Импортозамещение: какие отечественные системы NTA / NDR выбрать

Импортозамещение: какие отечественные системы NTA / NDR выбрать

Импортозамещение: какие отечественные системы NTA / NDR выбрать

Системы анализа трафика, обнаружения и предотвращения атак (NTA / NDR) — третий «кит» в работе современного центра мониторинга и реагирования (SOC). Вместе с SIEM и EDR этот сегмент образует триаду, способную обнаружить сложную угрозу и быстро на неё ответить. Разберёмся, какие российские NTA / NDR представлены на рынке сегодня.

 

 

 

 

 

  1. Введение
  2. Варианты импортозамещения NTA / NDR
  3. Выводы

Введение

Системы анализа трафика (Network Traffic Analysis, NTA) — молодой класс продуктов, которые перехватывают и изучают сетевые коммуникации. Их задача — в том, чтобы обнаружить и расследовать сложные и целевые угрозы, аномальное или вредоносное поведение в сети.

NTA / NDR справляются с обработкой сложных инцидентов, обогащают данными базу SOC и сокращают время и ресурсы на анализ, проверку и реакцию. Кроме того, они полезны для решения сложных задач информационной безопасности, от контроля регламента до расследования инцидента.

Варианты импортозамещения NTA / NDR

NTA- / NDR-системы подходят компаниям большого и малого размера, в которых выстроены гибридные, облачные и локальные сетевые архитектуры. В основу решений этого класса заложены машинное обучение и поведенческий анализ. В таблице ниже мы собрали сведения о шести отечественных продуктах, их вариантах поставки, государственной и добровольной сертификации, функциональных особенностях.

 

Таблица 1. Варианты импортозамещения систем анализа трафика (NTA), обнаружения и предотвращения атак (NDR)

NTA / NDR зарубежных производителей

Отечественные аналоги

Варианты поставки отечественных
NTA / NDR

Государственная сертификация и сертификация AM Test Lab

Функциональные возможности отечественных NTA / NDR

Awake Security Platform

Bricata 

Cisco StealthWatch

Corelight Sensor

Corvil Security Analytics

Darktrace Enterprise Immune System

ExtraHop Reveal(x)

FireEye SmartVision

GREYCORTEX Mendel

HighBar SS8

Hillstone Networks Server Breach Detection System

HPE Aruba Networks IntroSpect

IronNet Cybersecurity IronDefense

Lastline Defender

LogRhythm NetworkXDR

Palo Alto Networks Cortex XDR

Plixer Scrutinizer

RSA NetWitness Network

Vectra Cognito Detect

Verizon Network Detection and Response



EtherSensor
(Microolap Technologies)

> > > >

Программный комплекс

Зарегистрирован в «Едином реестре российских программ для электронных вычислительных машин и баз данных» Минцифры РФ под № 5034 от 03.12.2018.

Сертификат AM Test Lab № 178 от 18.11.2016,

закончил действовать 18.11.2021

Анализ сетевого трафика в режиме реального времени; распознаёт сообщения, файлы, сетевые события

Group-IB TDS
(Group-IB)

> > > >

Программный комплекс

Сертификат

ФСТЭК России № 3850 от 05.11.2019, срок действия — до 05.11.2024

Киберразведка, криминалистика, машинный интеллект, страховой полис

Kaspersky Anti Targeted Attack Platform (КАТА)
(«Лаборатория Касперского»)

> > > >

Программно-аппаратный комплекс

Сертификат ФСТЭК

России № 3854 от 19.12.2018, срок действия — до 27.12.2025

Быстрое масштабирование,

встроенный инструментарий для написания собственных правил обнаружения

PT Network Attack Discovery
(Positive Technologies)

> > > >

Программно-аппаратный комплекс

Сертификат ФСТЭК России № 4042 от 30.11.2018, 

срок действия — до 30.11.2023

Сертификат AM Test Lab № 278 от 16.01.2020,

срок действия — до 16.01.2025

Раннее выявление атак и сокращение времени скрытого присутствия угрозы, эффективное расследование инцидентов в ИБ, выполнение требований регулирующих органов

ViPNet Coordinator KB 4
(«ИнфоТеКС»)

> > > >

Программно-аппаратный комплекс

Сертификаты соответствия ФСБ России: № СФ/525-3853 от 17.06.2020, № СФ/124-4167 от 08.12.2021, № СФ/124-4215 от 21.01.2022

Межсетевое экранирование, криптографическая защита данных, широкий модельный ряд

«Гарда Монитор» («Гарда Технологии»)

> > > >

Программно-аппаратный комплекс

Зарегистрирован в «Едином реестре российских программ для электронных вычислительных машин и баз данных» Минцифры РФ под № 3521 от 03.05.2017.

Сертификат AM Test Lab № 295 от 13.07.2020,

срок действия — до 13.07.2025

Выявление атак на периметре и внутри сети, тотальная запись сетевых потоков

 

Выводы

Сегмент NTA-решений продолжает развиваться. На мировом рынке представлены десятки продуктов для поиска угроз в сети и реагирования на них. Российский рынок NTA ещё формируется, но уже предлагает конкурентоспособные высокотехнологичные решения.

4 мая президент Путин подписал указ о дополнительных мерах по кибербезопасности. Документ касается предупреждения, обнаружения и ликвидации кибератак. Во всех государственных организациях должны быть созданы специальные подразделения, которые будут отвечать за безопасность в цифровом пространстве. Дополнительной защитной мерой станет запрет с 1 января 2025 года использовать СЗИ, разрабатываемые в недружественных странах.

Тем полезнее становится этот цикл статей по импортозамещению зарубежных продуктов. Уже опубликованы обзоры по отечественным WAF, средствам защиты от DDoS-атак, NGFW и UTM, системам обнаружения и предотвращения вторжений (IPS / IDS).

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru