NTA

NTA — решение для выявления ИБ-угроз, сканирующее корпоративную сеть в режиме реального времени. Принцип действия основан на выявлении аномального трафика, как внутри сети, так и на периметре. Использование системы анализа трафика позволяет обнаружить кибератаку на ранней стадии, чтобы вовремя пресечь её развитие.

Как работает NTA

Network Traffic Analysis развились из IDS (Intrusion Detection System, система обнаружения вторжений). Предыдущие решения работали на основе сигнатур — собранных ранее характеристик известных атак, и потому не могли оперативно выявлять изменённые тактики злоумышленников.

В NTA за основу берётся нормальное поведение пользователя в сети, именуемое baseline. Система находит и фиксирует любые отклонения от этой поведенческой модели — аномалии. Например, сервис NTA может выявить установление скрытой связи с внешними серверами или факт передачи данных за периметр в незашифрованном виде.

Поведенческий анализ — не единственный способ выявления атаки в NTA. Сервис комбинирует машинное обучение с индикаторами компрометации и ретроспективным анализом. Так удаётся находить атаки на любом этапе их развития, а не только в самом начале.

Основные функции NTA

1. Непрерывное выявление угроз в режиме реального времени. Сканирование ведётся как на периметре, так и внутри инфраструктуры. Так ИБ-команда может найти злоумышленника даже после его проникновения в сеть.
2. Контролируемая расшифровка трафика. Шифрование повышает безопасность передачи данных, однако может создавать «слепые зоны» для ИБ-решений. Система NTA расшифровывает передаваемые данные и анализирует их без риска для безопасности.
3. Создание профилей нормального поведения. Их наличие для каждого устройства и пользователя позволяет быстро и эффективно выявлять любые аномалии.

Как компании используют NTA

• Выявляют случаи нарушения ИБ-регламента сотрудниками, например, передачу паролей между сотрудниками в открытом виде или использование несанкционированных программ для удалённого доступа.
• Фиксируют нетипичную поведенческую активность, которая может сигнализировать о кибератаке. Так выявляются попытки подключения к внешним облачным хранилищам, сбор сведений об учётных записях администраторах системы и другие сценарии.
• Расследуют уже случившиеся киберинциденты, в том числе неудавшиеся атаки. Например, система уведомляет о нетипичной попытке авторизации в контроллере домена и находит совпадения с предыдущими подобными действиями. Администратор получает результаты и может вовремя заблокировать опасную учётную запись, а ИБ-команда использует эти сведения в расследовании.

Что нужно иметь для NTA

• Профессиональный штат: высокая квалификация специалистов в области сетевой безопасности и форензики.
• Связки со сторонними решениями, например, для антивирусной проверки передаваемых по сети файлов.

Применение NTA в SOC

В центрах обеспечения безопасности SOC (Security operations centers) работает триада средств мониторинга – EDR, SIEM и NTA. Если в процессе кибератаки, злоумышленник сможет успешно преодолеть EDR и SIEM, то именно системы класса Network Traffic Analysis помогут выявить нетипичную активность. Этот сценарий использования распространён как в зарубежной, так и в российской практике. Например, NTA от ГК «Солар» реализован на базе Solar JSOC.