KuppingerCole, отвечая на этот вопрос, разделяет активное реагирование на два ключевых направления.
Первое связано с интеграцией инцидентов в общий ландшафт информационной безопасности, то есть передача данных о
событии безопасности в другие системы, такие как SIEM или SOAR. Важно понимать, что SOAR получает инциденты с
задержкой уже после того, как SIEM и другие инструменты, используемые SOAR, выполнили работу по корреляции и
обогащению.
NDR же помогает реагировать быстрее. В случае выявления критичных инцидентов, NDR может направить их напрямую в SOAR,
позволяя немедленно запускать необходимые плейбуки, минуя цепочку обработки событий в SIEM или других системах ИБ.
Второе направление активного реагирования – это непосредственное блокирование атак. NDR не только выявляет угрозы, но
и активно противодействует им, не теряя времени на дополнительные шаги обработки.
Блокирование может осуществляться напрямую, если NDR интегрирован в разрыв сети, либо через взаимодействие с другими
СЗИ. Наилучшей практикой при работе на копии трафика является блокирование через NAC – это наиболее безопасный метод,
при котором атакующий лишается сетевого доступа. Другие варианты устранения угрозы – отключение учетных записей в
Active Directory или блокирование запросов хоста через EDR.
Еще один интересный аспект – использование технологии Full Packet Capture: на российском рынке практически все
системы класса NTA и NDR по умолчанию полностью записывают сетевой трафик.
Одним из типов активного реагирования является динамическое включение полной записи трафика только при возникновении
инцидента, что помогает в расследовании.
К слову, в этом контексте возникает дилемма: сразу блокировать потенциальную угрозу или дать ей возможность
развиваться до определенной стадии, продолжая записывать трафик для последующего анализа. Первый вариант кажется более
верным, но он оставляет возможность для повторной реализации атаки.
При внедрении NDR необходим выбор метода активного реагирования в зависимости от оценки рисков для разных угроз.
Поделиться: