Системы анализа трафика, обнаружения и предотвращения атак (NTA / NDR) — третий «кит» в работе современного центра мониторинга и реагирования (SOC). Вместе с SIEM и EDR этот сегмент образует триаду, способную обнаружить сложную угрозу и быстро на неё ответить. Разберёмся, какие российские NTA / NDR представлены на рынке сегодня.
Введение
Системы анализа трафика (Network Traffic Analysis, NTA) — молодой класс продуктов, которые перехватывают и изучают сетевые коммуникации. Их задача — в том, чтобы обнаружить и расследовать сложные и целевые угрозы, аномальное или вредоносное поведение в сети.
NTA / NDR справляются с обработкой сложных инцидентов, обогащают данными базу SOC и сокращают время и ресурсы на анализ, проверку и реакцию. Кроме того, они полезны для решения сложных задач информационной безопасности, от контроля регламента до расследования инцидента.
Варианты импортозамещения NTA / NDR
NTA- / NDR-системы подходят компаниям большого и малого размера, в которых выстроены гибридные, облачные и локальные сетевые архитектуры. В основу решений этого класса заложены машинное обучение и поведенческий анализ. В таблице ниже мы собрали сведения о шести отечественных продуктах, их вариантах поставки, государственной и добровольной сертификации, функциональных особенностях.
Таблица 1. Варианты импортозамещения систем анализа трафика (NTA), обнаружения и предотвращения атак (NDR)
|
NTA / NDR зарубежных производителей |
Отечественные аналоги |
Варианты поставки отечественных |
Государственная сертификация и сертификация AM Test Lab |
Функциональные возможности отечественных NTA / NDR |
|
Awake Security Platform Bricata Cisco StealthWatch Corelight Sensor Corvil Security Analytics Darktrace Enterprise Immune System ExtraHop Reveal(x) FireEye SmartVision GREYCORTEX Mendel HighBar SS8 Hillstone Networks Server Breach Detection System HPE Aruba Networks IntroSpect IronNet Cybersecurity IronDefense Lastline Defender LogRhythm NetworkXDR Palo Alto Networks Cortex XDR Plixer Scrutinizer RSA NetWitness Network Vectra Cognito Detect Verizon Network Detection and Response |
EtherSensor |
Программный комплекс |
Зарегистрирован в «Едином реестре российских программ для электронных вычислительных машин и баз данных» Минцифры РФ под № 5034 от 03.12.2018. Сертификат AM Test Lab № 178 от 18.11.2016, закончил действовать 18.11.2021 |
Анализ сетевого трафика в режиме реального времени; распознаёт сообщения, файлы, сетевые события |
|
Group-IB TDS |
Программный комплекс |
Сертификат ФСТЭК России № 3850 от 05.11.2019, срок действия — до 05.11.2024 |
Киберразведка, криминалистика, машинный интеллект, страховой полис |
|
|
Kaspersky Anti Targeted Attack Platform (КАТА) |
Программно-аппаратный комплекс |
Сертификат ФСТЭК России № 3854 от 19.12.2018, срок действия — до 27.12.2025 |
Быстрое масштабирование, встроенный инструментарий для написания собственных правил обнаружения |
|
|
PT Network Attack Discovery |
Программно-аппаратный комплекс |
Сертификат ФСТЭК России № 4042 от 30.11.2018, срок действия — до 30.11.2023 Сертификат AM Test Lab № 278 от 16.01.2020, срок действия — до 16.01.2025 |
Раннее выявление атак и сокращение времени скрытого присутствия угрозы, эффективное расследование инцидентов в ИБ, выполнение требований регулирующих органов |
|
|
ViPNet Coordinator KB 4 |
Программно-аппаратный комплекс |
Сертификаты соответствия ФСБ России: № СФ/525-3853 от 17.06.2020, № СФ/124-4167 от 08.12.2021, № СФ/124-4215 от 21.01.2022 |
Межсетевое экранирование, криптографическая защита данных, широкий модельный ряд |
|
|
«Гарда Монитор» («Гарда Технологии») |
Программно-аппаратный комплекс |
Зарегистрирован в «Едином реестре российских программ для электронных вычислительных машин и баз данных» Минцифры РФ под № 3521 от 03.05.2017. Сертификат AM Test Lab № 295 от 13.07.2020, срок действия — до 13.07.2025 |
Выявление атак на периметре и внутри сети, тотальная запись сетевых потоков |
Выводы
Сегмент NTA-решений продолжает развиваться. На мировом рынке представлены десятки продуктов для поиска угроз в сети и реагирования на них. Российский рынок NTA ещё формируется, но уже предлагает конкурентоспособные высокотехнологичные решения.
4 мая президент Путин подписал указ о дополнительных мерах по кибербезопасности. Документ касается предупреждения, обнаружения и ликвидации кибератак. Во всех государственных организациях должны быть созданы специальные подразделения, которые будут отвечать за безопасность в цифровом пространстве. Дополнительной защитной мерой станет запрет с 1 января 2025 года использовать СЗИ, разрабатываемые в недружественных странах.
Тем полезнее становится этот цикл статей по импортозамещению зарубежных продуктов. Уже опубликованы обзоры по отечественным WAF, средствам защиты от DDoS-атак, NGFW и UTM, системам обнаружения и предотвращения вторжений (IPS / IDS).
