Системы анализа трафика (network traffic analysis, NTA)
Системы анализа трафика (network traffic analysis, NTA)
Описание и назначение
Анализаторы сетевого трафика или Network traffic analysis (NTA) - это новая категория продуктов безопасности, которая используют сетевые коммуникации в качестве основного источника данных для обнаружения и расследования угроз безопасности, аномального или вредоносного поведения в сети. Практика сбора сетевых данных, их анализа и принятия решений на основе полученных результатов существует уже несколько десятилетий, по крайней мере с момента выпуска tcpdump в 1988 году. Однако эта категория продуктов все еще исследуется и дорабатывается.
Системы безопасности Network traffic analysis (NTA) защищают сеть организации и ее инфраструктуру путем выявления угроз информационной безопасности. Обеспечивают оперативное реагирования на обнаруженные угрозы, контролирует соблюдения всех политик. Данная категория продуктов передает всю необходимую информацию о событиях, происходящих внутри сети, в центры мониторинга и реагирования (SOC) и SIEM-системы, а также позволяет выполнять ретроспективный поиск, организовать централизованное противодействие кибератакам, способствует расследованию инцидентов.
Для обнаружения и идентификации продвинутых, в основном целевых атак (APT) как никогда лучше подходят системы анализа сетевого трафика. Они же в ходе своей работы перехватывают большие потоки данных для их сканирования. Системы данной категории наилучшим образом сочетаются с решениями Endpoint Detection and Response (EDR).
NTA-системы вполне подойдут для компаний разного масштаба, в которых организовываются различные архитектуры (гибридные, облачные, локальные). Решения этого класса используют определенный инструменты и методы в своей основе, к примеру, машинное обучение и поведенческий анализ.
Ниже представлены ключевые функции, которые, так или иначе, включает каждый анализатор сетевого трафика:
- Анализ сетевых данных в режиме реального времени. Для обеспечения точного обнаружения, расследования и реагирования в течение неопределенного периода времени, когда угрозы могут быть действительно опасны, каждый продукт NTA должен проводить исследование сети на угрозы в режиме реального времени.
- Полная видимость операций. Для того, чтобы анализатор сетевого трафика обеспечивал высокоточное понимание поведения угроз, он должен иметь возможность видеть и анализировать фактическое содержание сетевых взаимодействий. Это означает, что требуется полная видимость, начиная с L2 и заканчивая L7 уровнем. Наравне с тем выполняется декодирование прикладного протокола и расшифровка современных криптографических стандартов.
- Безопасная, контролируемая расшифровка трафика. Сейчас более 70% веб-трафика зашифровано, и это число быстро растет. Внутри корпоративных сетей количество шифруемого трафика также быстро растет и доходит до 100%. Хотя шифрование жизненно важно для защиты конфиденциальных данных, оно также создает слепые зоны для технологий, обеспечивающих безопасность. Одной из основных целей инструментов NTA является предоставление полной видимости, а это означает, что каждый продукт класса NTA имеет способность расшифровывать трафик для анализа без ущерба.
- Нормальное поведение и обнаружение аномалий. Каждый продукт Network traffic analysis должен иметь способность моделировать базовую деятельность устройства и активность пользователя с последующим сравнением новых наблюдений с тем поведением, которое было принято за нормальное. Поведенческая аналитика — это лучший способ получить действенную информацию о состояние угроз в сети.