Что нового в мире российских NTA за 2022 год?

На сегодняшний день вопрос сетевой безопасности для большинства компаний стоит весьма остро. Крупный и средний бизнес регулярно подвергается атакам в связи с Интернетом. За кибератаками могут стоять как конкуренты, так и киберпреступники, желающие заработать.

Администраторы безопасности должны внедрять разные классы решений в сфере сетевой безопасности для защиты от разного рода атак. В этой статье я, Антон Ананьев, presale-инженер Cloud Networks, расскажу об одном из таких классов решений – о системе анализа трафика NTA (Network Traffic Analysis).

Я подробно разберу следующие российские NTA:

1. PT NAD (Positive Technologies Network Attack Discovery).
2. KATA (Kaspersky Anti Targeted Attack) Platform.
3. Гарда Монитор.

Чем же система анализа трафика NTA отличается от NGFW или WAF?

Во-первых, NTA анализирует как внешний (на входе и выходе информационного периметра компании), так и внутренний трафик (циркулирующий внутри сетевой инфраструктуры компании).

Во-вторых, NTA не предотвращает угрозы, а только обнаруживает их. Решение призвано показывать нештатную активность в рамках внутреннего трафика компании, чтобы выявлять злоумышленника, который проник внутрь информационного периметра и совершает какие-то действия незаметно для других СЗИ, таких как NGFW или WAF.

В-третьих, NTA решения хранят колоссальные массивы данных по обращению внутреннего трафика компании. Это необходимо для проведения расследований инцидентов ИБ.

Стоит отметить, что NTA решения используют самые современные методы для выявления нарушителей такие как:

• поведенческий анализ,
• машинное обучение,
• обнаружение аномалий,
• автоматический ретроспективный анализ для выявления ранее неизвестных угроз.

О новостях в мире отечественных NTA-решений и расскажу дальше.

 

PT NAD – Positive Technologies Network Attack Discovery

Осень 2022 года крайне богата на обновления различных решений в сфере информационной безопасности. Например, в начале ноября вышла новая 11 версия продукта PT NAD (Positive Technologies Network Attack Discovery).

Давайте разберемся, какие нововведения ждут пользователей продукта:

1. Поддержка ОС Astra Linux.

В новой версии PT NAD появилась официальная поддержка отечественной операционной системы Astra Linux. У государственных регуляторов есть требования в использовании отечественных операционных систем в компьютерной инфраструктуре для многих предприятий и компаний. Это обновление сильно поможет государственному сектору в обеспечении их сетевой безопасности.

2. Инсталлятор.

Наконец-то у PT NAD появился удобный инсталлятор. Да еще и работающий без интернета. До этого нововведения администратору безопасности необходимо было читать инструкцию, устанавливать разные пакеты, менять разные конфигурации, и из-за сложности процесса неизбежно возникали разные ошибки, ведь это был долгий и монотонный ручной труд.

Ранее доступ в Интернет был необходим для скачивания дополнительных зависимостей, что тоже усложняло процесс. Теперь для установки PT NAD достаточно запустить файл инсталлятора и пройти по его меню. Сам процесс установки решения существенно упростился.

Понятный и «дружелюбный» интерфейс является одним из основных критериев при выборе средства защиты информации для компаний с небольшим штатом, у которых нет возможности держать команду администраторов с большим опытом в отрасли. То есть PT NAD стал доступнее для многих заказчиков.

3. Мониторинг без дополнительной настройки.

В этот же инсталлятор была добавлена подсистема мониторинга. Раньше она тоже разворачивалась дополнительно, что было неудобно, да и не все в принципе делали. Хотя эта система необходима для мониторинга за метриками производительности самого продукта, она фактически обеспечивает контроль корректной работоспособности решения. Использование PT NAD с данным обновлением стало еще удобнее.

4. Локальное зеркало обновлений.

Хорошая новость для обладателей изолированных сетей. Многие используют PT NAD в изолированной сети, где регламентирован доступ в Интернет. С одной стороны, сетевая инфраструктура становится более надежно защищенной. Злоумышленнику придется осуществить больше сложных шагов, чтобы нанести какой-то вред компьютерной инфраструктуре предприятия. Но с другой стороны, оставлять средство защиты без обновления категорически нельзя. И со временем оно начнет приносить меньше пользы и рискует превратиться в «пустышку».

Раньше обновления можно было настроить через прокси сервера. Начиная с 11 версии PT NAD вендор добавил локальный сервер обновлений, который можно развернуть в демилитаризованной зоне своей сетевой инфраструктуры, дать доступ до серверов обновления позитива, и обновления будут прилетать с локального зеркала.

Данная возможность стала крайне актуальной в 2022 году. Ведь многие государственные режимные предприятия и ведомства пользуются изолированными компьютерными сетями для обеспечения своей деятельности. И возможность обновлять PT NAD из локального зеркала является для них необходимостью.

5. Уведомления сторонних SIEM-систем с помощью syslog и webhook.

Процесс построения системы защиты информации в любой компании очень сложный. Ни одно решение не может гарантировать полную защищенность от любых угроз. У разных классов решений (SIEM, EDR, NTA) есть как достоинства, так и недостатки. Поэтому если вы хотите качественно подойти к вопросу своей защиты, вам надо использовать комплекс решений.

При комплексе важна интеграция. Например, аналитику SOC было бы удобнее работать в одном интерфейсе и при необходимости переходить в другие для расследования, чем постоянно решать разные задачи в разных продуктах. Ну и кроме того, собирая информацию с разных источников, системы защиты имеют больше шансов не пропустить злоумышленника. Например:

• с NTA получается информация о трафике,
• с EDR получается информация о процессах на узле,
• SIEM все это дело коррелирует и выявляет злоумышленника более качественно.

В связи с этим в 11 версии PT NAD была значительно доработана подсистема нотификации syslog. Ранее она использовалась в стандартном формате, принятым в сфере IDS- и IPS-систем. В этом был плюс: все SIEM фактически понимали логи, исходящие от PT NAD без дополнительной настройки.

Но и минус: эти логи на самом деле мало информативные (присутствовал только идентификатор правила, название и два IP-адреса). В итоге в системе мониторинга информации крайне мало и аналитику часто приходилось переходить в PT NAD, чтобы понять, что же на самом деле произошло.

В этом обновлении продукта подсистема была переписана с нуля. Вендор отказался от старого формата, и теперь PT NAD передает через syslog или webhook максимальный контекст, связанный с обнаруженной атакой. Это позволяет аналитику SOC понимать еще в интерфейсе SIEM‑системы что же произошло.

Приятно осознавать, что Positive Technologies стремится сделать процесс расследования инцидентов информационной безопасности более комфортным для специалистов.

6. Создание инцидентов в MaxPatrol SIEM по событиям.

Теперь все события в ленте активностей PT NAD дублируются в MP SIEM в виде инцидентов и соответственно оператор может использовать SIEM как точку входа и только при необходимости переходить в PT NAD для детального расследования.

7. Увеличение производительности подсистемы обработки трафика.

Как заявляет вендор, в новой версии PT NAD подсистема обработки трафика (библиотека захвата трафика DPDK) обеспечивает до 10 Гбит/с на один сетевой интерфейс без потерь. И это при использовании обычных сетевых карт.

Несмотря на то, что PT NAD устанавливается на копии трафика, не влияя на пропускную способность канала, сам трафик очень важно анализировать именно на той скорости, на которой он поступает. Ведь в случае сигнатурного анализа систем IDS или IPS потеря даже одного пакета означает, что он не будет проанализирован, и атаку не обнаружат.

Глубокий анализ трафика позволяет выявлять атаки. Для этого надо:

• собрать все пакеты в правильном порядке,
• объединить их в сессии,
• разобрать протокол прикладного уровня,
• только потом уже выявляется атака.

Соответственно потеря пакета ломает всю схему. В связи с этим нельзя допускать потери пакета именно при захвате трафика.

8. Повышение производительности подсистемы хранения метаданных.

Агрегация флуда и сканирований портов.

PT NAD хранит данные, позволяющие анализировать трафик и выявлять аномалии. Подсистема хранения данных должна успевать индексировать эти данные и быть доступной для аналитических запросов. Ведь в ней хранится огромный объем информации, который легко может превысить возможности СУБД при атаке.

В ответ на эту проблему Positive Technologies изменил подход к данному механизму в своем решении. PT NAD 11 версии определяются различные параметры, такие как сканирование портов, сканирование узлов, флуд и т.д.

Теперь PT NAD объединяет это все в одну запись – произошло такое-то событие, в нем участвовали определенные IP-адреса, и вот собранная статистика. При таком подходе в базе данных занимается намного меньше места.

Оптимизация хранения SMB.

В рамках хранения записей по информационному обмену средствами протокола прикладного уровня SMB была убрана ненужная аналитика и проведена агрегация нужных данных. По итогу записи занимают намного меньше места при хранении.

Тем самым повысилась эффективность работы PT NAD: документы в базе данных агрегируются, а дубли, наоборот, удаляются из памяти.

Хранить теперь приходится меньше и аналитика проходит проще. По заявлениям вендора теперь до 30% меньше хранится документов в базе.

Оптимизация хранения DNS.

С протоколом прикладного уровня DNS похожая история. Он генерирует событий больше, чем это несет реальной пользы для аналитика SOC. Такая ситуация даже вызывает множество ошибок, что стало бичом для многих безопасников.

В новой версии PT NAD хранение данных по работе протокола DNS происходит в более оптимизированном виде.

Команда Positive Technologies провела серьезную работу над своим продуктом. Изменения масштабные, актуальные и крайне полезные.

 

KATA – Kaspersky Anti Targeted Attack Platform

Positive Technologies не единственные, кто проапгрейдили свой продукт. Лаборатория Касперского может похвастаться обновлением своей XDR-платформы нативного типа Kaspersky Anti Targeted Attack (KATA) до версии 4.1, вышедшим летом этого года.

Давайте посмотрим, что там вышло нового:

• Интерфейс.

В задачу «Выполнить программу» было добавлено отображение дополнительных параметров запуска файла и выполненных команд, указанных при создании задачи. Это очень удобное дополнение интерфейса решения.

Были добавлены новые поля в информацию об обнаружениях, выполненных с помощью технологий URL Reputation и Anti-Malware Engine:

1. Исходный email отправителя.
2. Исходный email получателя.
3. IP сервера-отправителя.

Дополнительное информирование всегда облегчает расследование инцидентов. Так что – полезное изменение.

• Поддержка CentOS.

Добавлена поддержка установки операционной системы CentOS 7.8 и запуск объектов в этой операционной системе для компонента Sandbox. Данное нововведение поможет улучшить защиту серверов в сетевой инфраструктуре заказчиков.

• Агент для Windows.

В новой версии KATA расширили функционал для ПК с компонентом Kaspersky Endpoint Agent для Windows и внедрили следующие задачи:

• Получить ключ реестра – позволяет получить файл со значением выбранного ключа реестра);
• Получить дамп памяти процесса – позволяет получить файл с информацией о выбранном процессе и файл дампа памяти этого процесса;
• Получить метафайлы NTFS – позволяет получить выбранные метафайлы.

Также была добавлена возможность указать «Точки автозапуска» в качестве области проверки в задаче «Запустить YARA-проверку».

Тут стоит отметить, что YARA — это опенсорсная утилита, которая выполняет сигнатурный анализ на основе формальных правил. Правила YARA-описаний могут обрабатывать различные объекты:

• исполняемые файлы,
• документы,
• библиотеки,
• драйверы и т. д.,
• а также могут сканировать сетевой трафик, хранилища данных, дампы памяти.

Этот инструмент популярен у многих вендоров, поэтому его стараются активно развивать.

• Агент для linux.

Для Kaspersky Endpoint Agent 3.12 для Linux перестала поддерживаться работа с решением Kaspersky Managed Detection and Response. Для работы с этим решением вендор рекомендует использовать программу Kaspersky Endpoint Security для Linux.

Как видно из обзора, у Касперского нововведения не такие масштабные, но тем не менее работа над улучшением продукта идет.

 

Гарда Монитор

Следующий вендор, который будет рассмотрен в нашей статье – Гарда Технологии. Их NTA-решение Гарда Монитор в ноябре этого года тоже получило ряд обновлений. Итак, что добавили?

• Конструктор виджетов.

Добавлена возможность формировать собственные графические сводки. Это касается разделов трафик, угрозы безопасности и диагностика.  Кастомные сводки можно разместить на пользовательских дашбордов главной страницы.

Теперь администратор безопасности сможет индивидуально под свои вкусы и предпочтения настраивать персональный экран мониторинга. Мечта любого специалиста.

• Уведомления о неуспешном обновлении сигнатур и репутационных списков.

Добавлено отображение уведомлений о неуспешном обновлении сигнатур и репутационных списков в журнале Системные сообщения. Очень удобная фича, давно пора было ввести.

• Уведомления об ошибках в решающих правилах.

В новой версии продукта все решающие правила будут проходить дополнительную проверку на корректность перед отправкой в подсистему сигнатурного анализа. Это поможет снизить количество ошибок при настройке продукта.

• Установка в гео-распределенном режиме.

Добавлена возможность установки Системы в режиме географически распределенного кластера. Администраторы распределенных систем точно будут раны данному нововведению.

 

Вывод

Как видно, российские NTA-решения не стоят на месте. Наши вендоры активно развивают свои продукты, внедряют актуальные функции и делают интерфейс приложений более удобным и комфортным для пользователей. Все обновления направлены на то, чтобы сделать жизнь специалистов по информационной безопасности проще.

А если вам сложно разобраться во всем многообразии продуктов на отечественном рынке информационной безопасности и определиться с выбором, то компания Cloud Networks с радостью поможет.

Мы подберем нужные решения, объясним в чем их различия, продемонстрируем функционал и составим набор мер, которые необходимы именно в вашей компании, исходя из актуальной проблематики и озвученных вами потребностей, целей и задач. Оставьте свою заявку для бесплатной консультации: