NDR – следующий уровень развития сетевой безопасности

Статья будет полезна специалистам по информационной безопасности, инженерам сетевой безопасности, аналитикам и IT-руководителям, которые хотят глубже разобраться в различных технологиях обнаружения и предотвращения угроз. Кроме того, статья будет интересна тем, кто изучает современные подходы к защите и планирует внедрять NDR в инфраструктуру своей компании.

Большое количество угроз детектируются исключительно на основе правил из базы IDS (системы обнаружения сетевых вторжений). Такой подход требует значительных ресурсов на расследования и не обеспечивает комплексного понимания происходящего в сети, что затрудняет контроль и защиту всей инфраструктуры. Согласно статистике Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), обеспечения безопасности периметра недостаточно: более 90% организаций не защищены от внешних атак. От одного часа до пяти дней в среднем тратят злоумышленники, чтобы проникнуть во внутреннюю сеть организации.

Согласно глобальному опросу, проведенному исследовательской компанией Cybersecurity Insiders среди 600 000 специалистов по ИТ-безопасности, низкая точность оповещений и недостаточная эффективность остаются главной проблемой для систем обнаружения/предотвращения вторжений в сеть (NIDS/IPS). Выбранный 61% респондентами показатель увеличился на 16 процентных пунктов по сравнению данными 2022 года.

Обнаружение аномалий в поведении на основе сетевого трафика считается респондентами эффективным способом противостояния угрозам. 83% всех организаций говорят, что они либо в настоящее время используют обнаружение аномалий (17%), либо планируют сделать это в течение следующих 6-24 месяцев (66%).

15% не уверены в намерении своей организации использовать его. Только 2% сообщают об отсутствии планов по применению обнаружения сетевых угроз на основе аномалий.

Кроме того, в сети часто рассредоточено множество конечных устройств и специфических операционных систем, которые не поддерживают установку агентов, но нуждаются в защите. При этом аналитикам SOC не хватает централизованных инструментов для анализа состояния таких устройств и своевременного обнаружения атак. Так, ИБ-вендор Vectra AI провел исследование, в котором отразил основные опасения специалистов SOC:

• почти три четверти (71%) еженедельно беспокоятся о том, что могут пропустить реальную атаку, скрытую в потоке оповещений;

• 62% утверждают, что поставщики услуг безопасности заваливают их бессмысленными оповещениями, чтобы избежать ответственности за инциденты;

• 55% говорят, что более эффективные инструменты безопасности облегчат их рабочую нагрузку;

• более 50% считают, что не успевают за растущим числом угроз безопасности.

В то же время отчет аналитической компании Enterprise Strategy Group показывает, что 45% компаний неоднократно становились жертвами атак, скрытых в зашифрованном трафике (таким образом злоумышленники чаще всего проводят эксфильтрацию данных, коммуникации с управляющими серверами (C&C), внедрение вредоносного ПО).

Для решения указанных проблем необходим подход с более глубоким и адаптивным анализом сетевой активности в совокупности с инструментами реагирования. Это обеспечивает класс продуктов NDR (Network Detection and Response), который стал логичным развитием концепции NTA (Network Traffic Analysis) ‒ детектирование неизвестных угроз в сетевом трафике через отклонение в поведении. Аналитическая компания KuppingerCole описывает принцип работы NDR следующим образом.

NDR позволяет получить видимость реальной картины происходящего в сети, детектировать продвинутые угрозы, автоматизировать реагирование, предоставить инструменты для проактивного поиска угроз и расследований. Помогает службам безопасности сократить время расследования инцидентов и минимизировать угрозы.

На мой взгляд, именно уникальные задачи, решаемые продуктом, определяют NDR как класс решений. Аналитическая компания KuppingerCole так определяет эти задачи:

• защита от направленных атак, APT, zero-day в реальном или близком к реальному времени;

• сокращение времени на детектирование вторжений в сеть и компрометации инфраструктуры;

• видимость происходящего в инфраструктуре на основе сетевого трафика;

• детектирование угроз в зашифрованном трафике;

• обеспечение полного представления о происходящем в сети;

• обогащение детектов посредством сопоставления подозрительной сетевой активности с актуальными индикаторами компрометации (IoC) и информацией о тактиках и техниках злоумышленников (TTP);

• активный поиск угроз, детальный анализ и корреляция событий;

• детектирование угроз, попадающих в сеть через принесенные устройства (BYOD);

• защита от уязвимостей (таких как отсутствие настройки или последних обновлений) в протоколе EPP;

• обеспечение безопасности специфических или устаревших ОС, которые не поддерживают агентов, или агенты слишком сильно нагружают ОС;

• защита устройств интернета вещей (IoT и IIoT), устройств промышленного сегмента, которые не поддерживают агентов.

Какие еще задачи может решать NDR:

• детектирование теневых ИТ-ресурсов (Shadow IT) и последствий их использования ‒ нарушение политик ИБ, туннели, несанкционированный доступ к ресурсам, использование запрещенного ПО и другое;

• обнаружение обхода периметровых средств защиты информации (СЗИ) ‒ уязвимости в конфигурации/ACL, не обновленные базы угроз;

• предоставление аналитику возможности проводить расследования по всей сети в едином окне;

• детектирование неконтролируемых точек доступа в сеть организации.

Кратко опишем, какие активности детектирует NDR:

• внедрение вредоносного ПО;

• горизонтальное перемещение в сети (lateral movement);

• изучение служб Active Directory (Active Directory Enumeration);

• целевые атаки APT-группировок, zero-day атаки;

• аномальное поведение (в сравнении с моделями нормального поведения на базе реального трафика компании);

• DNS-туннелирование (по частоте и объему коммуникаций);

• Command and Control-трафик (C2-трафик, по частоте и объему коммуникаций);

• активность ботнетов;

• эксфильтрация данных;

• необычные заголовки HTTP и сертификаты SSL/TLS;

• использование доменных имен, сгенерированных DGA (Domain Generation Algorithm);

• сканирование портов и другие техники разведки;

• DDoS-атаки;

• использование паролей в открытом виде;

• использование уязвимых протоколов и понижение версии шифрования;

• атаки на учетные записи протоколов ‒ AD, SSH, RDP, HTTP, FTP, SQL и других;

• подозрительный RDP-трафик, удаленное исполнение файлов;

• крипто-майнинг;

• атаки с обходом ловушек, типа Honeypot Buster.

Реагирование в NDR

Активное реагирование в NDR может быть реализовано различными методами в зависимости от интеграций с другими системами защиты:

• с NGFW (Next-Generation Firewall) ‒ отправка команд для блокирования подозрительного трафика;

• с NAC (Network Access Control) ‒ отправка команд для отключения доступа к сети;

• с SOAR (Security Orchestration, Automation and Response) ‒ отправка событий для запуска плейбуков реагирования;

• с EDR (Endpoint Detection and Response) ‒ сдерживание коммуникаций скомпрометированных устройств.

Ручное активное реагирование может быть реализовано с помощью расширенных функций Threat Hunting (проактивного поиска угроз) и реагирования на инциденты. Например, NDR-системы позволяют приоритизировать события безопасности, на которые нужно отреагировать в первую очередь.

В документе Market Guide for Network Detection and Response 2024 аналитики Gartner пишут, что активное реагирование должно поддерживать изоляцию хоста или блокирование трафика, напрямую или через интеграции с другими защитными продуктами. А в отчете LEADERSHIP COMPASS 2024 KuppingerCole отмечает, что реагирование может быть реализовано посредством:

• взаимодействия через API для интеграции с системами SOAR;

• автоматического реагирования/запуска плейбуков для разрыва сессий, сетевой изоляции хоста/подсети, блокировки IP.

Требования аналитиков к NDR

Аналитики глобальных агентств Gartner, KuppingerCole и QKS group предъявляют следующие требования к системам класса NDR:

1. Наличие функционала Network Traffic Analysis (NTA)

Анализ сетевого трафика или сетевой телеметрии (Netflow) в реальном или близком к реальному времени позволяет не только детектировать угрозы, но и проводить расследования инцидентов. При анализе сетевого трафика происходит ассоциация пользователей и приложений с сетевым трафиком и определение направления сетевого потока.

При работе на копии сырого трафика поддерживается полноценный захват трафика (Full Packet Capture), что позволяет в будущем проводить расследования по захваченным метаданным.Частота коммуникаций и ассоциация трафика с приложениями при его глубоком разборе (DPI) позволяют тоньше настраивать поведенческие модели (профили) на уязвимые протоколы приложений. Идентификация пользователей помогает при анализе и реагировании. Таким образом, анализируя весь сетевой трафик, NTA предоставляет видимость реальной картины происходящего в сети и инфраструктуре организации.

Поддержка анализа трафика направлений:

• North–South, «вертикальный трафик», который проходит через границу внутренних сетей организации вовне;

• East–West, «горизонтальный трафик», который проходит только по внутренним подсетям.

Поддержка обоих направлений очень важна для детектирования проникновения, когда злоумышленник проникнул за периметр защиты, и подготавливает шаги для компрометации инфраструктуры и проведения целевой атаки, ради которой был пробит периметр.

NTA способен строить модели нормального поведения в сети и детектировать отклонения от них.Определение направления сетевого потока очень важно как для детектирования угроз, так и для проведения расследований и восстановления картины произошедшего инцидента, например:

• для детектирования связи с командными центрами злоумышленников (C&C) – beaconing (автоматические сигналы или «отстуки») из сети организации в интернет;

• для обнаружения эксфильтрации данных – при выкачивании их из сети организации в интернет;

• для обнаружения медленного сканирования – при сканировании сетевых ресурсов внутри сети организации.

Поддержка сетевой телеметрии позволяет обеспечить защиту тех сегментов, в которых очень сложно или невозможно подать сетевой трафик для анализа.

2. Поддержка различных типов инсталляций

Полноценность покрытия сети обеспечивает поддержка различных типов инсталляций, таких как облачная и виртуальная среды, софт на собственных серверах (on-premise), территориально-распределенная инфраструктура, ЦОДы. С точки зрения российской реальности, сегмент NDR для облачных сред пока отсутствует ввиду не слишком глубокого проникновения СЗИ в публичные облачные сервисы. Это требование продиктовано необходимостью поддерживать анализ трафика со всех типов инфраструктуры, а не только с отдельных сегментов.

Поддержка единой консоли управления крайне важна для крупных организаций с гетерогенной и территориально распределенной инфраструктурой. Решение должно предоставить возможности управлять детектированием, реагированием, проводить Threat Hunting и расследования в едином окне, существенно снижать нагрузку на персонал и увеличивать скорость обработки инцидентов.

3. Детектирование угроз в зашифрованном трафике

К задаче детектирования угроз в зашифрованном трафике есть несколько подходов, самый очевидный – его расшифровка (decryption). В случае инсталляции системы NDR «в разрыв» (inline, между внутренней сетью и межсетевым экраном), встает вопрос отказоустойчивости, производительности и возможности покрытия необходимой инфраструктуры. Раскрытие TLS 1.3 (Transport Layer Security, версия протокола защиты транспортного уровня) несет угрозу работоспособности приложений, использующих этот протокол.

NDR могут решать проблему видимости в зашифрованном трафике, сосредоточившись на расшифровке трафика в/из общедоступных сервисов, таких как электронная почта, веб-серверы, DNS-серверы, и основная инфраструктура, такая как базы данных и серверы Active Directory.

Кроме того, не все решения NDR могут устанавливаться «в разрыв». В данном случае расшифровка трафика требует достаточно сложной схемы инсталляции, при которой дешифратор расположен «сбоку» (on-a-stick), и NDR с помощью пакетного брокера (NPB) получает расшифрованный трафик по запросу, а не весь поток по умолчанию. При таком сценарии узким местом становится поддержка передачи трафика по требованию на стороне NPB.

Производители предлагают альтернативные подходы к детектированию угроз в зашифрованном трафике:

• анализ декодированных данных по протоколу ICAP с прокси-сервера. Этот вариант может не обеспечивать покрытие всего зашифрованного трафика, также есть нюансы при обработке ICAP. Однако такой подход не требует существенных изменений в инфраструктуре;

• ETA (Encrypted Traffic Analysis) – поиск вредоносных коммуникаций в зашифрованном трафике без его раскрытия;

• SSLBL (SSL Blacklist) – черные списки SSL, которые включают подозрительные сертификаты, JA/JA3 – цифровые отпечатки вредоносного ПО и командных центров киберпреступников, CA (Certificate Authorities) – сертификаты, которые чаще всего используют злоумышленники;

• HASHH – цифровые отпечатки SSH-соединений, по которым можно определить приложение, использующее SSH. Применяться они могут как для детектирования IoT-устройств, так и компонентов потенциально опасных фреймворков, например, Metasploit;

• ML (machine learning) – машинное обучение для детектирования признаков вредоносного контента или ПО в зашифрованном трафике;

• анализ других видов цифровых отпечатков;

• анализ иных метаданных при установлении подключения;

• поведенческие модели, устойчивые к шифрованию. Подход часто используется в NDR и позволяет обеспечить детектирование угроз только на базе сетевой телеметрии, без использования полной копии трафика.

4. Обогащение метаданными во время сбора или анализа событий

Обогащение метаданными – крайне важный функционал для проактивного поиска угроз и проведения расследований. Например, при анализе инцидента, рассматривая сетевую сессию, вы можете увидеть в одном окне данные по сессии или запросу фильтра:

• используемые протоколы;

• объем и длительность сессий;

• IP/MAC-порты;

• пользователей;

• DNS-имена;

• сетевые флаги, команды прикладных протоколов;

• направление сетевого потока: north/south traffic (между интернетом и сетью организации) и east/west traffic (внутри подсетей организации);

• детекты отклонений от профилей и по сигнатурам, потокам данных об угрозах (Threat Intelligence), использование DGA доменов;

• версию протокола TLS;

• алгоритмы шифрования;

• географическая принадлежность;

• URL, почтовые адреса;

• логины и пароли;

• туннели, VLAN и другие данные.

Обогащение данными во время анализа событий безопасности позволяет значительно сократить время на расследование, тем самым снизить риски для организации. Обогащение может быть реализовано как через внутренние данные NDR, так и запросом к внешним сервисам. Например, при запросе обогащения внутренними данными по IP, заказчик получает данные пользователей, детектов угроз, историю коммуникаций с другими IP/подсетями, используемые протоколы, посещенные сайты, скаченные файлы, команды сетевых протоколов, почтовые коммуникации. А при IP-обогащении внешними данными можно получить данные от Threat Intelligence или других сервисов безопасности, например, от Virus Total. Обогащение может быть основано как на событии, так и не привязано к нему, то есть содержать общий срез данных.

5. Использование искусственного интеллекта/машинного обучения (AI/ML)

NDR должен уметь детектировать угрозы, которые отсутствуют в базе известных сетевых угроз IDS (такие как zero-day, APT, направленные атаки) на основе определения аномалий и отклонений от нормального поведения в трафике. Это реализуется с помощью таких инструментов как машинное обучение, поведенческие модели, продвинутая аналитика с поддержкой тонкой фильтрации трафика. Система NDR, анализируя сетевой трафик, получает значительно больше метаданных, чем SIEM, который получает те же данные в формате логов. Трафик, в отличие от логов, гораздо сложнее заблокировать, и сам факт увеличения «битого» трафика уже будет инцидентом.

NDR может использовать машинное обучение для категоризации угроз и автоматического расследования инцидентов. Как правило, для этого используется машинное обучение с учителем. В расследовании инцидентов используется термин «графовый анализ», какие именно математические вычисления позволяют отнести такой тип преобразований к машинному обучению, я не смог найти. Тем не менее, автоматически собранные графы событий при расследованиях часто применяются в продвинутых NDR. Другой вариант той же идеологии – это AI-ассистент аналитика, который проводит расследование и выдает пользователю готовый скоринг того или иного инцидента.

Более подробно об использовании машинного обучения в NDR и его видах расскажу в одной из следующих статей.

6. Наличие продвинутой системы управления и анализа для обработки детектов, проведения расследований и проактивного поиска угроз

Возможность агрегации алертов в инциденты, тонкой настройки дашбордов, расследований, проактивного поиска угроз, обеспечения работы SOC и команд реагирования на инциденты – основополагающая функциональность для решений класса NDR. Агрегация позволяет превратить сто типовых событий в пять инцидентов в рамках пары отправитель/получатель/порт/аномалия и так далее, что существенно облегчает работу аналитиков ИБ.

Опция детализации (Drill-down) позволяет пользователям быстро переходить от инцидента к детекту и затем к связанному с ним сырому трафику. Это упрощает процесс анализа и помогает специалистам ИБ идентифицировать источник угроз и оценивать их влияние на сеть. Системы NDR предлагают гибкие настройки исключений, что помогает создавать как глобальные, так и специфические исключения для аномалий, таких, например, как необычное поведение конкретного IP-адреса. Это позволяет сосредоточиться на действительно критичных угрозах.

Сопоставление (маппинг) детектируемых атак c матрицей MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge, структурированный организацией MITRE список техник, приемов и тактик злоумышленников) и моделью Cyber Kill Chain (разработанная компанией Lockheed Martin структура для идентификации и предотвращения кибервторжений) дает ИБ-командам понимание, на каком этапе атаки находится злоумышленник. Системы NDR должны содержать в себе инструменты временных шкал (timeline), поддерживать регулярные выражения (regexp) и тонкую фильтрацию при формировании поисковых запросов.

Они необходимы аналитикам, чтобы глубже исследовать инциденты, выявлять паттерны поведения и аномалии в сетевом трафике. Работа с агрегированными событиями и временными шкалами позволяет собрать Kill Chain или его часть, и поймать lateral movement.

Тонкая настройка дашбордов, виджетов/диаграмм для различных команд (например, для команд реагирования или аналитиков SOC) обеспечивает удобный доступ к необходимой информации и дает возможность адаптировать систему NDR под конкретные задачи. Ролевая модель позволяет разграничивать права доступа для различных инсталляций и информации, минимизирует риски утечки данных и нарушения политик ИБ.

Совместно с возможностями обогащения, NDR предоставляет продвинутые инструменты для защиты от актуальных угроз.

7. Обогащение данными об угрозах Threat Intelligence

При детектировании аномалии в поведении важно обогащение данными фидов Threat Intelligence (TI). Это может послужить дополнительным подтверждением правильности детекта и ускорить анализ инцидента. Использование нескольких источников TI увеличивает точность и подтверждение несигнатурных детектов.

NDR должен предоставить возможности для использование внешних Threat Intelligence – API, скрипты интеграций или другие инструменты. В частности, QKS Group использует термин Real-Time Threat Intelligence Integration, подразумевая постоянное обновление NDR актуальными данными по угрозам, что позволяет при сборке сессий в реальном времени находить угрозы в трафике.

8. Возможность автоматического активного реагирования и интеграций

Неотъемлемая часть любого решения NDR – автоматическое активное реагирование. Оно осуществляется с помощью плейбуков (playbook) или политик для обогащения инцидентами СЗИ, как SOAR, а также блокирования через NGFW, NAC, EDR или другие СЗИ. Реагирование позволяет не только узнать об инциденте, но и своевременно блокировать самые критичные атаки, пока они не нанесли серьезного ущерба.

В случае работы в inline-режиме, NDR может разорвать сессию и заблокировать запросы атакующего. При работе на копии трафика или сетевой телеметрии оптимальный способ – использование NDR в тандеме с решениями NAC и EDR. NAC позволяет наиболее безопасно для инфраструктуры провести блокирование доступа к сети или изоляцию конкретного хоста, без потенциально негативного влияния на всю сеть. EDR поможет заблокировать прием сетевых запросов от инфицированных хостов.

Автоматическое блокирование атак через NGFW – достаточно рискованный сценарий, более того, в крупных организациях абсолютно невозможный, так как каждое изменение правил NGFW требует тщательной проверки и согласования. Однако этот сценарий можно автоматизировать, если настроить в NDR генерацию ACL-правил (Access Control Lists) для NGFW, и направлять их вместе с метаданными инцидента эксплуатирующему персоналу.

Существует и более безопасный сценарий, однако доступный на самых продвинутых NGFW: загрузка IP-адресов атакующего в качестве аналога списка TI Feeds для блокирования запросов атакующего.

Также возможно автоматическое реагирование посредством перехвата файлов внутри сети и передачи их в песочницу (специально выделенную изолированную среду для безопасного исполнения компьютерных программ) для анализа. Это применимо к файлам, которые попали в сеть в обход песочницы.

Нельзя не отметить интеграцию с XDR (eXtended Detection & Response), как необходимую возможность для NDR.

NDR совместно с EDR (Endpoint Detection and Response)/EDPR (Endpoint Protection, Detection & Response) и защитой облачных сред CWPP (Cloud Workload Protection Platforms)/ CSPM(Cloud Security Posture Management) является «тремя китами», поверх которых работает XDR. Дополнительно продвинутые XDR могут поддерживать DDP (Distributed Deception Platforms), и UEM (Unified Endpoint Management).

Для использования автоматического активного реагирования необходима первоначальная настройка системы NDR для снижения количества ложных срабатываний.

Важный момент: для обеспечения достаточного качества блокирования требуется тонкая настройка ML-моделей и понимание работы инфраструктуры. Кроме того, для внедрения автоматического реагирования необходимо понимание модели угроз информационной безопасности организации и оценки рисков. Gartner уделил внимание точности детекта только в Market Guide for Network Detection and Response 2024, хотя сама функция блокирования была заявлена среди требований к системам класса NDR в 2020 году. Необходимость тонкой настройки и адаптации к конкретной инфраструктуре ‒ это ключевой момент для успешного внедрения автоматических блокировок.

Системы Network Detection and Response стали новой ступенью в эволюции сетевой безопасности, предоставляя возможность детектировать сложные угрозы, включая Zero-day и APT-атаки, скрытые в зашифрованном трафике киберугрозы. Благодаря применению машинного обучения и поведенческого анализа, NDR не только позволяет аналитикам SOC эффективно выявлять угрозы, но и ускоряет реагирование, минимизируя риски нарушения информационной безопасности.

Важно отметить, что согласно Market Guide for Network Detection and Response 2024 NDR может поддерживать традиционные методы обнаружения, такие как сигнатуры систем обнаружения и предотвращения вторжений (IDPS), эвристика на основе правил и оповещения на основе пороговых значений. То есть придвинутые технологии обнаружения аномалий в поведении обеспечивают возможности детектирования продвинутых угроз, но NDR также может поддерживать и базовые возможности IDS.

В следующих статьях более детально остановимся на применении машинного обучения, использовании активного реагирования и использовании NDR в связке с XDR.