Улучшите безопасность компании с Ideco NGFW 17. Надежная защита данных и сетей для эффективной работы бизнесаРеклама. Рекламодатель ООО "АЙДЕКО", ИНН 6670208848Системы анализа трафика (network traffic analysis, NTA)
Системы анализа трафика (network traffic analysis, NTA)
Описание и назначение
Анализаторы сетевого трафика или Network traffic analysis (NTA) - это новая категория продуктов безопасности, которая используют сетевые коммуникации в качестве основного источника данных для обнаружения и расследования угроз безопасности, аномального или вредоносного поведения в сети. Практика сбора сетевых данных, их анализа и принятия решений на основе полученных результатов существует уже несколько десятилетий, по крайней мере с момента выпуска tcpdump в 1988 году. Однако эта категория продуктов все еще исследуется и дорабатывается.
Системы безопасности Network traffic analysis (NTA) защищают сеть организации и ее инфраструктуру путем выявления угроз информационной безопасности. Обеспечивают оперативное реагирования на обнаруженные угрозы, контролирует соблюдения всех политик. Данная категория продуктов передает всю необходимую информацию о событиях, происходящих внутри сети, в центры мониторинга и реагирования (SOC) и SIEM-системы, а также позволяет выполнять ретроспективный поиск, организовать централизованное противодействие кибератакам, способствует расследованию инцидентов.
Для обнаружения и идентификации продвинутых, в основном целевых атак (APT) как никогда лучше подходят системы анализа сетевого трафика. Они же в ходе своей работы перехватывают большие потоки данных для их сканирования. Системы данной категории наилучшим образом сочетаются с решениями Endpoint Detection and Response (EDR).
NTA-системы вполне подойдут для компаний разного масштаба, в которых организовываются различные архитектуры (гибридные, облачные, локальные). Решения этого класса используют определенный инструменты и методы в своей основе, к примеру, машинное обучение и поведенческий анализ.
Ниже представлены ключевые функции, которые, так или иначе, включает каждый анализатор сетевого трафика:
- Анализ сетевых данных в режиме реального времени. Для обеспечения точного обнаружения, расследования и реагирования в течение неопределенного периода времени, когда угрозы могут быть действительно опасны, каждый продукт NTA должен проводить исследование сети на угрозы в режиме реального времени.
- Полная видимость операций. Для того, чтобы анализатор сетевого трафика обеспечивал высокоточное понимание поведения угроз, он должен иметь возможность видеть и анализировать фактическое содержание сетевых взаимодействий. Это означает, что требуется полная видимость, начиная с L2 и заканчивая L7 уровнем. Наравне с тем выполняется декодирование прикладного протокола и расшифровка современных криптографических стандартов.
- Безопасная, контролируемая расшифровка трафика. Сейчас более 70% веб-трафика зашифровано, и это число быстро растет. Внутри корпоративных сетей количество шифруемого трафика также быстро растет и доходит до 100%. Хотя шифрование жизненно важно для защиты конфиденциальных данных, оно также создает слепые зоны для технологий, обеспечивающих безопасность. Одной из основных целей инструментов NTA является предоставление полной видимости, а это означает, что каждый продукт класса NTA имеет способность расшифровывать трафик для анализа без ущерба.
- Нормальное поведение и обнаружение аномалий. Каждый продукт Network traffic analysis должен иметь способность моделировать базовую деятельность устройства и активность пользователя с последующим сравнением новых наблюдений с тем поведением, которое было принято за нормальное. Поведенческая аналитика — это лучший способ получить действенную информацию о состояние угроз в сети.
Список средств защиты
Гарда Монитор – используется для осуществления контроля за данными передаваемыми по сети. Благодаря имеющемуся функционалу может проводится мониторинг IP-трафика и обнаружение попыток нарушения безопасности.
Group-IB TDS - система обнаружение целевых атак и угроз в корпоративной сети.
Kaspersky Anti Targeted Attack (KATA) - противодействие комплексным угрозам и целевым атакам на уровне сети
PT Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети
Awake Security Platform непрерывно контролирует сетевую среду, обрабатывает данные, обнаруживает отклонения или киберугрозы, в случае необходимости реагирует
Cisco Stealthwatch — это средство мониторинга ИБ в сети, которое основано на сборе телеметрических данных с различных устройств
Darktrace Enterprise Immune System умеет наблюдать за сетевой активностью пользователей и устройств, в режиме реального времени обнаруживая аномалии на основе поведенческого анализа
ExtraHop Reveal(x) - анализатор сетевого трафика, который объединяет автоматическое детектирование с технологиями машинного обучения и анализа поведения
LogRhythm NetworkXDR - решение для обеспечения сетевой безопасности, позволяющее выявлять, квалифицировать и расследовать сетевые угрозы
RSA NetWitness Network обеспечивает перехват пакетов, метаданных и NetFlow на локальном уровне, в облаке и в виртуальных инфраструктурах