NTA-система (network traffic analysis) – это класс защитных решений, который ориентирован на комплексный анализ сетевого трафика как на периметре, так и внутри инфраструктуры. В теории, он должен серьезно повысить защищенность компании от киберпреступников, и воспрепятствовать их «многолетнему пребыванию» внутри ИС.
Но работает ли это на практике? В этой статье разобран вопрос эффективности NTA-систем относительно смежных решений, основные достоинства и недостатки этого класса защитных инструментов.
Что дает NTA-система
Главное достоинство NTA-систем по сравнению с другими анализаторами трафика разных уровней – это возможность исследовать события на уровне сети. Такая возможность особенно важна в контексте не только скорости выявления, но и оперативного реагирования на происшествие. Дополнительные возможности заключаются в возможности детализировать инциденты и действия злоумышленников в процессе расследования.
Дмитрий Пудов, генеральный директор NGR Softlab:
Внимание к NTA-системам стало возрастать в ответ на распространение сложных и таргетированных атак. Если в случае сетевой безопасности можно положиться на экспертизу вендора, то в случае с NTA эффективность напрямую будет зависеть от аналитиков компании. В ряде направлений сложно будет добиться высокой эффективности без применения подобных систем, таких как: выявление 0-day, расследование инцидентов, выявление и анализ аномалий, threat hunting.В первую очередь подобные системы акцентируют свое внимание на идее постоянного мониторинга сетевой активности, предоставления инструментов расследования и глубокого анализа с целью выявления вредоносной активности. Аналитическая направленность как раз и отличает их от распространенных решений защиты на сетевом уровне. Этот класс решений предоставляет широкий спектр технологий для анализа: машинное обучение, гибкие правила детектирования, ретроспективный анализ и т.п. Также он, как правило, в большей степени ориентирован на интеграцию с другими инструментами SOC, что может существенно расширить возможные сценарии использования, повлиять на стоимость внедрения и последующую стоимость владения.
Ключевое преимущество NTA – это объем функций, которые берет на себя эта система. Ее функционал гораздо богаче и шире, чем у других снифферов и средств анализа сетевого трафика.
Интеграция системы анализа сетевого трафика в инфраструктуру компании положительно влияет на скорость обнаружения нежелательных событий, быстроту реакции на эти события. Упрощает процесс расследования, раскрутки цепочки действий злоумышленника. Это особенно важно в контексте противодействия APT-атакам, для которых характерно долгое присутствие в инфраструктуре компании с растянутым во времени перемещением.
Еще одна «побочная» функция NTA – это возможность контролировать соблюдение политики информационной безопасности и внутренних регламентов сотрудниками компании. Однако, такой обширный функционал этого класса решений имеет свои сложности.
Сравнение со смежными решениями
Ближайшие «конкуренты» NTA-систем с позиции основного функционала – это IDS (IPS) и межсетевые экраны (NGFW). Оба инструмента не обладают столь же обширным функционалом и ориентированы на узкий спектр задач. На их фоне может создаться ощущение, что NTA «может все, но ничего не может хорошо», в том плане что целевые инструменты, сделанные под конкретную задачу, справляются с конкретными функциями лучше.
[...]
Подробнее на сайте издания по ссылке.