Шестая онлайн-конференция AM Live была посвящена системам класса Network Traffic Analysis (NTA, анализ сетевого трафика), относительно недавно появившимся на отечественном и зарубежном рынках. Чтобы дополнить мнение спикеров и понять, что думает заинтересованная аудитория, мы проанализировали ответы зрителей на вопросы, которые им задали во время прямого эфира.
Системы класса Network Traffic Analysis зачастую позиционируются как панацея от большинства киберугроз и обязательный инструмент современного SOC. Так ли это на самом деле — разбирались эксперты очередной онлайн-конференции AM Live, куда мы пригласили представителей разработчиков решений по анализу сетевого трафика. В ходе оживлённой двухчасовой дискуссии мы задали зрителям прямого эфира несколько вопросов, чтобы понять, насколько аудитория знакома с функциональными возможностями NTA-систем, в чём видит их сильные и слабые стороны, как оценивает перспективы.
Вы тоже можете оставить своё мнение о системах анализа сетевого трафика или задать вопрос экспертам в комментариях к записи прямой трансляции, доступной на нашем YouTube-канале.
Для чего вы используете NTA?
Начальный вопрос звучал так: для каких задач вам было бы интересно использовать NTA в первую очередь? Ответы на него позволяют не только узнать мнение действующих пользователей систем анализа сетевого трафика, но и понять, чего ждут от таких решений потенциальные заказчики. Значительная часть аудитории (31,87 %) считает, что NTA необходимо использовать для обнаружения следов сложных и целевых атак (APT). Скорее всего, такой ответ является реакцией на наиболее значимые для корпоративных заказчиков киберугрозы.
Вариант «Для расследования инцидентов» выбрали всего 14,29 % опрошенных, а применять системы анализа сетевого трафика для проверки гипотез проактивного поиска угроз (Threat Hunting) или обогащения данных SOC планируют по 6,59 % респондентов.
Несмотря на то, что анализ сетевого трафика позволяет выявить ряд нарушений политик безопасности, только 1,1 % зрителей AM Live склонен использовать NTA-системы для соблюдения регламентов ИБ. Наибольшее же число респондентов (39,56 %) рассматривают работу NTA в комплексе и считают, что для этого класса решений важны все перечисленные области применения.
Рисунок 1. Для каких задач вам интересно использовать NTA в первую очередь?
Может ли SOC обойтись без NTA?
Далее мы поинтересовались у аудитории, насколько востребованны, по их мнению, системы анализа сетевого трафика. На вопрос «Можно ли обойтись в работе SOC без данных от NTA?» 46,81 % опрошенных ответили утвердительно, но отметили, что данные о сетевом трафике упрощают расследования инцидентов. С ними не согласны 23,4 % респондентов, считающих данные NTA необходимой и обязательной базой для SOC. Другой полюс мнений занимают 12,77 % ответивших, утверждающие, что у SOC достаточно данных и без информации от системы анализа сетевого трафика.
Вопрос, безусловно, — дискуссионный и где-то даже провокационный, поскольку степень достаточности данных для центров обеспечения безопасности зависит от множества факторов и сильно варьируется в зависимости от масштаба организации и стоящих перед подразделением задач. Кстати, 17,02 % опрошенных вообще затруднились ответить на него.
Рисунок 2. Можно ли обойтись в работе SOC без данных от NTA?
Что мешает популяризации NTA?
Как мы уже упоминали, NTA — относительно молодая технология. Первые упоминания систем этого класса относятся к 2016 году, а в 2019-м компания Gartner включила в свой обзор уже более двух десятков решений для анализа сетевого трафика. Тем не менее NTA-системы всё ещё не так распространены, как другие инструменты по информационной безопасности вроде SIEM, EPP или DLP. Мы спросили у зрителей онлайн-конференции AM Live о том, что, по их мнению, мешает популяризации NTA.
Четверть респондентов ответила, что им неясна сама концепция систем анализа сетевого трафика — 25,76 % не понимают, чем и как NTA может им помочь. Ещё 30,3 % опрошенных сетуют на сложность интерпретации полученных из NTA данных, отмечая, что их использование требует высокого уровня квалификации аналитиков. 22,73 % участников опроса указывают на высокую цену и стоимость владения такими продуктами. С этими тремя вариантами перекликается и ещё один ответ — 15,15 % отметили, что сама концепция анализа сетевого трафика кажется им слишком сложной и затратной.
Все остальные мнения не набрали значимого числа голосов. 3,03 % респондентов ответили, что популяризации NTA мешает недостаточная поддержка протоколов, столько же уверены, что рост продаж систем для анализа сетевого трафика сдерживают какие-то другие причины. Необходимость дополнительных вложений в потоки данных («фиды») IoC и IoA никто из опрошенных не посчитал препятствием для популяризации NTA.
Рисунок 3. Что, по вашему мнению, мешает популяризации NTA?
До конца 2020 года мы запланировали ещё несколько прямых эфиров в рамках проекта AM Live. На наших онлайн-конференциях встречаются ведущие аналитики и эксперты ИБ-рынка, представители вендоров и системных интеграторов. Чтобы наблюдать за их дискуссией онлайн и всегда иметь доступ к записям прошедших эфиров, подпишитесь на наш YouTube-канал и активируйте уведомления о новых материалах.
