Network Traffic Analysis (NTA): полезный инструмент SOC или модный тренд в информационной безопасности?

Network Traffic Analysis (NTA): полезный инструмент SOC или модный тренд в информационной безопасности?

Шестая онлайн-конференция AM Live была посвящена системам класса Network Traffic Analysis (NTA, анализ сетевого трафика), относительно недавно появившимся на отечественном и зарубежном рынках. Чтобы дополнить мнение спикеров и понять, что думает заинтересованная аудитория, мы проанализировали ответы зрителей на вопросы, которые им задали во время прямого эфира.

 

 

 

 

  1. Для чего вы используете NTA?
  2. Может ли SOC обойтись без NTA?
  3. Что мешает популяризации NTA?

Системы класса Network Traffic Analysis зачастую позиционируются как панацея от большинства киберугроз и обязательный инструмент современного SOC. Так ли это на самом деле — разбирались эксперты очередной онлайн-конференции AM Live, куда мы пригласили представителей разработчиков решений по анализу сетевого трафика. В ходе оживлённой двухчасовой дискуссии мы задали зрителям прямого эфира несколько вопросов, чтобы понять, насколько аудитория знакома с функциональными возможностями NTA-систем, в чём видит их сильные и слабые стороны, как оценивает перспективы.

Вы тоже можете оставить своё мнение о системах анализа сетевого трафика или задать вопрос экспертам в комментариях к записи прямой трансляции, доступной на нашем YouTube-канале.

Для чего вы используете NTA?

Начальный вопрос звучал так: для каких задач вам было бы интересно использовать NTA в первую очередь? Ответы на него позволяют не только узнать мнение действующих пользователей систем анализа сетевого трафика, но и понять, чего ждут от таких решений потенциальные заказчики. Значительная часть аудитории (31,87 %) считает, что NTA необходимо использовать для обнаружения следов сложных и целевых атак (APT). Скорее всего, такой ответ является реакцией на наиболее значимые для корпоративных заказчиков киберугрозы.

Вариант «Для расследования инцидентов» выбрали всего 14,29 % опрошенных, а применять системы анализа сетевого трафика для проверки гипотез проактивного поиска угроз (Threat Hunting) или обогащения данных SOC планируют по 6,59 % респондентов.

Несмотря на то, что анализ сетевого трафика позволяет выявить ряд нарушений политик безопасности, только 1,1 % зрителей AM Live склонен использовать NTA-системы для соблюдения регламентов ИБ. Наибольшее же число респондентов (39,56 %) рассматривают работу NTA в комплексе и считают, что для этого класса решений важны все перечисленные области применения.

Рисунок 1. Для каких задач вам интересно использовать NTA в первую очередь?

 

Для каких задач вам интересно использовать NTA в первую очередь? 

 

Может ли SOC обойтись без NTA?

Далее мы поинтересовались у аудитории, насколько востребованны, по их мнению, системы анализа сетевого трафика. На вопрос «Можно ли обойтись в работе SOC без данных от NTA?» 46,81 % опрошенных ответили утвердительно, но отметили, что данные о сетевом трафике упрощают расследования инцидентов. С ними не согласны 23,4 % респондентов, считающих данные NTA необходимой и обязательной базой для SOC. Другой полюс мнений занимают 12,77 % ответивших, утверждающие, что у SOC достаточно данных и без информации от системы анализа сетевого трафика.

Вопрос, безусловно, — дискуссионный и где-то даже провокационный, поскольку степень достаточности данных для центров обеспечения безопасности зависит от множества факторов и сильно варьируется в зависимости от масштаба организации и стоящих перед подразделением задач. Кстати, 17,02 % опрошенных вообще затруднились ответить на него.

Рисунок 2. Можно ли обойтись в работе SOC без данных от NTA?

 

Можно ли обойтись в работе SOC без данных от NTA?

 

Что мешает популяризации NTA?

Как мы уже упоминали, NTA — относительно молодая технология. Первые упоминания систем этого класса относятся к 2016 году, а в 2019-м компания Gartner включила в свой обзор уже более двух десятков решений для анализа сетевого трафика. Тем не менее NTA-системы всё ещё не так распространены, как другие инструменты по информационной безопасности вроде SIEM, EPP или DLP. Мы спросили у зрителей онлайн-конференции AM Live о том, что, по их мнению, мешает популяризации NTA.

Четверть респондентов ответила, что им неясна сама концепция систем анализа сетевого трафика — 25,76 % не понимают, чем и как NTA может им помочь. Ещё 30,3 % опрошенных сетуют на сложность интерпретации полученных из NTA данных, отмечая, что их использование требует высокого уровня квалификации аналитиков. 22,73 % участников опроса указывают на высокую цену и стоимость владения такими продуктами. С этими тремя вариантами перекликается и ещё один ответ — 15,15 % отметили, что сама концепция анализа сетевого трафика кажется им слишком сложной и затратной.

Все остальные мнения не набрали значимого числа голосов. 3,03 % респондентов ответили, что популяризации NTA мешает недостаточная поддержка протоколов, столько же уверены, что рост продаж систем для анализа сетевого трафика сдерживают какие-то другие причины. Необходимость дополнительных вложений в потоки данных («фиды») IoC и IoA никто из опрошенных не посчитал препятствием для популяризации NTA.

Рисунок 3. Что, по вашему мнению, мешает популяризации NTA?

 

Что, по вашему мнению, мешает популяризации NTA?

 

До конца 2020 года мы запланировали ещё несколько прямых эфиров в рамках проекта AM Live. На наших онлайн-конференциях встречаются ведущие аналитики и эксперты ИБ-рынка, представители вендоров и системных интеграторов. Чтобы наблюдать за их дискуссией онлайн и всегда иметь доступ к записям прошедших эфиров, подпишитесь на наш YouTube-канал и активируйте уведомления о новых материалах.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru