Чем NDR лучше NTA?

Вопрос об определении NTA (Network Traffic Analysis) и NDR (Network Detection and Response), а также о различиях между ними часто вызывает оживленные терминологические дискуссии в сообществе ИБ. Для объективности будем опираться на мнение ведущих экспертных агентств Gartner и KuppingerCole, которые обозначили ключевые критерии этих технологий.

Начнем с NTA. Этот класс систем занимается анализом сетевого трафика, определением направления потоков данных, выявлением аномалий в сетевом трафике: строит профиль "поведения" трафика в нормальных условиях (Baseline) и детектирует отклонения. Несигнатурные технологии выявления неизвестных угроз, такие как машинное обучение, продвинутая аналитика и др., являются для NTA основным средством детектирования. Именно выявление угроз нулевого дня и аномалий на основе сетевого трафика – основополагающая функциональность класса NTA.

С NDR все немного сложнее и интереснее. NDR не просто детектирует угрозы – он может сразу приступить к активным действиям по их нейтрализации. Используемые технологии позволяют находить угрозы и аномалии даже в зашифрованном трафике.

В условиях работы NDR на данных сетевой телеметрии важным инструментом детектирования является поддержка репутационных списков Threat Intelligence.

Одно из ключевых отличий NDR – это агрегирование отдельных срабатываний в структурированные инциденты и предоставление инструментов для дальнейшего расследования и устранения угроз. То есть, если NTA выявляет каждую аномалию как отдельное событие, то NDR группирует их в инциденты по метаданным – IP-адресам, портам и прочим параметрам, что повышает эффективность анализа.

И еще одно важное отличие – NDR предлагает активное реагирование на угрозы: это может быть как автоматическая реакция, так и сценарии (плейбуки), которые помогают быстро принимать меры.

Другими словами, NTA – это про глубокий анализ и выявление аномалий в сетевом трафике, а NDR – про комплексное обнаружение, групповую обработку, расследования, проактивный поиск и мгновенную реакцию на угрозы.

KuppingerCole, отвечая на этот вопрос, разделяет активное реагирование на два ключевых направления.

Первое связано с интеграцией инцидентов в общий ландшафт информационной безопасности, то есть передача данных о событии безопасности в другие системы, такие как SIEM или SOAR. Важно понимать, что SOAR получает инциденты с задержкой уже после того, как SIEM и другие инструменты, используемые SOAR, выполнили работу по корреляции и обогащению.

NDR же помогает реагировать быстрее. В случае выявления критичных инцидентов, NDR может направить их напрямую в SOAR, позволяя немедленно запускать необходимые плейбуки, минуя цепочку обработки событий в SIEM или других системах ИБ.

Второе направление активного реагирования – это непосредственное блокирование атак. NDR не только выявляет угрозы, но и активно противодействует им, не теряя времени на дополнительные шаги обработки.

Блокирование может осуществляться напрямую, если NDR интегрирован в разрыв сети, либо через взаимодействие с другими СЗИ. Наилучшей практикой при работе на копии трафика является блокирование через NAC – это наиболее безопасный метод, при котором атакующий лишается сетевого доступа. Другие варианты устранения угрозы – отключение учетных записей в Active Directory или блокирование запросов хоста через EDR.

Еще один интересный аспект – использование технологии Full Packet Capture: на российском рынке практически все системы класса NTA и NDR по умолчанию полностью записывают сетевой трафик.

Одним из типов активного реагирования является динамическое включение полной записи трафика только при возникновении инцидента, что помогает в расследовании.

К слову, в этом контексте возникает дилемма: сразу блокировать потенциальную угрозу или дать ей возможность развиваться до определенной стадии, продолжая записывать трафик для последующего анализа. Первый вариант кажется более верным, но он оставляет возможность для повторной реализации атаки.

При внедрении NDR необходим выбор метода активного реагирования в зависимости от оценки рисков для разных угроз.

NDR работает на уровнях L2–L7, начиная с MAC-адресов и заканчивая данными прикладных протоколов.

Лучшее решение – получать трафик ядра сети, обычно его источником являются коммутаторы ядра. Трафик может также поступать с периметровых средств защиты, из отдельных изолированных сегментов, SPAN-портов оборудования или TAP-устройств (Test Access Point).

Устройства TAP кажутся хорошим вариантом – они могут устанавливаться в разрыв сетевого соединения, существенно упрощают анализ трафика и тем самым увеличивают эффективность внедрения NDR. И NTAи NDR-системы позволяют выявлять угрозы не только на основании сетевого трафика, но и с учетом телеметрии. Подачу NetFlow организовать существенно проще, чем зеркалирование полной копии трафика, телеметрию получают с маршрутизаторов и коммутаторов. Еще один плюс этого источника – меньший объем данных, что позволяет оптимизировать системы хранения.

Чтобы NDR показывал хорошую эффективность, требуется настройка, причем не только самой системы, но и процессов в организации.

Сначала нужно добиться понимания:

• как работает инфраструктура – указать адреса DC, DNS, DHCP и других сервисов;

• какие сегменты есть в сети и какой трафик там должен ходить – определить белые списки сервисов и межсетевого взаимодействия, и доступа в Интернет;

• как появляются новые узлы в сети, есть ли интеграция с CMDB или с системой инвентаризации.

Затем тонко настраиваются политики на основе поведенческих модели и DPI-фильтров. После настройки и тестирования на реальном трафике можно переходить к интеграции с другими СЗИ.