Решения NTA (системы анализа трафика) не так давно появились на российском рынке информационной безопасности, но уже активно внедряются. Их популярность связана с усложнением схем злоумышленников, посягающих на внутренние сети компании, и с разветвленностью ее организационной структуры. Давайте разберемся, как эти решения помогают противостоять атакам.
Как и почему внедряют NTA
Проблема не только в усложнении методов проведения атак злоумышленниками – часто появление слепых зон во внутренних сетях допускают сами компании. Например, пренебрегают инвентаризацией, обновлением аппаратуры и ПО.
Еще одна проблема – недостаточно внимательное отслеживание конечных точек сетей. Многие устанавливают EDR (решения для поиска и анализа угроз на конечных точках) только на несколько хостов, думая, что этого хватит для защиты от злоумышленников. Однако в таком случае возможно пропустить атаку из-за недостаточного покрытия конечных точек средствами защиты информации.
Для полноценного покрытия мониторингом всего, что происходит в инфраструктуре, целесообразно подключить решения NTA. Системы ловят сомнительную активность, не обнаруженную EDR, и помогают отследить перемещение злоумышленников между точками рабочих станций.
Варианты реализации решения:
-
Взаимодействие с метаданными трафика, поступающего с сетевых устройств.
-
Сбор и исследование всего трафика, фигурирующего в сетях.
В первом случае анализу подлежат общие данные о взаимодействии между различными IP и другие дополнительные сведения. Для работы системы будет достаточно центрального сервера, где собрана вся информация.
Во втором случае к каждому сегменту сети необходимо подключить отдельный сервер, на который направится копия трафика, проходящего в этом сегменте. Анализ данных, выявление атак и детальная работа с сырым трафиком будет производиться уже на сервере ядра NTA.
Система выявляет самые разные действия злоумышленников, видит нарушение политики информационной безопасности, устаревшие протоколы, несанкционированное ПО. По факту это универсальный инструмент мониторинга, который эффективно дополняет уже внедренные средства защиты.
Как NTA помогает SIEM
SIEM-система – эффективный инструмент SOC, выстраивающий взаимосвязи между цепочками событий. Еще недавно для мониторинга внутренних сетей использовали только его. Однако у системы есть минус – она видит сведения только с заранее настроенных узлов. Если активы попали в категорию «теневое IT» (сюда входят, например, не отключенные тестовые или временные серверы), то они окажутся слепой зоной для SIEM. Этим могут воспользоваться злоумышленники.
SIEM будет работать эффективнее, если постоянно проверять всю систему безопасности и минимизировать области слепых зон. Однако, во-первых, на инвентаризацию и работы по настройке уйдет много времени. Во-вторых, это дорого. В-третьих, в штате может не оказаться специалистов с достаточными компетенциями. Поэтому целесообразно внедрить решения NTA.
К тому же SIEM – это высоконагруженная система, которая обрабатывает множество базовых сценариев мониторинга. Чтобы разгрузить систему, можно передать в NTA часть из них. В первую очередь сценарии, связанные с профилированием сетевой активности, так как они требуют наибольших вычислительных мощностей.
Польза NTA для криминалиста
Для криминалиста особенно важно вовремя предугадать действия киберпреступников, быстро находить атакованные активы и устанавливать характер угроз. Какую информацию поможет получить NTA:
-
С какими точками произошло взаимодействие.
-
Какая информация оказалась под угрозой.
-
В каком объеме пересылались сведения.
-
Какие команды фигурировали на сетевой аппаратуре.
Если представить, что инциденты будут расследоваться без NTA, то специалистам придется анализировать жесткие диски и делать слепки ОЗУ. На это потребуется очень много времени, а восстановить удастся всего до 80% случаев. Поэтому проще внедрить систему, которая откроет быстрый доступ к трафику.
Решения NTA позволяют детально проводить криминалистический анализ. Исследование оперативно добытого с помощью системы сомнительного трафика помогает найти хост-источник активности злоумышленников и причину слабого места в обеспечении его безопасности.
Если NTA работает с сырым трафиком, она поможет в поиске угроз (Threat Hunting). Специалистам останется проанализировать информацию и проверить гипотезы.
Как NTA помогает контролировать политики ИБ
Система эффективна не только в противостоянии внешним злоумышленникам. Сотрудники компании тоже могут создавать угрозу информационной безопасности, нарушая политику выхода в сеть, провоцируя утечку данных и проявляя другую несанкционированную активность.
NTA помогает обнаружить нарушение регламентов информационной безопасности и выявить проблемы в конфигурации систем. Какие проблемы могут вскрыться в результате анализа:
-
Данные о недостаточно защищенных учетных записях.
-
Неактуальные протоколы.
-
Эксплуатация запрещенных веб-ресурсов и приложений.
-
Незащищенные email-сообщения.
Особенно часто эти инциденты начали проявляться в связи с массовым переходом на удаленную работу и повышенной потребностью использовать VPN. Поэтому внедрение функциональных инструментов анализа трафика сейчас как никогда актуально.
Вывод об использовании NTA
Автоматизированные системы значительно упростят работу службы информационной безопасности и помогут на старте отследить активность киберпреступников. Очевидно, это актуальное решение для компаний, деятельность которых с большой долей вероятности заинтересует злоумышленников.
Предпочтение стоит отдать системам, работающим с любым трафиком. NTA, специализирующиеся на метаданных, тоже полезны, поскольку они помогают выявлять нетипичные IP-адреса и отслеживать объем данных.
Не стоит забывать, что эффективная работа SOC базируется на триаде средств мониторинга – SIEM, EDR и NTA – и требовании их постоянного взаимодействия, так как они, в отличие от классических СЗИ, полностью себя раскрывают только при участии выделенных аналитиков, которые должны работать одновременно со всеми этими системами, что будет усиливать их синергию.