Привет, Хабр!
На связи Станислав Грибанов, я руководитель продуктового направления компании «Гарда», автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса».
Сегодня хочу поговорить о пользе NetFlow и сетевой телеметрии для защиты сетей от хакерских атак.Тема эта не новая, но вокруг неё до сих пор существует множество противоречий.
Сетевая телеметрия часто воспринимается как артефакт из мира сетевых инженеров, а не как серьёзный инструмент информационной безопасности. Как правило, это связано с ошибочным восприятием NGIPS-систем, как аналога NTA. В этом случае основной считается функциональность сигнатурного детектирования атак, которая требует для работы только сырой трафик. При этом методы поведенческого анализа, машинного обучения и других несигнатурных техник в таких системах являются комплиментарными и не формируют ядро детектирующей логики.
Например, решение Cisco SourceFire NGIPS (datasheet 2013 года) также использует только сырой трафик, а его функциональность очень сильно пересекается с типовым отечественным анализатором сетевого трафика, позиционирующим себя, как NTA или NDR. Продукт Cisco опирается на сигнатурные методы, анализ payload, репутационные базы и комплиментарно использует машинное обучения для детекта ВПО типа червей.
Из-за подобного ошибочного восприятия на российском рынке сформировалось массовое заблуждение: для поиска угроз в сети нужен только анализ сырого трафика, а телеметрия для этого не подходит.
Под катом я расскажу, как можно детектировать угрозы на основе метаданных сетевого трафика без анализа payload, в частности, сетевой телеметрии.
Что такое сетевая телеметрия, и зачем она нужна
Как ни странно, здесь часто возникает путаница. Некоторые ошибочно относят к сетевой телеметрии данные, собираемые агентами endpoint protection. На самом деле это не так.
Сетевая телеметрия — это статистика сетевых потоков, собираемая с сетевого оборудования уровня L2 и выше: коммутаторов, маршрутизаторов, межсетевых экранов и других устройств. Самый распространённый протокол для сбора такой телеметрии — NetFlow.
Немного истории
NetFlow — стандарт сетевой телеметрии, разработанный компанией Cisco в 1996 году. Фактически он стал синонимом термина «сетевая телеметрия» и самым массовым инструментом для анализа того, что происходит в сети. Существует несколько версий протокола; десятая версия известна как IPFIX (Internet Protocol Flow Information Export).
На базе NetFlow строятся решения класса NPM (Network Performance Monitoring). Например, решение известного вендора SolarWinds (уже ушедшего из России). Некоторые производители используют собственные протоколы телеметрии: NetStream (Huawei), JFlow (Juniper), AppFlow (Citrix).
Зачем нужна сетевая телеметрия
NetFlow позволяет детектировать угрозы в сетях, в которых сложно или невозможно получить копию сетевого трафика. Вот для примера пара таких случаев.
Первый пример — ЦОД. Он обрабатывает огромные потоки данных в сотни Гбит/с, сложность и высокая стоимость анализа такого объёма сырого трафика делают Netflow единственным источником данных о сети в ЦОД.
Ещё вариант — геораспределенные децентрализованные сети с большим количеством отдельных точек выхода в интернет: магазины, небольшие офисы, образовательные или медицинские учреждения и т.п. Снять копию трафика (SPAN) в таких сетях бывает сложно из-за устаревшего оборудования, ограничений каналов связи или сетевой топологии.
Источники телеметрии
Для сбора сетевой телеметрии есть довольно широкий спектр оборудования разных производителей: от класса Enterprise, такого как Cisco, Huawei, Eltex, Juniper, Extreme, Fortinet, до решений уровня SoHo, включая Mikrotik, D-Link, TP-Link, Zyxel, Asus и других.
Сэмплирование: когда телеметрия становится бесполезной для ИБ
Важный нюанс: задачи информационной безопасности существенно ограничивает использование сэмплированной (сокращённой) телеметрии, например, sFlow. При сэмплировании мы теряем метаданные по каждой сессии — частотность коммуникаций, индивидуальные объёмы сессий, точные количественные параметры.
Всё это «ломает» признаки, необходимые для построения прогнозов нормального поведения хоста и детектирования аномалий.
Для целей ИБ необходима полная телеметрия без сэмплирования.
Что даёт IPFIX? Ключевые параметры
Данные, получаемые из сетевой телеметрии, уже не раз разбирались, но я всё же повторю несколько интересных параметров IPFIX:
IP- и MAC-адреса отправителя и получателя;
порты отправителя и получателя;
транспортный протокол;
TCP-флаги, включая причину завершения потока;
продолжительность потока (начало и конец);
количество пакетов и объём данных потока;
автономные системы (AS);
тип сервиса (TOS);
приложение (аналог DPI) — если поддерживается на стороне экспортёра;
метаданные HTTP: user-agent, content type и другие параметры.
Интересно, что сетевое оборудование Cisco поддерживает собственный DPI — NBAR, который содержит обширную базу протоколов и приложений уровней L3–L7. В ином случае данные DPI могут быть переданы экспортёром в IPFIX, например, NGFW.
ИБ-сценарии, для которых можно применять анализ на основе сетевой телеметрии
Репутационный анализ (Threat Intelligence Feeds)
Самый простой вариант — проверка IP-адресов по репутационным базам (TI feeds). Например, в нашем продукте «Гарда NDR» мы используем данные Threat Intelligence. Это фиды, включающие:
C&C (командно-контрольные центры);
активность ботсетей;
DDoS;
криптомайнинг;
TOR, прокси;
фишинг, вредоносное ПО;
брутфорс, спам, подозрительные хосты.
В расширенной версии TI feeds доступны дополнительные поля обогащения: автономные системы, дата последней активности.
Но IP — это только начало. Как быть с именами хостов, которых в стандартной телеметрии нет? Мы используем модуль анализа DNS-запросов к корпоративным DNS-серверам и собственную систему обогащения метаданными сессий на этапе их сборки из пакетов. Это позволяет проверять хосты на соответствие спискам TI feeds. Виды репутационных списков могут быть самыми разными — главное, чтобы они содержали поддерживаемые параметры, такие как IP, имена хостов и др.
Корпоративная инфраструктура и Shadow IT
Базовых данных IP/MAC достаточно, чтобы формировать профили подсетей по IP или портам, детектировать новые протоколы, IP-адреса или нарушение правил сетевой сегментации на межсетевых экранах.
А если нет DPI и известен только порт? Мы в этом случае используем собственную базу соответствия портов и протоколов, которая помогает выявлять нестандартные порты для известных протоколов. Понятно, что такой подход эффективен только для статических портов. Для динамических потребуется извлечение applicationId.
С помощью сетевой телеметрии можно также детектировать некорпоративные DNS, DHCP или даже поддельные контроллеры домена. Логика проста: ищем трафик вне заданных корпоративных ресурсов. Для этого используются группы пользовательских активов. Мы применяем конструктор логических групп активов с поддержкой иерархии, чтобы масштабировать логику детектирования на территориально распределённые объекты. Например, для DHCP детектируем использование портов 67/68 для всех хостов, не входящих в группу DHCP-серверов.
Анализ портов и протоколов также помогает выявлять, например, нарушения сегментации сети, проброс удалённого доступа и другие инциденты.
При обогащении телеметрии данными о пользователях и хостах (например, из Windows Event Collector) можно отловить использование привилегированных учётных записей или увидеть недопустимые события авторизации.
Детектирование атак: от сигнатур к поведению
И так мы подходим к самому интересному — детектированию атак на основе телеметрии. Здесь кроется принципиальное отличие NDR от NGIDPS.
В чём же разница?
IDPS опирается на заранее известный вредоносный payload или характерные сигнатуры, которые доступны только в полной копии трафика. В случае шифрованного трафика NGIDPS может работать только с цифровыми отпечатками и только для известных угроз. Да, часть вертикального трафика можно расшифровать через MITM, но не весь. Многие приложения не поддерживают MITM, их приходится исключать, предоставляя атакующему возможность для туннелирования.
Особенно сложно с горизонтальным зашифрованным трафиком внутри сети. Он не проходит через граничный NGFW, и расшифровать его MITM-прокси в одном месте невозможно. Даже если внутри сети установлен NGFW, он обычно закрывает только ядро или ЦОД, а сегменты, коммуницирующие напрямую в обход ядра, всё равно остаются «слепыми».
Таким образом, в любой инфраструктуре есть зоны, где NGIDPS на основе анализа payload неэффективен. То же касается инструментов Red Team с открытым исходным кодом: на каждый можно написать сигнатуру, но модификация инструмента делает сигнатуры бесполезными. APT-группировки как раз используют кастомизированные инструменты.
Как детектировать атаки в сетевой телеметрии без payload
Ответ — несигнатурными методами через построение профилей нормального сетевого трафика и выявление аномальных отклонений. Этот подход известен как NTA (Network Traffic Analysis) и появился ещё в 2017 году. Пионерами несигнатурного детектирования с использованием машинного обучения стали Vectra (с 2011 года) и Darktrace (с 2013 года).
С 2020 года NTA эволюционировал в NDR. В 2025 году Gartner выпустила первый квадрант для сегмента NDR (Network Detection and Response). Все четыре лидера квадранта используют в своей работе сетевую телеметрию.
С точки зрения несигнатурного анализа разница между полным захватом трафика и телеметрией — в объёме метаданных. ML-модели для детектирования аномальных отклонений от нормального поведения работают именно с метаданными (похоже на принцип Zeek), а не с payload, как IDPS.
Почему сетевая телеметрия становится новым трендом
Встаёт закономерный вопрос: «Почему переход на телеметрию стал трендом именно сейчас?». Дело не только в эффективности алгоритмов, но и в физической невозможности использовать старые методы в современных инфраструктурах. Классический подход с анализом полной копии трафика (SPAN) упирается в бурный рост объёма приватной и публичной облачной инфраструктуры. Причём как с точки зрения возможностей анализа больших объёмов, так и сточки зрения стоимости.
Мировой тренд: облака и телеметрия
Анализ огромных объёмов данных в облаках (Amazon, Google, Azure) — современный мировой тренд. Облака поддерживают специфичный формат сетевой телеметрии — VPC Flow Logs.
Именно для работы с телеметрией в облаках Vectra приобрела стартап Netography, специализирующийся на облачной безопасности, а также на анализе NetFlow, sFlow, IPFIX и VPC Flow Logs. Основатель Netography — Марти Роуч (Marty Roesch), создатель и разработчик IDPS Snort, основатель компании SourceFire, поглощённой Cisco.
Символично, что основатель классической легендарной IDPS теперь развивает анализ сетевой телеметрии.
Ситуация в России
В РФ по-прежнему доминирует on-prem-инфраструктура, но потребность в анализе больших объёмов данных никуда не уходит. Фактически в enterprise публичные облака заменены частными.
Главное преимущество сетевой телеметрии — её размер. Он составляет примерно 5–10 % от объёма сырых данных. Особенно это важно при высокой утилизации каналов и больших объёмах трафика.
Детектирование угроз на основе поведенческого анализа в сетевой телеметрии
Теперь — к сути. Как именно детектировать угрозы в сетевой телеметрии?
Спойлер: ровно так же, как и на копии трафика — по метаданным.
Это использование определённых признаков для каждого хоста, построение его профиля (baseline) и выявление аномальных отклонений. Признаки должны быть доступны в телеметрии или могут обогащаться внешними данными.
Использование ML позволяет сравнивать поведение хоста с его прогнозируемым профилем. Его можно строить двумя способами:
исторически — сравнивая хост с самим собой за прошлые периоды;
по схожести — сравнивая хост с другими хостами, изначально похожими на него.
Для построения профилей применяются модели unsupervised learning (обучение без учителя). Они обучаются на данных прямо на площадке.
Для некоторых типов атак эффективнее анализировать пары («отправитель –получатель») с индивидуальным прогнозом для каждой пары. Например, это важно для брутфорс, password spraying или туннелей.
Для повышения точности детектирования крайне важно:
формировать индивидуальные профили для каждого хоста или пары (а не группы);
использовать небольшие временные интервалы (например, всплеск сессий за пять минут ярко выражен, а за пять часов — размыт).
Также unsupervised learning можно использовать для детектирования определённых типов атак. Например, коммуникаций с C&C или C2, и применения туннелей для их маскировки. Для детектирования некоторых ВПО можно использовать ML-модели, обученные на датасетах с примерами вредоносного и нормального трафика.
Для работы на сетевой телеметрии признаки ML-модели должны поддерживаться в сетевой телеметрии.
Данный подход был реализован в Encrypted traffic analysis от компании Cisco. В решении SNA (бывший Stealthwatch) на базе обогащённой сетевой телеметрии зашифрованного трафика вендор классифицировал различные потоки, содержащие разные типы угроз.
Пример детектирования горизонтального перемещения
Для обнаружения горизонтального перемещения с использованием легальных протоколов (RDP, SSH и другие) можно отфильтровать соответствующие сессии и построить прогноз нормального количества сессий для каждого хоста или пары. Если же объединить хосты в группы по схожести количества сессий и построить групповой прогноз, то небольшой аномальный всплеск сессий для конкретного хоста может быть «размыт» завышенным общим значением группы.
Точность детектирования кратно повышается, если предварительно фильтровать сессии и привязывать их к элементам инфраструктуры. Это похоже на настройку IDPS: требуются данные о сетях и серверах — HOMENET, DC_SERVERS, DNS_SERVERS, HTTP_SERVERS, SMTP_SERVERS и др.
Повышение точности с помощью TI feeds
Обычно время жизни вредоносного IP составляет несколько часов. Точность детектирования можно увеличить, добавив в признаки сессий, на которых обучается модель ML, наличие индикаторов TI feeds. Если поведенческая модель указывает на аномалию и при этом IP присутствует в TI feeds, уверенность в компрометации хоста становится крайне высокой.
Какие атаки можно обнаружить с помощью поведенческого анализа и ML
Вот лишь неполный список таких атак, который возможно обнаружить благодаря поведенческому анализу и ML.
Атака |
Что именно детектируется (поведенческий паттерн / признак для ML) |
Сканирование портов и хостов, включая медленное |
Нехарактерный для хоста или пары «отправитель–получатель» всплеск коротких сессий к IP или к нескольким портам. |
|
Брутфорс, pass-the-spray-атаки
|
Нехарактерный для хоста или пары «отправитель–получатель» всплеск сессий протокола или порта, соответствующих авторизации по параметрам сессии. |
|
Эксфильтрация данных (в том числе медленная и автоматизированная)
|
Нехарактерный для хоста или пары «отправитель–получатель» всплеск объёма трафика протокола или соответствующего порта. В случае медленной эксфильтрации периодическая отправка пакетов между парой IP, имеющая признаки маскировки коммуникаций. |
|
Различные виды туннелирования
|
Нехарактерный для хоста или пары «отправитель–получатель» всплеск объёма трафика или периодическая коммуникация с признаками маскировки. |
|
Горизонтальное перемещение, включая использование легальных протоколов (Living off the Land)
|
1. Нехарактерный для хоста всплеск длительных горизонтальных сессий по протоколу удалённого управления. 2. Появление протокола удалённого доступа горизонтального направления, нехарактерного для хоста или группы хостов, которые ранее вели себя в сетевом трафике похожим образом. |
Коммуникации с C&C, включая использование Jitter |
Периодическая отправка пакетов между парой IP, имеющая признаки маскировки коммуникаций С&C. |
|
Криптомайнинг
|
Периодическая отправка специализированных пакетов между парой IP, имеющая признаки майнинга. |
|
Внутренний прокси-сервер
|
Нехарактерный для хоста всплеск специфических сессий по протоколам или портам, используемым пивотами. |
Сбор данных из репозиториев конфигураций (например, дамп MIB через SNMP) |
Нехарактерный для хоста или пары «отправитель–получатель» всплеск специфических сессий по протоколу SNMP или по порту. |
Появление новых сервисов и IP-адресов |
Нехарактерные порты для IP или нехарактерные IP для сети. |
Подмена LLMNR/NBT-NS-ответа и ретрансляция SMB |
Нехарактерный для хоста всплеск сессий, имеющих признаки подбора хэшей. |
|
DoS/DDoS, SYN-флуд
|
1. Нехарактерный для хоста всплеск сессий с соответствующими сетевыми флагами. 2. Нехарактерный для хоста всплеск объёма ответного трафика. 3. Повторение поведения у нескольких хостов. |
Использование нестандартных портов |
Несоответствие используемых портов базе. |
|
Компрометация учётных записей (при обогащении сессий)
|
Использование привилегированных учёток (администратор) или нетипичная авторизация пользователей. |
Компрометация хостов по различным признакам |
1. Нехарактерные всплески сетевой активности по различным признакам. 2. Смещение сетевого профиля хоста. Например, нехарактерное изменение сетевого поведения. 3. Нехарактерное направление коммуникаций. |
Аномалии ICMP трафика |
Различные варианты нехарактерных ICMP-потоков. |
Аномальные паттерны сетевых флагов |
1. Аномальные последовательности сетевых флагов. 2. Пропуск флагов, требуемых для нормального TCP-соединения. |
Что не поддерживается на базе сетевой телеметрии?
Важно понимать не только возможности, но и ограничения сетевой телеметрии. Первое — это IDPS. Любая логика, требующая анализа payload или содержимого команд протокола, на одной сетевой телеметрии невозможна. Второе — глубокий анализ содержимого прикладных протоколов.
Заключение
Сетевая телеметрия не является заменой полного анализа сетевого трафика. Однако она становится мощным инструментом информационной безопасности в тех случаях, где анализ трафика невозможен или сильно ограничен:
при высоких нагрузках на сеть (сотни гигабит и выше);
в территориально распределённых сетях со множеством точек выхода;
в облачных средах с огромными объёмами передаваемых данных (VPC Flow Logs).
Главный миф о том, что NetFlow — это «только для ИТ», давно опровергнут практикой. Современные NDR-решения строятся именно на несигнатурном анализе метаданных сетевого трафика, а не только на сигнатурах систем IDPS.
Этот факт подтверждает и наша аналитика. По данным проведённого нами исследования, более 50% решений класса NDR на мировом рынке работают с сетевой телеметрией и её аналогами.
ajaxtpm
Сможет ли анализ сетевой телеметрии netflow выявить попытку эксплуатации уязвимости на веб сервере в dmz?
QSertorius Автор
Кирилл Шипулин, приветствую.
Очень широкий вопрос без вводных, отвечу также в широком смысле.
Если телеметрия собирается с сегмента и эксплуатируется уязвимость соответствующая одному из типов атак, которые я описал, то ее можно задетектировать.
Если уязвимость не соответствует, то нет.
С другой стороны, если эта уязвимость zero-day или отсутствует в базе IDPS на момент атаки, то IDPS ничего не увидит даже на полной копии трафика.
ajaxtpm
Старался быть максимально конкретным, извините
Не очень понял о каких именно типах атак выше вы говорите, но в целом, анализ сетевых логов никоим образом не может заглянуть внутрь пакетов и проверить была там попытка эксплуатации хотя бы даже известной уязвимости. А между прочим - это база всех баз для сетевых систем защиты. Ведь даже в каждой системе NGFW существует модуль IPS, задача которого - именно блокировать эти попытки эксплуатации уязвимостей автоматически.
Вот что насчет 0day атак, тут я с вами не соглашусь. Существует немало признаков, которые прямо или косвенно помогают задетектировать 0day атаку, что многократно подтверждалось на практике. Если хотите - я напишу статью где расскажу об этом подробней. Один лайк и я начинаю писать.
QSertorius Автор
Кирилл,
1. О типах атак указанных в разделе "Какие атаки можно обнаружить с помощью поведенческого анализа и ML" статьи.
2. Я не отрицаю, что IDPS нужен, но это именно база, и не основа для NTA и тем более NDR.
В разделе "Заключение" описано, что это не замена сетевого трафика, но есть предпосылки, которые описаны в статье, которые делают ее анализ актуальнее.
3. Если говорить про эксплуатации уязвимости, ее можно задетектить если она опирается на что-то нестандартное - всплеск сессий, слишком длительные сессии, нехарактерный протокол для хоста с которого идет эксплуатация или увеличившийся размер ответ хоста, который атакуют.
И это будет аномалия, похожая на какую-то атаку, или нетиповое поведение хоста, а не детект конкретной уязвимости.
Если для эксплуатация используется условно одна сессия, и уязвимость опирается на специфический запрос, то действительно такую эксплуатацию без кастомных полей будет тяжело задетектировать.
Первые пришедшие в голову кастомные поля IPFIX, это httpUserAgent, httpContentType, httpReasonPhrase.
Так же после эксплуатации уязвимости можно будет задетектировать аномальное поведение скомрометированного хоста.
4. Если zero-day уязвимости можно детектировать только сигнатурами, зачем заказчикам покупать такие продукты, как WAF, sandbox, EDR и крайнедорогостоящие составители цепочек событий или векторов проникновений хакеров внутрь?
И опять же почему тогда почти всех мировых лидеров производителей NGFW с IPS на борту(Palo Alto, Fortinet и т.п.) ломали zero-day уязвимостями в прошлом году?
ajaxtpm
Станислав. Благодарю. Но хотел бы подметить что теоретическая возможность обнаружения и построение качественного детекта атаки - совершенно разные вещи.
К сожалению, хотим мы того или нет, но выявление аномалий по слишком длительным сессиям, нехарактерному протоколу или увеличенному ответу хоста не даст ожидаемого результата и не будет приносить оператору СЗИ ничего, кроме головной боли по разгребанию фолзов. Интернет, сети и сами инфраструктуры - слишком живая среда, чтобы она подчинялась строгим правилам. А если такой детект и обнаружит какую-либо атаку, то скорее всего к тому моменту ему никто уже не будет верить. К тому же совершенно необязательно, что успешная эксплуатация уязвимости в целом вызовет такие аномалии.
Гораздо эффективнее в этом плане просто-напросто извлекать индикаторы компрометации из попыток эксплуатации уязвимостей и проверять обращения к ним. Такая простая логика позволит наверняка выявлять успешные попытки эксплуатации и операторам не придется разгребать фолзы. Такие детекты уже есть и они работают. Получается, что именно анализ содержимого сетевых пакетиков является как раз таки основной качественных детектов NTA/NDR/IDS/IPS систем. Пользователи будут отдавать предпочтение той системе, которая срабатывает только на хакера или вредоносное ПО, а не той, где необходимо разгребать тонны аномалий на слегка увеличившийся ответ сервера.
По поводу зеродей - я не утверждал что все зеродеи в мире можно гарантированно детектировать только сигнатурами. Но признаки успешной эксплуатации сетевых эксплоитов нулевого дня получается находить в большинстве случаев. И мы находим. А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов.
Вы как будто меня забайтили, но я все равно расскажу про другие средства: WAF гораздо лучше понимает тонкости работы разных веб-движков и гораздо лучше умеет обнаруживать веб-атаки типа SSRF, XSS, CSRF и SQL инъекции - традиционно слабое место IDS/NTA/NDR систем и в принципе их задача - защита именно веб-приложения, а не всей инфраструктуры. Sandbox в принципе анализирует поведение и детонацию вредоносных файлов, и кстати, IDS/NTA/NDR как раз и рекомендуется ставить с ними в паре. Системы анализа трафика в принципе не способны проанализировать локальные эксплоиты, зачем вы вообще об этом спросили. Пользователь может скачать по сети запароленный архив с эксплоитом - именно тут вам и нужны антивирусные средства, системы EDR и сендбоксы ...
QSertorius Автор
Кирилл, спасибо за ответ.
1. Я не оспариваю вашу экспертизу в создании сложных сигнатур и анализе угроз.
2. "К сожалению, хотим мы того или нет, но выявление аномалий по слишком длительным сессиям, нехарактерному протоколу или увеличенному ответу хоста не даст ожидаемого результата и не будет приносить оператору СЗИ ничего, кроме головной боли по разгребанию фолзов" - это опыт эксплуатации конкретного продукта?
Мировой опыт опровергает это утверждение, в частности такими вендорами, как Vectra.ai, ExtraHop или DarkTrace.
ML не как комплиментарная функция к IDS,а как основа детектирующей логики.
И это вопрос не просто длительных сессий, а конкретных сессий, которые соответствуют определенным сетевым операциям, это также вопрос широты и возможностей фильтры метаданных сессий в конкретном продукте.
И так же логикой работы построение модели нормального поведения, если прогноз строятся на интервалы по 12 часов и не для каждого хоста, а на большие группы, то да в этом случае действительно тяжело что-то задетектировать.
Более того фолзы могут быть от любой технологии, включая сигнатуры.
Конечно с сигнатурами проще, так как они опираются на известный вредосносный payload, если трафик зашифрованный тут возможности детектирования сильно деградируют до уровня JA-отпечатков, что является совершенно не достаточным в качество единственного средства детекта.
С точки зрения аномальных отклонений, если использовать просто количество сессий без контекста, то действительно будет много фолзов, подробности как их снизить описаны в статье.
Как типовой пример для DMZ, если там используется прокси-сервер для обновлений, который только должен ходить в интернет и не выходить в горизонтальный трафик, то при его компрометации и появлении нехарактерных горизонтальных сетевых пакетов например по 80,443 или другим портам ML задетектирует их в сетевой телеметрии.
Это будет признаком для анализа самого запроса уже на хосте куда они летали, даже если трафик зашифрованный.
В той же ситуации IDS задетектирует только факт известной атаки и в открытом трафике, в остальное случае это будет гораздо сложнее и с большим количеством фозлов.
И это опять же пример для DMZ, а как быть в случае если это магазин или небольшой склад, пункт выдачи и любой другой объект с собственным каналом в интернет и вне топологии звезда для которого не подать спан вообще?
Просто не смотреть трафик вообще? Как защитить умные весы, кассы, видеокамеры на таких площадках?
3."Получается, что именно анализ содержимого сетевых пакетиков является как раз таки основной качественных детектов NTA/NDR/IDS/IPS систем. " - не согласен с этим тезисом.
Мы используем иностранную классификацию и не можем как угодно присваивать классы продуктов, когда это выгодно вендору.
Для примера никто сейчас в здравом уме не сможет сказать, что в 2 движка потовых антивирусов это песочница, так как с 2015 года у нас было активное внедрение иностранных решений, который использовали детонацию.
Анализировать сетевой трафик можно по разному, если упор в анализе сырого трафика делается на соответствию payload, то это функционал IDPS или NGIDPS. Если продукт не отличается концептуально от Cisco NGIPS 2013, то это NGIPS или NGIDS.
Если есть какой-то международный опыт, который это опровергает эту классификация, просьба его показать.
Я не нашел ни одного источника, который бы говорил, что NTA опирается на сигнатуры.
Но я нашел, что Gartner исключал NTA из своего анализа которые" Primarily use rules, signatures or reputation for detection capabilities"
То есть фактически использующие функционал IDPS, но маркетингово позиционирующие себя, как NTA.
И в NDR функционал IDS был включен только в 2025 году у Gartner, и с момента NTA Gartner указывает возможность сетевой телеметрии, а не только сетевого трафика.
Я просмотрел еще 4 различных аналитических отчета IDC, KuppingerCole, Gigaom, QKS по NDR и ни один не утверждал, что детектирование базируется только на сыром трафике через IDS или анализ payload.
4." И мы находим. А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. "
В цитате написано во время расследования благодаря записи исходного трафика: "Но благодаря записи исходного трафика в PT NAD во время расследования мы смогли установить вектор эксплуатации неизвестной ранее уязвимости "
Здесь не написано, что сигнатурное правило задетектировало уязвимость 0-дня.
Вот примеры детектов zero-day от вендора Darktrace без сигнатур.
5."А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. " - я уже писал про zero-day в самих NGFW, таких как Palo Alto или Fortinet.
Почему мировые лидеры с огромными бюджетами и количеством экспертов не смогли защитить свои NGFW имея IPS встроенные и облачные сети с телеметрией атак от zero-day?
Как вы предлагаете это сделать имея десятки раз меньшие возможности?
6. "Вы как будто меня забайтили" я не байтил, но по описанной логике тогда сигнатур и анализ payload должно хватить и на сети, и на агентах и все остальное не нужно.
Зачем EDR, если нужно просто уметь правильно писать сигнатуры для антивируса?
Зачем компании типа CrowdStrike тратят миллиарды $ на R&D, если можно просто правильно написать сигнатуры?
Зачем делать детонацию с песочнице, если можно правильно написать сигнатуры для потоковых?
У вас же был мультисканер, но вместо него почему-то сейчас песочница.
Опыт wannacry и petya показал неэффективность сигнатурных средств защиты, что по сути и дало старт развитию таких продуктов как Sandbox, EDR и NTA.
"Пользователь может скачать по сети запароленный архив с эксплоитом - именно тут вам и нужны антивирусные средства, системы EDR и сендбоксы ... " система NDR, если она действительно NDR, а не мимикрирующий под NDR IDS, должна определить аномальное поведения хоста после эксплойта, даже если она не детектит сам эксплойт.
Можно даже разбить направления:
Prevent - IDS заранее известные немодифицированные угрозы с открытом трафике
Detect - поведенческий анализ и ML уже при компрометации или при заранее неизвестной угрозе.
ajaxtpm
Ну и накатали вы конечно текста Станислав! Хоть в отдельную статью оформляй. Искренне завидую количеству вашего свободного времени, раз вы успели еще и четыре аналитических отчета изучить. Но не могу не подметить вашу искреннюю любовь к иностранным продуктам, иностранным маркетинговым статьям и методологиям. В этом нет ничего плохого, но у нас и на Российском рынке есть потрясающие решения, которые зададут жару иностранным аналогам.
Все в ваших словах складно, но лично я предпочитаю опираться не на маркетинговые материалы, а на суровый практический опыт. Так уж вышло, что мне довелось попробовать и иностранные решения: в них есть немало интересных функций, но без сигнатурного движка их детекты заметно слабеют и ведут себя нестабильно. А предсказуемость системам защиты точно не помешает.
В системах NTA/NDR совершенно точно есть и поведенческий анализ и ML и сигнатурный движок, но кого там больше и кто из них главнее - это уже предмет манипуляций. Я все-таки останусь при своем, что поведенческие модули и ML-алгоритмы это очень круто и полезно, но такой точности в детектировании и предсказуемости, как у сигнатурного анализа - вы больше нигде не найдете (репсписки не считаем). И кстати, зашифрованный трафик хоть и усложняет дело, но его также прекрасно (и успешно) можно анализировать сигнатурами и находить в нем активность вредоносных программ. Могу написать об анализе побочного канала зашифрованных соединений другую статью, но лучше вы посмотрите наши исследования по анализу зашифрованных соединений SSH и VPN-протоколов в новом номере Positive Research который выйдет вот-вот совсем скоро. Очень горжусь нашими результатами.
Напоследок скажу еще свое личное мнение - вся индустрия анализа сетевого трафика как будто не раскрыла возможности сигнатур до конца и готовила его неправильно. Просто подумайте на досуге над той концепцией, что самый большой набор open source сигнатур в принципе разрабатывался для IDS систем. То есть для систем, где вы не сможете проверить фолз/не фолз и успешно/не успешно. В IDS нельзя посмотреть поля протоколов или скачать PCAP-файл и убедиться что там действительно что-то плохое. Ей можно только верить или не верить. Именно поэтому самый большой и открытый набор сигнатур ET Open так много и так часто срабатывает на все подряд - у них нет другого способа дать еще немного контекста вокруг одних алертов, кроме как другими алертами. И винить их в этом не стоит. А в системах NTA/NDR мы напротив можем позволить себе сделать упор на качество и срабатывать реже, но по делу. Именно поэтому набор наших собственных сигнатур в нашем NTA/NDR-решении кардинально отличается от всех остальных. А уже эти данные в том числе служат базой для ML и поведенческих алгоритмов анализа.
Вы затронули и много других тем, все это можно обсудить во время какого-нибудь прямого эфира :) Хороших вам выходных