Почему даже крупные компании с существенными инвестициями в ИБ регулярно становятся жертвами взлома? Наиболее частый ответ: устаревший подход к безопасности. Защитники пользуются десятками инструментов, но при этом не могут достаточно полно видеть, что происходит внутри их сети — которая теперь чаще всего включает не только привычные физические, но и облачные сегменты. Хакеры активно пользуются украденными учетными записями, действуют через взломанных подрядчиков организации и стараются использовать минимум явно зловредного ПО, предпочитая вполне легальный софт и «инструменты двойного назначения». В такой ситуации инструменты, просто защищающие компьютеры фирмы от вредоносного ПО, могут быть недостаточно эффективны для выявления хорошо продуманных кибератак.
По результатам недавнего опроса, 44% директоров по ИБ жалуются, что пропустили утечку данных, причем 84% связывают это с невозможностью анализировать трафик, особенно зашифрованный. Именно детальный анализ всего трафика организации, включая внутренний, значительно повышает возможности защитников, а реализовать его можно с помощью перспективных систем Network Detection and Response (NDR). В линейке продуктов «Лаборатории Касперского» функциональность NDR реализована в рамках Kaspersky Anti Targeted Attack Platform (KATA).
Оглавление
Старых инструментов ИБ недостаточно
Если описать приоритеты современных злоумышленников всего одним словом, это будет слово «скрытность». И шпионские APT, и атаки банд кибервымогателей, и любые другие угрозы, нацеленные на конкретную организацию, прикладывают существенные усилия, чтобы не быть обнаруженными и затруднить анализ их действий постфактум. Наш отчет о реагировании на инциденты демонстрирует это во всей красе: атакующие пользуются учетными записями настоящих сотрудников или подрядчиков, применяют в атаке только ИТ-инструменты, которые уже есть в системе и применяются сисадминами организации (Living off the Land), а также эксплуатируют уязвимости, позволяющие выполнять нужные задачи от имени привилегированных пользователей, процессов и устройств. В качестве одной из опорных точек в атаках все чаще задействуются пограничные устройства, такие как прокси-сервер или межсетевой экран.
А чем на это отвечает служба ИБ? Если подход к обнаружению угроз в компании проектировался несколько лет назад, возможно, у защитников просто нет инструментов, чтобы вовремя обнаружить такую активность.
Межсетевые экраны — в своем традиционном виде защищают только периметр организации и не помогают обнаруживать подозрительную сетевую активность внутри периметра (например, захват атакующими новых компьютеров).
Системы обнаружения и предотвращения вторжений (IDS/IPS) — имеют весьма ограниченные возможности классических IDS для детектирования активности по зашифрованным каналам, а их типичное расположение на границе раздела сетевых сегментов делает обнаружение бокового перемещения затруднительным.
Антивирусы и системы защиты конечных точек — сложно использовать для обнаружения активности, полностью ведущейся легитимными инструментами в ручном режиме. Более того, в организации всегда есть роутеры, IoT-устройства или сетевая периферия, на которых этой системы защиты и не может быть в принципе.
Что такое Network Detection and Response
Системы NDR обеспечивают детальный мониторинг трафика организации и применение к нему различных правил и алгоритмов для обнаружения аномальной активности. Также в NDR входят инструменты для оперативного реагирования на инциденты.
Ключевое отличие от межсетевых экранов — мониторинг всех видов трафика, текущего в различных направлениях. Так, производится анализ коммуникаций не только между сетью и большим Интернетом (North-South, «север-юг»), но и хостов внутри сети (East-West, «восток-запад»). Не остаются без внимания и коммуникации между системами во внешних сетях и корпоративными облачными ресурсами, а также общение облачных ресурсов между собой. Благодаря этому NDR эффективны в разных инфраструктурах: on-premise, облачных и гибридных.
Ключевое отличие от классических IDS/IPS — использование поведенческих механизмов анализа наряду с сигнатурным анализом.
Помимо анализа соединений, решение NDR сохраняет трафик «в сыром виде». Для анализа таких «слепков» информационного обмена они предлагают целый спектр технологий. NDR может разобрать трафик по целому набору параметров (включая метаданные), не ограничиваясь простыми зависимостями «адрес — хост — протокол». Например, с помощью отпечатков JAx можно идентифицировать характер даже зашифрованных SSL/TLS-соединений и обнаруживать опасный трафик, не прибегая к его расшифровке.
Преимущества NDR в работе ИТ и ИБ
Детектирование угроз на ранних стадиях. Уже первые шаги злоумышленников, будь то перебор паролей или эксплуатация уязвимостей в публично доступных приложениях, оставляют следы, детектируемые средствами NDR. Также NDR, имеющая присутствие не только на границах сетей, но и на конечных точках, отлично приспособлена для обнаружения бокового перемещения по сети, применения атакующими манипуляций с токенами аутентификации, детектирования установки туннелей и обратных шеллов и прочих популярных техник, включающих сетевые взаимодействия.
Ускорение расследования инцидентов. Инструменты NDR позволяют взглянуть на подозрительную активность и шире, и глубже. Диаграммы сетевых взаимодействий показывают, куда двинулись атакующие, откуда они начинали свою активность, а доступ к сырому трафику позволяет восстановить действия злоумышленника и написать детектирующие правила для дальнейших поисков.
Обнаружение внутренних угроз, небезопасных настроек, теневого ИТ. Поведенческий подход к трафику позволяет решать при помощи NDR и профилактические задачи. Различные нарушения политик ИБ, включая применение неавторизованных приложений на личных устройствах; подключение дополнительных устройств к инфраструктуре компании; совместное использование паролей; доступ к информации, которая не нужна сотруднику по работе; применение устаревших версий ПО; запуск серверного ПО без адекватно настроенных шифрования и аутентификации могут быть выявлены на ранних этапах и прекращены.
Обнаружение угроз цепочки поставок. Мониторинг трафика легитимных приложений позволяет обнаруживать незадекларированную функциональность — от несогласованной передачи телеметрии производителю до работы троянизированных обновлений.
Автоматизированное реагирование. Разумеется, буква R в NDR отвечает за такие действия, как изоляция хостов с подозрительной активностью, ужесточение политики взаимодействия сетевых зон, блокировка высокорисковых протоколов или вредоносных внешних хостов. В зависимости от обстоятельств реагирование может осуществляться как вручную, так и автоматически (при выполнении условий «если — то»).
Связь NDR с EDR, XDR, NTA
Руководство ИТ и совет директоров часто задают каверзные вопросы о том, чем разные *DR отличаются друг от друга и почему они нужны одновременно.
NTA (Network Traffic Analysis) — это системы, из которых выросли NDR. В них уже была заложена идея собирать и анализировать весь трафик организации (отсюда и название), но после их практического внедрения стало очевидно, что возможности технологии шире и она может использоваться для оперативного реагирования на инциденты. NDR отличается, в первую очередь, именно возможностями реагирования, в том числе автоматизированного.
EDR (Endpoint Detection & Response) — это системы, которые анализируют киберугрозы на конкретных устройствах в сети (конечные точки, Endpoint). Если NDR позволяет глубоко анализировать связи и общение устройств в организации, то EDR дает такую же детальную картину происходящего на каждом устройстве. Эти системы взаимодополняют друг друга, и только вместе они дают полную картину происходящего в организации и обеспечивают достаточный инструментарий для обнаружения и реагирования.
XDR (Extended Detection & Response) — система, обеспечивающая целостный подход к обнаружению угроз и реагированию на них при помощи агрегации и корреляции данных из множества источников, включая конечные точки, физические и облачные инфраструктуры, сетевые устройства и тому подобное. Это позволяет защитникам видеть полную картину происходящего в сети, объединять события из разных источников в единые предупреждения, применять к ним продвинутую аналитику — и упрощает запуск реагирования. Разные производители вкладывают в XDR немного разный смысл: у кого-то это может быть продукт, включающий функции EDR и NDR, а у кого-то — лишь поддерживающий интеграцию с этими внешними функциями.
Подход «Лаборатории Касперского»: интеграция NDR в экосистему безопасности
Внедрение NDR подразумевает, что в организации уже высокий уровень зрелости ИБ, налажена практика постоянного мониторинга и реагирования, применяются инструменты, обеспечивающие обмен информацией между различными системами, обеспечивая корреляцию и обогащение информации из различных источников данных. Именно поэтому в линейке продуктов «Лаборатории Касперского» модуль NDR расширил возможности Kaspersky Anti Targeted Attack Platform (KATA). Базовая версия KATA реализует такие механизмы, как анализ SSL/TLS-отпечатков соединений, детектирование атак в трафике North-South, выборочный захват трафика для подозрительных соединений и базовые функции реагирования.
В расширенной версии KATA NDR Enhanced становятся доступны все описанные выше функции NDR, включая глубокий анализ и полное сохранение трафика, мониторинг внутрисетевых соединений и автоматизированные функции расширенного реагирования.
Старшая версия KATA Ultra объединяет экспертные возможности EDR и полные функции NDR в полноценное моновендорное XDR-решение.
Блог Касперского