Гарда NDR

Комплекс анализирует метаданные пакетов сетевого трафика, детектирует аномалии и отклонения от нормального поведения в сети, что позволяет выявить даже скрытые атаки и продвинутые угрозы и реагировать на сетевые инциденты.

Сфера применения «Гарда NDR»

Защита сетевой инфраструктуры от сложных таргетированных атак и эксплуатации уязвимостей нулевого дня.
Выявление обхода периметровых средств защиты.
Защита устройств, не поддерживающих агенты рабочего места: Iot, Industrial IoT, Scada, Industrial Control Systems и ОС (специфический Linux).
Выявление неконтролируемых точек доступа в сеть, туннелей и теневых IT.
Проактивное выявление угроз и безопасное взаимодействие подрядчиков с сетевой инфраструктурой.
Защита от вредоносного ПО (malware).

Что умеет «Гарда NDR»

Анализировать весь сетевой трафик

Обнаруживать атаки и аномалии в сети

Перехватывать подозрительные файлы

Выявлять теневую ИТ-инфраструктуру

Записывать и хранить весь сетевой трафик

Активно реагировать и блокировать атаки

Функциональность решения

Высокая производительность и масштабируемость

Более 100 Гбит/c на систему, отсутствие программных ограничений по глубине хранения данных. Горизонтально масштабируемая производительность, централизованное развертывание и конфигурирование.

Гео-распределение

Поддержка гео-распределенного сценария внедрения, возможность размещения локальной инсталляции системы в филиалах в сочетании с централизованным управлением и анализом данных со всех инсталляций. Сквозной поиск по всем хранимым данным.

Возможность работы только на данных телеметрии

Анализ телеметрии поведенческими ML- и пороговыми моделями, проверка репутационными списками TI-фидов, а также анализ трафика и сетевого взаимодействия.

Анализ промышленных протоколов

Детектирование и глубокий анализ промышленных протоколов: OPCUA, S7COMM, DNP3, MODBUS и др.

Активное реагирование

Различные возможности активного реагирования на инциденты через интеграции с внешними СЗИ посредством API.

Продвинутое автоматическое выявление угроз

Совмещение DPI-фильтров и поведенческих моделей значительно увеличивают точность детектирования. Поддержка тонкой настройки сигнатур, возможность применения их к конкретной уязвимой инфраструктуре.

Широкие возможности Threat Hunting

Поддержка drill-down,отображение сетевых флагов и команд протоколов вместе с фильтрами трафика и кастомизацией дашбордов существенно увеличивают возможности Threat Hunting.

Два вида поведенческой аналитики (профилирование):

Поведенческие ML-модели;
Пороговые поведенческие модели.

Практика применения

Обезвреживание бот-сетей

Проблема

Заказчик. Крупная компания с распределенной инфраструктурой и централизованным управлением.

Запрос. Несколько устройств в сети компании периодически пытались связаться с неизвестными IP-адресами за пределами корпоративной сети, необходимо провести расследование.

Выявлено. Обнаружены регулярные попытки установления соединения (heartbeat) зараженных устройств c центрами управления ботнетов (C&C).

Решение

Выявление аномалий с использованием ML-моделей вариации и автокорреляции, поддерживающих тонкую настройку чувствительности.

Списки индикаторов компрометации (IoC, IP, URL, Botnet, DDoS,Spam, Phishing), включая ретроспективный анализ.

Сигнатуры формата Suricata.