аномалия: сотрудник не выполнял таких операций раньше. Но в терминах бизнес-контекста – это может быть регламентное задание, согласованное с ИТ-отделом. Точно так же всплеск активности между подсистемами склада и бухгалтерии может быть следствием обновления интеграционного модуля, а не утечки данных. Контекст позволяет отличить технически необычное от действительно подозрительного.
Контекстный подход делает аналитику более сложной, но и более осмысленной. Система должна понимать, что поведение сущностей неоднородно и меняется в зависимости от их функций и задач. Контекстная модель не стремится построить единую норму, а формирует динамическое представление о том, что для конкретной организации является допустимым. Здесь поведенческий анализ обретает зрелость: он перестает быть статистикой и становится интерпретацией.
Бизнес-ориентированный NTA/NDR
В профессиональной среде для обозначения решений по сетевой защите закрепилось несколько терминов. На российском рынке чаще используют определение NTA (Network Traffic Analysis), в международной аналитике Gartner и крупных вендоров прижался термин NDR (Network Detection and Response). Поскольку в основе обеих концепций лежит одно и то же направление развития технологий, в дальнейшем мы будем использовать обозначение NTA/NDR, чтобы сохранить преемственность терминов и избежать путаницы.
Контекстуальная аналитика изменила не только технику работы с трафиком, но и сам статус NTA/NDR в корпоративной экосистеме безопасности. Если раньше он воспринимался как специализированный сенсор, собирающий телеметрию для последующей передачи в SIEM, то теперь он начинает претендовать на роль самостоятельного аналитического слоя. Именно здесь впервые возникает понимание, что сеть отражает не только движение пакетов, но и структуру бизнес-процессов: как пользователи обращаются к системам, каким образом сервисы взаимодействуют друг с другом, где проходят невидимые границы доверия.
Такой сдвиг означает, что NTA/NDR больше не может ограничиваться сторонним взглядом на инфраструктуру. Он становится частью стратегической картины, требуя внимания и от SOC-аналитиков, и от бизнеса. И если для первых важны сигналы о нетипичном соединении или подозрительной нагрузке, то вторым нужно понимать, почему то или иное взаимодействие вообще возникает и насколько оно согласуется с логикой организации. NTA/NDR в этой конфигурации превращается в мост между сетевой топологией и корпоративной моделью процессов, открывая возможности, которых прежде просто не существовало.
NTA/NDR помогает увидеть, что за каждой сетевой сессией стоит не абстрактный пакет, а конкретный пользователь, конкретная роль и конкретная задача. И чем точнее это понимание, тем ближе NTA/NDR подбирается к уровню бизнес-ориентированной безопасности, где технические аномалии становятся индикаторами организационных рисков.
Граница между NTA/NDR и SIEM
По мере того как NTA/NDR наращивает аналитические функции, все острее звучит вопрос о его отношениях с SIEM. Исторически разделение выглядело простым: NTA/NDR фиксировал сетевую телеметрию, а SIEM собирал события со всех источников, агрегировал и строил единую картину инцидентов. Но в тот момент, когда NTA/NDR начинает интерпретировать поведение сущностей через бизнес-контекст и выдавать осмысленные сигналы, эта граница размывается.
Возникает соблазн рассматривать NTA/NDR как сетевой SIEM – систему, способную не только генерировать события, но и самостоятельно связывать их в сценарии угроз. С другой стороны, такой подход чреват дублированием функционала и ростом избыточности: каждая из систем будет претендовать на роль центра, а не сенсора. В итоге SOC рискует получить два конкурирующих источника правды, и таким образом вместо ясности появляется конфликт.
Поэтому вопрос для архитекторов безопасности звучит так: где проходит линия разграничения? Должен ли NTA/NDR оставаться глубоко специализированным инструментом, который видит больше всех в сетевом слое, но доверяет финальную корреляцию SIEM? Или же он вправе занять место полноценного аналитического узла, который опирается на собственную модель контекста и не сводится к роли поставщика сырых данных? От ответа на этот вопрос зависит не только распределение функций между средствами, но и сама архитектура SOC: будет ли она построена по принципу централизованного ядра, или же станет системой, где каждый аналитический модуль вносит собственный контекст в общую мозаику.
Вызовы контекстной аналитики
Контекстный подход при всей своей привлекательности оказывается не столько технологическим, сколько организационным испытанием. Чтобы система могла отличить легитимное действие от подозрительного, ей требуется постоянное обогащение знаниями о бизнес-процессах, ролях и регламентах. Но в отличие от формальной базовой линии, которая обучается на статистических характеристиках трафика, контекст нельзя извлечь автоматически – его нужно встроить изнутри организации. Это означает, что эффективность NTA/NDR напрямую зависит от того, насколько тесно взаимодействуют ИБ и ИТ, насколько полно документированы процессы и насколько сами пользователи следуют определенным моделям поведения.
Другой вызов связан с ресурсами. Чем глубже система анализирует связи между событиями, тем выше нагрузка на инфраструктуру и тем дороже становится эксплуатация. Контекстная аналитика требует не только вычислительных мощностей, но и специалистов, способных интерпретировать ее результаты. И если для базовой линии достаточно было инженера, знакомого с сетевыми протоколами, то работа с контекстом предполагает понимание бизнес-логики и умение сопоставлять цифровые следы с организационными структурами.
И наконец, остается вопрос масштабируемости. Контекстная модель, построенная для одной организации, не переносима в другую: она отражает уникальную конфигурацию процессов, пользователей и приложений. Следовательно, каждое внедрение NTA/NDR с акцентом на контекст превращается в индивидуальный проект, где универсальные рецепты уступают место локальным настройкам. Это резко повышает ценность технологии для зрелых SOC, но ставит под сомнение возможность ее массового и коробочного распространения.
Выводы
Поведенческая аналитика началась с веры в возможность построить универсальную норму и фиксировать все отклонения как потенциальные угрозы. Эта идея дала рынку важный импульс, но выявились и ее ограничения: динамика инфраструктур, разнообразие пользовательских сценариев и постоянное движение бизнес-процессов сделали статическую базовую линию слишком подвижной основой. Попытка удерживать ее в актуальном состоянии обернулась ложными срабатываниями и потерей доверия к инструментам.
Контекст вывел ситуацию из тупика. Вместо усредненных моделей мы получили возможность оценивать поведение сущностей через призму ролей, приложений и процессов. Это сделало NTA/NDR не просто сетевым сенсором, а аналитическим узлом, способным сопоставлять движение пакетов с логикой бизнеса. Однако вместе с новыми возможностями пришли и новые вызовы: рост стоимости и сложности систем, зависимость от качества организационных процессов, уникальность каждой реализации.
И здесь важно признать: контекстная аналитика – удовольствие не из дешеаых. Она требует не только вычислительных мощностей, но и специалистов высокого уровня, которых на рынке немного. А добавим сюда еще и вечный конфликт между ИТ и ИБ, и становится понятно, почему внедрение идет медленнее, чем хотелось бы.
Сегодня вопрос звучит так: где найти баланс между глубиной контекста и управляемостью решений, между ролью NTA/NDR как специализированного сенсора и его претензией на место в аналитическом ядре наряду с SIEM. Ответ на этот вопрос будет определять не только будущее конкретных технологий, но и архитектуру сетевой безопасности в целом.
