С чего все началось

До 2019 г. системы анализа трафика назывались решениями класса network intelligence and threat analytics (NITA). По данным IDC, емкость рынка оценивалась в $1,3 млрд, а рост от года к году составлял 24%. В 2020 г. эти системы эволюционировали сначала в класс network traffic analysis (NTA), а затем — в класс network detection and response (NDR). Обязательное условие для перехода NTA-системы в класс NDR — наличие механизма реагирования на инциденты с помощью агентов или сетевого оборудования. Кроме того, сценарии реагирования на киберугрозы вендор должен поставлять «из коробки».

В 2020 г. мировой рынок NDR-решений входил в топ-3 по темпу развития (рост около 25%). В 2021 г. темпы роста сохранились, и рынок достиг $2 млрд.

В чем польза систем анализа трафика для SOC? Злоумышленники научились скрывать свое присутствие, инструментарий и активность на рабочих станциях и серверах, обманывая антивирусы, но их следы видят NTA-решения. В исследовании Gartner отмечается, что продукты класса NTA позволяют обнаружить подозрительную активность в трафике, пропущенную периметровыми средствами защиты, а по данным института SANS, NTA-решения входят в топ технологий для выявления угроз, работой которых довольны SOC по всему миру.

Что имеем


Несмотря на увеличение затрат на безопасность (о чем говорит, например, исследование Центра стратегических разработок (ЦСР) «Прогноз развития рынка решений для информационной безопасности в Российской Федерации в 2022–2026 гг.»), компании с технологически неплохо укомплектованным SOC сталкиваются со взломами и их последствиями. По статистике Positive Technologies, более трети атак (40%) на организации во II квартале 2022 г. привели к утечкам конфиденциальной информации, нарушению основной деятельности (50% атак) и даже прямым финансовым потерям (12%). Казалось бы, компании уже пользуются узловыми (EDR) и периметровыми (NGFW) инструментами защиты для проверки и фильтрации трафика. Так почему же взломы все равно происходят?

Все просто. Системы периметровой защиты и системы защиты конечных точек решают конкретную задачу и не могут противостоять сложным целенаправленным атакам. Чтобы обнаружить скрытые действия хакера в сети, не хватает важного звена: анализа внутреннего трафика. Проникнув в корпоративную сеть, злоумышленники могут действовать от лица реальных пользователей, что будет похоже на легитимную активность: использовать учетные данные, которые были либо скомпрометированы атакующими ранее, либо получены в ходе внутренней сетевой разведки. По этой причине с помощью классических средств защиты выявить аномальные действия легитимных пользователей сложно. Например, может произойти подозрительное событие, однако сотрудник SOC при анализе большого потока данных может не обратить на него внимания, так как активность, по сути, легитимная, и посчитать его неопасным. Именно системы класса NTA, которые выявляют угрозы ИБ, исследуя события на уровне сети, решают проблему взлома инфраструктуры: они позволяют обнаружить присутствие злоумышленников на ранней стадии атаки и оперативно локализовать угрозы.

«По статистике Positive Technologies, более трети атак (40%) на организации во II квартале 2022 г. привели к утечкам конфиденциальной информации, нарушению основной деятельности (50% атак) и даже прямым финансовым потерям (12%)».

Как обстоит ситуация с рынком NTA-решений в России

Сегменты рынка СЗИ в России в 2021 г. Исследование «Прогноз развития рынка решений для информационной безопасности в Российской Федерации в 2022–2026 гг.» Фонд «Центра стратегических разработок».

Если изучить публичные данные сайта госзакупок, то получается, что объем российского рынка систем NTA по итогам 2021 г. составил более ₽1,5 млрд.

При этом за 2019–2021 гг. российский рынок СЗИ класса NTA показал ежегодный двукратный рост. Этот тренд подтверждают и сами разработчики. Например, число пользователей NTA-системы Positive Technologies PT Network Attack Discovery (PT NAD) — с 2019 г. увеличилось более чем в пять раз.

Однако приведенные выше цифры не позволяют сказать, что рынок NTA-решений в России сформировался окончательно. Во-первых, дальнейший рост отечественного рынка будет обусловлен стремительно меняющимися киберугрозами, среди которых — эволюция атак, модификация хакерского инструментария и недостатки классических методов обнаружения сетевых угроз. Во-вторых, драйвером роста спроса и технологического развития отечественных NTA-систем станет масштабная трансформация отрасли кибербезопасности в России. Ее подстегнут:

  • Продолжающийся рост числа кибератак на органы власти, бизнес и промышленность России.
  • Активное замещение продукции зарубежных вендоров, покинувших страну. По оценке Центра стратегических разработок, в ближайшие два года освободится более трети рынка.
  • Новый виток импортозамещения: с 2025 г. запрещается использование зарубежного программного обеспечения на значимых объектах КИИ (Указ Президента от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»)
  • Ужесточение требований регуляторов. Например, введение ответственности первых лиц компаний за обеспечение информационной безопасности (Указ Президента от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»).

В каком направлении будут развиваться NTA-системы

Динамика рынка NTA-решений в России, ₽ млн

Сегодня российским NTA-системам уже недостаточно содержать набор сигнатур и проводить проверку по индикаторам компрометации. Для эффективной защиты компаний средства защиты этого класса должны уметь предоставлять SOC данные о трафике, быстро обнаруживать присутствие злоумышленников в сети, если они остались незамеченными другими средствами защиты, и создавать минимально возможное количество ложноположительных срабатываний. Отечественные разработчики NTA-решений активно совершенствуют способы обнаружения сетевых угроз, переходя от традиционного сигнатурного подхода к более сложным механизмам. Например, добавляют модули поведенческого и статического анализа, сетевую инвентаризацию активов (network asset management), профилирование каждого сетевого узла для обнаружения нетипичной активности. Новая версия нашего продукта в этом классе — PT NAD 11 — получила ряд существенных обновлений, которые помогут бизнесу противостоять даже самым сложным кибератакам.

Проникнув в корпоративную сеть, злоумышленники могут действовать от лица реальных пользователей, что будет похоже на легитимную активность.

PT Network Attack Discovery 11

PT NAD 11 можно установить всего за 15 минут. Пока вы варите кофе, PT NAD уже начнет искать в трафике те атаки, которые нельзя обнаружить, например, с помощью средств защиты конечных точек или систем периметровой защиты.

В PT Network Attack Discovery 11 разработчики полностью переработали механизм интеграции с SIEM-системами. Теперь PT NAD не только служит дополнительным источником данных для сердца SOC, но и помогает аналитикам в два раза быстрее выявлять атаки на основе анализа трафика в режиме одного окна. Для этого в PT NAD 11 есть расширенный контекст уведомлений: оператор видит сообщение об атаке, а также может настроить фильтр, который даст ему дополнительную информацию о сработках (например, данные об IP-адресах, доменных именах, сетевых протоколах). Все это поможет быстрее определить масштаб атаки, среагировать на угрозу и выработать компенсирующие меры. Такой подход означает, что у злоумышленников остается меньше шансов находиться в сети компании незамеченными, а служба ИБ может вовремя обратить внимание на подозрительную активность в трафике, остановить развитие атаки и свести к минимуму ее последствия для бизнеса.

PT NAD 11 поддерживает российскую операционную систему Astra Linux, которая входит в число наиболее распространенных ОС на российском рынке: в 2020 г., по данным вендора, система преодолела рубеж в 1 млн проданных лицензий. Курс на импортозамещение, о котором пишут СМИ, и возможность установить PT Network Attack Discovery на российскую ОС позволят компаниям защитить свою инфраструктуру, при этом выполнив требования Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», приказа ФСБ России № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» и Указа Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

В PT NAD 11 появились новые модули обнаружения угроз. Теперь продукт находит сетевые аномалии, что позволяет выявлять даже самые сложные целевые атаки. Например, можно обнаружить атаки на доменный контроллер, в которых используется популярная техника Kerberoasting, или по поведению DNS найти туннели, при этом выявляя угрозы в них. Продукт профилирует каждый сетевой узел и в случае отклонения поведения узла от привычного сообщает об этом аналитику SOC. Например, PT NAD 11 запоминает, какие сетевые протоколы и порты используются при коммуникации внутреннего узла с интернетом. При изменении порта система определит это, а аналитик обратит внимание на инцидент (так как подобное поведение нетипично для пользователя) и сможет сделать вывод о работе инсайдера.

Все эти обновления нужны для решения одной задачи — дать бизнесу такое средство защиты, которое позволит быстрее и точнее обнаруживать действия злоумышленника, при этом не требуя от компаний дополнительных ресурсов на внедрение и ввод в эксплуатацию продукта, обучение сотрудников и интеграцию со смежными системами. По сути, PT NAD — законодатель мод и лидер на российском рынке NTA-решений.

Больше о возможностях системы обнаружения сетевых угроз и аномалий PT NAD мы расскажем на запуске новой версии продукта 27 октября в 14:00 (по МСК).

Регистрируйтесь на онлайн-запуск PT NAD 11 и смотрите 27 октября в 14:00!

Токен: Pb3XmBtzt56rCNAQUdFezjs7KsTeBuZdUSpPmee