Автор: Станислав Грибанов, руководитель продукта “Гарда NDR” группы компаний “Гарда”
Традиционный цикл реагирования в сетевой безопасности выглядит так: сенсоры фиксируют события, данные собираются в SIEM, затем через SOAR формируется ответ. Однако на практике этот процесс оказывается слишком медленным: атаки развиваются быстрее, чем проходит цепочка обработки сигналов. Более того, не всегда удается корректно интерпретировать события в SIEM, особенно если речь идет о сложных многоэтапных атаках, затрагивающих разные сегменты инфраструктуры. В результате средства защиты есть, но их взаимодействие не во всех случаях позволяет вовремя локализовать инцидент.
Возникает вопрос: какие средства действительно подходят для оперативного реагирования и блокировок на уровне сети, и как их применять, не подвергая инфраструктуру дополнительной опасности? Давайте рассмотрим связку NDR и NAC как наиболее практичный вариант, сопоставим его с NGFW и другими подходами, а также покажем, куда в принципе движется ИБ-архитектура (спойлер: от SIEM-центричной к XDR-центричной).
Практика применения систем класса NDR позволяет условно разделить методы реагирования на три типа. Первый тип – автоматическое реагирование. Оно реализуется с помощью таких инструментов, как NAC, NGFW или через интеграцию с EDR. Его ключевое преимущество – скорость реакции, но есть и существенный недостаток – риск ложных срабатываний, которые могут нарушить бизнес-процессы. Второй тип – реагирование с помощью оркестрации. События передаются в SIEM, SOAR или XDR, где принимается решение о дальнейших действиях. Такой подход решает задачи масштабируемости и консолидации информации. В то же время он привносит задержку в Response и требует заранее выстроенных интеграций между системами. Третий тип – ручное реагирование. Его основа – работа аналитика: расследование, анализ пакетов, ручной запуск плейбуков. Это наиболее гибкий метод, но при этом и самый медленный.
При выборе одного из типов реагирования многие организации впадают в крайности: одни делают ставку на полную автоматизацию и сталкиваются с вызываемыми ею сбоями, другие – полностью исключают ее, пытаясь избежать рисков. Наш опыт подтверждает, что наиболее правильный подход – сбалансированный. Он предполагает применение автоматизации только в ситуациях с высоким уровнем уверенности, оставляя принятие решений в сложных случаях за человеком. Таким образом, ключевой вопрос заключается в том, как достичь баланса.
Решения класса NDR (Network Detection and Response) служат важным источником данных для любого из описанных подходов к реагированию. Они выполняют задачу, с которой иные средства защиты не справляются: обеспечивают полную видимость сетевого трафика, в том числе в тех сегментах, где установка агентского ПО невозможна или нецелесообразна. К таким сегментам относятся IoT-устройства, SIP-телефония, камеры видеонаблюдения, промышленные контроллеры, нестандартные операционные системы и специализированные ОС, а также высоконагруженные серверы, где установка агента может повлиять на производительность. Без глубокого анализа трафика эти активы остаются в слепой зоне, поэтому NDR становится необходимым элементом архитектуры безопасности.
Современные NDR-решения сочетают различные методы анализа: от индикаторов компрометации и сигнатур до поведенческих моделей, машинного обучения и корреляции событий. Особую роль играет механизм оценки уровня уверенности (скоринг), который определяет уверенность в детектировании атаки. Именно высокий уровень уверенности является основанием для автоматического реагирования. На российском рынке представлены зрелые решения, такие как Гарда NDR [1], которые поддерживают ретроспективный поиск по трафику, интеграцию с другими средствами защиты и масштабируемую обработку больших объемов данных. Их ценность заключается не только в обнаружении аномалий, но и в предоставлении аналитикам SOC информации, которая помогает лучше понять тактику и цели злоумышленника.
У нас нет сомнений, что значимость NDR-решений в ближайшие годы будет только расти. Эта уверенность основана на двух ключевых факторах: увеличивающейся нагрузке на конечные точки и повсеместном распространении шифрования, которое делает традиционные средства анализа менее эффективными.
Кроме того, NDR помогает также решать задачу ретроспективного анализа. Многие инциденты выявляются только спустя некоторое время, когда уже есть признаки компрометации. Возможность восстановить полную картину атаки, изучив сетевой трафик за предыдущие дни или недели, становится незаменимым элементом расследования. Здесь NDR дополняет EDR и SIEM, обеспечивая целостное понимание произошедшего. Это позволяет SOC-аналитикам отследить перемещения злоумышленника в сети, даже если его действия были замаскированы под легитимную активность.
Наконец, NDR может служить источником для формирования внутренней базы знаний об угрозах. Такое применение дает возможность лучше калибровать политики безопасности или плейбуки и адаптировать их под реальные сценарии атак. Нередко именно внедрение NDR становится катализатором для изменений в процессах SOC, так как делает видимыми слабые места, о которых ИБ-отделы раньше не подозревали.
Изоляция хоста часто становится первым ответом на выявленный инцидент. При выборе инструмента для этого обычно рассматривают два варианта: NAC и NGFW. NAC обеспечивает изоляцию конкретного узла в сети и, надо признать, это наиболее предсказуемый способ с минимальными "побочными эффектами". Хост блокируется до вмешательства администратора или выполнения заданного сценария, а риск влияния на смежные сегменты сети минимален. NGFW также может блокировать трафик на основе загрузки правила для блокирования скомпрометированного ресурса или передачи информации об этом ресурсе в формате индикатора компрометации (IoC), но вероятность ошибок в этом сценарии заметно выше. Добавление многочисленных динамических правил может негативно сказаться на работе легитимных сервисов. Важно помнить, что NGFW в первую очередь предназначен для контроля периметра, а не для изоляции хостов внутри корпоративной сети, и с нетипичной задачей справляется не всегда идеально.
Таким образом, можно заключить, что NAC является оптимальным решением для автоматической изоляции хостов в корпоративной сети. NGFW полезен только для отдельных сценариев, например для блокировки внешних IP-адресов на основе данных TI.
Однако даже в условиях развитой автоматизации сохраняется необходимость ручного реагирования, поскольку оно позволяет провести детальное расследование. Аналитик получает возможность детально разобрать событие: изучить копию всего трафика или относящегося к событию, исследовать сетевые пакеты, проверить индикаторы компрометации в базах TI или запустить ручной плейбук для изоляции или эскалации. Это позволяет проверить гипотезы и сводит к минимуму вероятность ошибки.
Наиболее сбалансированным решением становится полуавтоматическое реагирование. В этом случае аналитик подтверждает обнаруженное событие, а последующая изоляция выполняется автоматически. Такой подход сочетает оперативность реакции и контроль принимаемых решений. На практике именно подобные сценарии часто оказываются наиболее востребованными, особенно в условиях российских SOC, где не хватает ресурсов аналитиков, а полуавтоматические сценарии как раз позволяют оптимизировать нагрузку на специалистов без ущерба для качества мониторинга.
Архитектура большинства организаций на сегодняшний день остается SIEM-центричной. Все события стекаются в SIEM, где они нормализуются и коррелируются. В SIEM формируются инциденты, которые затем обрабатываются аналитиками или передаются в SOAR. Этот подход знаком и относительно отлажен, но у него есть существенные недостатки: высокая нагрузка на команды SOC, задержки в обработке событий, рост числа источников данных, усложняющий корреляцию. Многие инциденты формируются постфактум, когда атака уже успела развиться.
Следующий шаг развития – XDR-центричная архитектура. В отличие от SIEM, работающей с сырыми данными логов, XDR оперирует обогащенными событиями, агрегированными в инциденты, которые получены от средств защиты. Система сама выполняет корреляцию, обогащение, скоринг и способна инициировать реагирование. В этой модели SIEM сохраняет роль хранилища логов и инструмента аудита, в то время как центр управления инцидентами и средствами защиты смещается в XDR. Это дает сразу несколько преимуществ: снижается нагрузка на SOC за счет автоматизации корреляции, формируются готовые инциденты вместо событийного шума, появляется возможность надежного автоматического реагирования благодаря скорингу и охват не только сетевого уровня, но и конечных точек, облаков и контейнеров.
Для российского рынка переход к XDR-центричной модели будет постепенным. Многие компании уже сейчас рассматривают XDR как стратегическое направление развития, хотя их существующая инфраструктура и процессы пока выстроены вокруг SIEM. Важно понимать, что переход потребует времени, и первые шаги могут заключаться в интеграции NDR и NAC в существующую SIEM-центричную архитектуру, с последующим постепенным смещением фокуса в сторону XDR. В перспективе XDR, вероятно, будет выполнять роль центра управления реагированием, объединяя различные классы решений и упрощая для заказчиков построение целостной картины инцидентов. Уже сейчас стоит задуматься о том, как обеспечить совместимость будущего XDR с существующей ИБ-инфраструктурой, чтобы избежать зависимости от одного вендора и сохранить необходимую гибкость архитектуры.
Отдельного упоминания заслуживает применение технологии Deception. Она позволяет выявить появление злоумышленника в сети на ранней стадии, изолировать его в ложном слое инфраструктуры и дополнить картину атаки. Deception предоставляет аналитикам SOC дополнительный контекст, помогая понять, какие техники использует злоумышленник, и быстрее связать отдельные события в единую цепочку инцидента. Изолированные ловушки, не интегрированные с другими системами безопасности, дают ограниченную ценность, так как не позволяют восстановить цепочки событий до обращения к ловушке или использования приманки учетной записи. Поэтому чаще всего решения Deception применяют совместно с NDR, EDR или XDR, что создает комплексную систему обнаружения и реагирования.
Не стоит забывать, что до внедрения сложных технологий безопасности необходимо закрыть базовые вопросы защиты сети. Они включают в себя инвентаризацию активов, настройку сегментации сети и документирование разрешенных потоков данных. После этого можно двигаться дальше: внедрить NDR в качестве основного источника сетевой аналитики, использовать NAC как главный инструмент изоляции и готовить инфраструктуру к переходу на XDR-центричную архитектуру.
Для ИБ-руководителей это означает пересмотр приоритетов: акцент следует делать не на закупке новых инструментов, а на эффективном использовании существующих ресурсов. Только так можно преобразовать технологические инвестиции в измеримые улучшения безопасности.
Реклама: ООО «Гарда Технологии». ИНН 5260443081. Erid: 2SDnjdYZpXq