Гарда NDR

Комплекс для выявления и предотвращения кибератак, расследования сетевых инцидентов и защиты сети от проникновения, с возможностью записи и хранения всех сетевых потоков.

Вам нужен Гарда NDR, чтобы

Обеспечить безопасность устройств, не поддерживающих агентов АРМ (Iot, Industrial IoT, Scada, Industrial Control Systems и ОС (специфичекий linux).

Выявить обход периметровых систем защит информации (СЗИ).

Защитить сетевую инфраструктуру от сложных таргетированных атак и эксплуатации zero-day уязвимостей.

Выявить неконтролируемые точки доступа в сеть, туннели и shadow it.

Гарантировать безопасное взаимодействие и обеспечить проактивное выявление угроз при работе с подрядчиками. Использование PAM системы, не защищает от проникновения malware в сеть организации.

Что умеет Гарда NDR

Анализировать весь сетевой трафик

Выявлять атаки и аномалии в сети

Перехватывать подозрительные файлы

Выявлять теневую ИТ-инфраструктуру

Записывать и хранить весь сетевой трафик

Активно реагировать и блокировать атаки

Функциональность решения

Гибкие возможности интеграции с сетевой инфраструктурой

Поддержка широкого спектра источников данных о трафике: NetFlow, IPFIX, sFlow, ICAP, mirroring, GRE, ERSPAN.

Полный контроль сети

Выявление новых узлов сети, несанкционированных точек доступа, информации из туннелей.

Детектирование и разбор промышленных протоколов

Детектирование более 250 протоколов и команд, передаваемых в них логинов и паролей, транслируемых в открытом виде, выделение текстовой информации из протоколов.

Многообразие инструментов и технологий выявления угроз

Три вида поведенческой аналитики, Собственный DPI, Встроенная IDS, списки индикаторов компрометации Threat Intelligence, JA3/JA3S цифровые отпечатки для выявления угроз в шифрованном трафике.

Возможности активного реагирования

Интеграции с внешними СЗИ через собственный API с возможностью блокировки атак, передача событий в SIEM, IRP/SOAR.

Мощные возможности аналитики и управления

Централизованное управлением политиками безопасности и сквозной поиск по записанным данным, отображение всех событий ИБ на одном дашборде, с возможностью детализации, конструкторы виджетов, собственных дашбордов и отчетов, гибкие настройки фильтрации сетевых данных.

Производительность и масштабируемость

100 Гбит/c и выше (до 10 Гбит/c на сенсор), неограниченные возможности горизонтального масштабирования и глубины хранения сырого трафика.

Практика применения

Обезвреживание бот-сетей

Проблема

Заказчик. Крупная компания с распределенной инфраструктурой и централизованным управлением.

Запрос. Несколько устройств в сети компании периодически пытались связаться с неизвестными IP-адресами за пределами корпоративной сети, необходимо провести расследование.

Выявлено. Обнаружены регулярные попытки установления соединения (heartbeat) зараженных устройств c центрами управления ботнетов (C&C).

Решение

Сигнатуры формата Suricata.

Списки индикаторов компрометации (IoC, IP, URL, Botnet, DDoS,Spam, Phishing), включая ретроспективный анализ.

Выявление аномалий — периодических попыток связи командными центрами используя специальную предобученную ML-модель поддерживающую тонкую настройку.

>100 терабайт

>250 типов

3 вида аналитики

100GE+ скорость