Бесплатно Экспресс-аудит сайта:

14.09.2022

Что такое NTA?

Анализ сетевого трафика (NTA) – это метод обнаружения вредоносных программ и аномалий различного типа, основанный на проверке данных, проходящих через узлы сети или по каналам передачи данных. Обычно NTA используется для:

  • Сбора данных о том, что происходило и происходит в сети в режиме реального времени;
  • Обнаружения вредоносных программ;
  • Обнаружения уязвимых протоколов и шифров;
  • Диагностики необычно медленной сети;
  • Устранения «слепых зон» в защите и охвата комплексным мониторингом всей инфраструктуры.

Что является источником данных для NTA?

Важно учитывать типы данных, которые анализирует NTA:

  1. Данные о идущих потоках, получаемые с таких устройств, как маршрутизаторы и коммутаторы.
  2. Данные пакетов в виде копии трафика с SPAN, зеркальных портов и сетевых TAP, виртуальных vTAP, RSPAN, ERSPAN и GRE.

Почему NTA – это здорово?

Потому что у анализа сетевого трафика множество преимуществ:

  • Улучшенную видимость устройств, подключающихся к сети пользователя;
  • Соответствие нормативным требованиям;
  • Устранение неполадок в работе и безопасности сети;
  • Оперативное выявление угроз в трафике на основе индикаторов компрометации;
  • Значительное расширение возможностей Threat Hunting и ретроспективного анализа по индикаторам компрометации;

Почему анализ сетевого трафика важен?

Даже при наличии самых надежных брандмауэров могут возникнуть бреши в защите, через которые может пройти нежелательный трафик. Тем более, когда даже обычные пользователи могут обойти брандмауэры, используя туннелирование, анонимайзеры для внешних ссылок и VPN. Мониторинг своего сетевого периметра – всегда хорошая практика. Но по статистике взломов периметр злоумышленник проходит за 1-2 дня, а в некоторые компании можно проникнуть за 30 минут. Поэтому важно контролировать внутренний трафик, где злоумышленник будет перемещаться от устройства к устройству.

Кроме того, рост числа вымогательских атак делает мониторинг сетевого трафика еще более важным. NTA системы должны быть способны распознавать аномальную активность собственных сотрудников, указывающую то что они взломаны и на то что началось распространение сетевого червя. Часто вымогательское ПО работает сначала как сетевой червь и затем запускается везде одновременно.

Еще стоит обратить внимание на протокол удаленного рабочего стола (RDP), который часто становится целью хакеров. Его безопасность тоже можно повысить с помощью NTA.

Мониторинг трафика внутри сети поможет проверить правила межсетевого экрана, получить ценные сведения о передаваемых логинах и паролях в открытом виде, а также об использовании скрытых туннелей, что требует наличие глубокого анализа сетевого трафика.

Для чего нужен NTA?

NTA используется для широкого спектра задач:

  • Обнаружение активности вымогательского ПО;
  • Отслеживание утечек данных/подозрительной интернет-активности;
  • Контроль доступа к файлам на файловых серверах или базам данных MSSQL;
  • Отслеживание активности пользователя в сети;
  • Инвентаризации устройств, серверов и служб, работающих в сети;
  • Обнаружение первопричины пиков трафика сети;
  • Предоставление информационных панелей в режиме реального времени;
  • Создание отчетов о сетевой активности за любой период времени.

Как выбрать NTA решение?

При выборе NTA для своей организации, помните:

  1. У вас должны быть устройства с собирающие информацию о работе сети. Чаще всего в сети уже есть маршрутизаторы и свитчи поставляющие статистику о потоках трафика для NTA.
  2. Идеальным источником данных о потоках являются устройства глубокого разбора трафика, поскольку они не только собирают статистику ИТ метрик в NTA но и могут распознавать атаки функционалом системы обнаружения атак, анализировать детально метаданные протоколов, видеть передаваемые файлы и отправлять их на анализ в песочницу. Вам нужно решить, какие фрагменты трафика являются критическими, чтобы убедиться, что ваши инструменты охватывают все, что нужно.
  3. Вы должны знать, использует ли NTA программное обеспечение на основе агентов или нет. Также будьте осторожны и не пытайтесь контролировать слишком много источников данных и не храните журналы слишком долго.
  4. Вам нужно знать, какие данные собирает и хранит инструмент. Для анализа событий важно собирать исторические данные, однако не все NTA инструменты сохраняют их. Нужно четко понимать, какие данные вам важнее всего, чтобы найти самый оптимальный вариант для своих потребностей и бюджета.
  5. Некоторые инструменты DPI захватывают и сохраняют все пакеты, из-за чего увеличивается качество обнаружения и удобство разбора инцидентов и threat hunting. Это также влияет на цену на устройств, поскольку увеличивается стоимость хранения данных и расширяется функционал анализа. Кроме того, вам нужно будет потратить больше времени, чтобы научиться работать с ними: ведь в таких устройствах множество модулей анализа, включая Machine Learning и другие. Другие инструменты берут на себя больше “тяжелой работы", захватывая полные пакеты, извлекая важные детали и метаданные для каждого протокола. Такой метод извлечения метаданных значительно сокращает объем данных, но при этом сохраняет читаемые и полезные детали, которые подходят как для сетевых, так и для ИБ-специалистов.

Подведем итоги

NTA – это современный метод обнаружения вредоносных программ, аномалий различного типа, также используемый для максимизации производительности сети и предупреждения атак. Наряду с агрегацией журналов, UEBA и данными конечных точек, сетевой трафик является основным элементом комплексного анализа видимости и безопасности для быстрого обнаружения угроз и их последующего устранения. При выборе NTA решения помните про существующие "слепые зоны" в вашей сети и источники данных, информация из которых вам необходима. Интегрировав NTA в качестве уровня к вашему решению для управления информацией и событиями безопасности (SIEM) вы получите еще больше данных о вашей среде и ваших пользователях.