Системы анализа трафика (NTA) - Сравнение и выбор

Системы анализа трафика (network traffic analysis, NTA)

Системы анализа трафика (network traffic analysis, NTA)

Вопрос
Задать вопрос

Описание и назначение

Анализаторы сетевого трафика или Network traffic analysis (NTA) - это новая категория продуктов безопасности, которая используют сетевые коммуникации в качестве основного источника данных для обнаружения и расследования угроз безопасности, аномального или вредоносного поведения в сети. Практика сбора сетевых данных, их анализа и принятия решений на основе полученных результатов существует уже несколько десятилетий, по крайней мере с момента выпуска tcpdump в 1988 году. Однако эта категория продуктов все еще исследуется и дорабатывается.

Системы безопасности Network traffic analysis (NTA) защищают сеть организации и ее инфраструктуру путем выявления угроз информационной безопасности. Обеспечивают оперативное реагирования на обнаруженные угрозы, контролирует соблюдения всех политик. Данная категория продуктов передает всю необходимую информацию о событиях, происходящих внутри сети, в центры мониторинга и реагирования (SOC) и SIEM-системы, а также позволяет выполнять ретроспективный поиск, организовать централизованное противодействие кибератакам, способствует расследованию инцидентов.

Для обнаружения и идентификации продвинутых, в основном целевых атак (APT) как никогда лучше подходят системы анализа сетевого трафика. Они же в ходе своей работы перехватывают большие потоки данных для их сканирования. Системы данной категории наилучшим образом сочетаются с решениями Endpoint Detection and Response (EDR). 

NTA-системы вполне подойдут для компаний разного масштаба, в которых организовываются различные архитектуры (гибридные, облачные, локальные). Решения этого класса используют определенный инструменты и методы в своей основе, к примеру, машинное обучение и поведенческий анализ.

Ниже представлены ключевые функции, которые, так или иначе, включает каждый анализатор сетевого трафика:

  • Анализ сетевых данных в режиме реального времени. Для обеспечения точного обнаружения, расследования и реагирования в течение неопределенного периода времени, когда угрозы могут быть действительно опасны, каждый продукт NTA должен проводить исследование сети на угрозы в режиме реального времени.
  • Полная видимость операций. Для того, чтобы анализатор сетевого трафика обеспечивал высокоточное понимание поведения угроз, он должен иметь возможность видеть и анализировать фактическое содержание сетевых взаимодействий. Это означает, что требуется полная видимость, начиная с L2 и заканчивая L7 уровнем. Наравне с тем выполняется декодирование прикладного протокола и расшифровка современных криптографических стандартов.
  • Безопасная, контролируемая расшифровка трафика. Сейчас более 70% веб-трафика зашифровано, и это число быстро растет. Внутри корпоративных сетей количество шифруемого трафика также быстро растет и доходит до 100%. Хотя шифрование жизненно важно для защиты конфиденциальных данных, оно также создает слепые зоны для технологий, обеспечивающих безопасность. Одной из основных целей инструментов NTA является предоставление полной видимости, а это означает, что каждый продукт класса NTA имеет способность расшифровывать трафик для анализа без ущерба.
  • Нормальное поведение и обнаружение аномалий. Каждый продукт Network traffic analysis должен иметь способность моделировать базовую деятельность устройства и активность пользователя с последующим сравнением новых наблюдений с тем поведением, которое было принято за нормальное. Поведенческая аналитика — это лучший способ получить действенную информацию о состояние угроз в сети.

Список средств защиты

Инфотекс
0
0 отзывов
ViPNet Coordinator KB 4 — это программно-аппаратный комплекс, выступающий в качестве шлюза безопасности, который предназначен для построения безопасных каналов связи КВ класса.
Гарда Технологии
0
0 отзывов

«Гарда NDR» обнаруживает сетевые атаки, помогает оперативно и точно реагировать на киберинциденты.