15 лучших решений для обнаружения и реагирования на сетевые атаки (NDR)

Некоторые инструменты сетевой безопасности фокусируются исключительно на входящем и исходящем трафике организации. Это оставляет большой пробел: как отдельные устройства взаимодействуют в доверенной сети? Инструменты обнаружения и реагирования сети, или NDR, являются дополнением к устоявшимся инструментам, которые обеспечивают полную боковую видимость сетевой активности. В этой статье будут рассмотрены лучшие решения NDR, которые оказываются наиболее оправданными по цене.
#image_title

Решения Gartner® Magic Quadrant™ NDR

Узнайте, почему мы являемся единственным поставщиком, попавшим в квадрант Challenger...

Подробнее
#image_title

Испытайте безопасность на основе искусственного интеллекта в действии!

Откройте для себя передовой искусственный интеллект Stellar Cyber ​​для мгновенного обнаружения угроз...

Заказать визит

Зачем вам нужно решение NDR?

Современные сети выглядят совсем не так, как десять лет назад: рабочие нагрузки приложений зависят от распределенной архитектуры, удаленные сотрудники в значительной степени полагаются на общедоступные и домашние сети, а быстро меняющийся ландшафт глобальных угроз — все это создает все большую нагрузку на сетевых инженеров и администраторов безопасности.

В результате брандмауэр — когда-то оплот сетевой безопасности — не обеспечивает всю необходимую широту видимости. Он фокусируется исключительно на потоках данных «север-юг»: это трафик, который проходит между устройствами во внутренней сети и общедоступным Интернетом. Именно здесь решения NDR заполняют пробел: они размещают датчики во внутренних сетях и отслеживают каждое взаимодействие между внутренними устройствами.

Эти данные встроены в модель обычного поведения сети, а также сравниваются и перекрестно ссылаются на другие части интеллекта. Модели ИИ сравнивают эти данные с исторической моделью сети и выявляют отклонения. Узнайте больше что такое NDR здесь.

Как выбрать правильный инструмент NDR

Как мы вскоре увидим, сегодня на рынке представлены десятки поставщиков и инструментов для обнаружения и восстановления после сбоев (NDR). Выбор подходящего начинается с глубокого понимания вашей конкретной сетевой архитектуры, угроз и требований к соответствию нормативным требованиям. Для этого необходимо провести анализ с участием нескольких ключевых заинтересованных сторон. К ним относятся: руководитель службы информационной безопасности (CISO), SOC Менеджеру и/или команде сетевых администраторов необходимо учитывать собственные мнения относительно существующих проблем в области безопасности и управления сетью.

Ключевым компонентом NDR является его способность интегрироваться с существующей инфраструктурой безопасности и ИТ. Начните с визуализации собственных сетей — поймите их пропускную способность, на какой платформе основаны серверы; являются ли они локальными или облачными, и способность текущих инструментов безопасности контролировать трафик Восток-Запад внутри них.

Наконец, оцените ресурсы, которые ваша организация может выделить на инструмент: решение с быстрой настройкой, автоматизированным обнаружением угроз и интуитивно понятными панелями мониторинга может стать спасательным кругом для небольших групп безопасности, в то время как высоконастраиваемые опции потребуют больше рабочей силы для работы, но могут искоренить ложные срабатывания в очень сложных сетях. Тратить время на выяснение своих потребностей жизненно важно, в противном случае вы рискуете купить продукт только из-за его трехбуквенной аббревиатуры.

Каковы основные характеристики NDR?

Хотя крайне важно сделать правильный выбор среди доступных решений NDR, стоит выделить основные функции, которые обеспечивают основные возможности.

  • Глубокая проверка пакетов (DPI): DPI анализирует полное содержимое сетевых пакетов, а не только заголовки, предлагая детальное понимание потоков данных. Несмотря на свою важность, DPI имеет ограничения: он ресурсоемкий и плохо работает в средах с высокой пропускной способностью или с зашифрованным трафиком, где видимость сильно снижена.
  • Анализ метаданных: Метаданные предлагают высокомасштабируемое понимание, захватывая атрибуты сеанса, такие как IP-адреса, порты, журналы DNS и детали шифрования, без погружения в полную полезную нагрузку пакета. В отличие от DPI, он остается эффективным даже в зашифрованных и распределенных сетях, что делает его идеальным для современных сред.
  • Поведенческий анализ: Вместо того, чтобы полагаться только на известные сигнатуры угроз, поведенческий анализ использует машинное обучение для обнаружения аномалий. Контролируемые модели обнаруживают распространенное поведение угроз, в то время как неконтролируемые модели устанавливают базовые линии и отмечают отклонения, помогая раскрывать новые атаки.
  • Интеграция разведки угроз: Связывание NDR с потоками данных об угрозах улучшает обнаружение известных IoC и шаблонов атак. Этот контекст помогает приоритизировать угрозы и улучшить реагирование на инциденты, особенно при согласовании с такими фреймворками, как MITRE ATT&CK.
  • Интеграция стека безопасности: Сочетание NDR с такими инструментами, как EDR и SIEM Обеспечивает полную прозрачность работы группы безопасности. Позволяет выявлять гораздо больше атак в сети, но кроссплатформенная интеграция обеспечивает автоматическое или немедленное реагирование с момента первоначального вторжения.
Ниже представлен полный список лучших решений NDR, представленных сегодня на рынке.

#1. Звездный Кибер

Stellar Cyber ​​— это открытая расширенная система обнаружения и реагирования (Open XDR) платформы. Вместо того чтобы ограничиваться только сетевой телеметрией, как другие поставщики NDR, Stellar фокусируется на комплексном сборе и анализе всех соответствующих данных безопасности. То есть, поведения сети и конечных устройств, протоколов идентификации и приложений для повышения производительности. После сбора и анализа всех данных, система также предварительно анализирует оповещения, группируя их в инциденты и отбрасывая ложные срабатывания.

  • Обнаруживает и анализирует все активы в подключенных сетях.
  • Нормализует и анализирует все данные посредством нескольких раундов перекрестного анализа.
  • Проводит глубокую проверку незашифрованных пакетов, а также поведенческий анализ метаданных приложений и сети.
  • Карты обнаруживают угрозы против конкретных методов ATT&CK, что дает четкое понимание поведения атаки, а не просто оповещения об аномалиях.

Плюсы: Выравнивание MITRE ATT&CK, мощные возможности поиска угроз, высокая масштабируемость и возможности интеграции. Все функции предлагаются по одной лицензии.

Минусы: Может потребоваться обучение аналитиков. Лучше всего работает при интеграции с уже существующим инструментом EDR.

#2. Киберкомандование «Сангфор»

Sangfor — это растущий инструмент NDR с мощными возможностями сетевой видимости и обнаружения аномалий. Он закрепил свои позиции на рынке с предприятиями в Азиатско-Тихоокеанском и Африканско-Ближневосточном регионах.
  • Переносит данные сетевого журнала на центральную платформу управления.
  • Создает базовую модель нормального поведения активов.
  • Сравнивает с индикаторами компрометации в рамках своей разведывательной информации об угрозах.
Плюсы: Возможность консолидации разрозненных журналов на центральной платформе, простота развертывания. Минусы: Интеграция с другими инструментами безопасности очень слабая.

#3. Cortex от Palo Alto Networks

Palo Alto Networks — признанный игрок на рынке безопасности США. Его платформа Cortex предлагает полностью унифицированный инструмент NDR и EDR.
  • Извлекает данные с сетевых серверов и любых предварительно развернутых средств безопасности в центральный механизм анализа и оповещения. 
  • Объединяет данные о безопасности конечных точек и сети перед выдачей оповещений.
Плюсы: Полностью унифицированная платформа, отличная масштабируемость, высокая производительность даже при развертывании в сложных сетях. Минусы: Интерфейс может быть сложным для новых пользователей NDR. Лицензирование также может стать очень сложным, по сути требуя покупки как EDR, так и NDR вместе.

#4. Сокол Краудстрайка

Подобно Cortex, Falcon представляет собой совместный инструментарий EDR и NDR, который собирает данные со всех конечных точек, сетей, пользователей и инструментов безопасности организации.

  • Обнаружение угроз как на основе политик, так и на основе поведения.
  • Предоставляет приоритетные оповещения соответствующим администраторам безопасности.
  • Crowdstrike делится IoC между клиентами, предотвращая новые атаки.

Плюсы: Отличная видимость и ведение журнала, относительно простое развертывание и доступная панель управления.

Минусы: Ограниченные возможности конфигурации, оповещения и настройка рабочего процесса не столь глубоки, как возможности анализа данных.

№5. ДаркТрейс

Darktrace — это решение NDR из Великобритании, которое фокусируется на применении поведенческого анализа к сетевой безопасности. Оно предлагает другие плагины, такие как email security, который применяет тот же анализ к коммуникационным платформам. Популярно среди организаций, у которых нет специальных групп безопасности.

  • Самообучающиеся модели поведенческого анализа, развернутые на локальных машинах.
  • Включает в себя чат-бот с искусственным интеллектом, который описывает оповещения на простом английском языке.

Плюсы: Бесплатная пробная версия, специальная поддержка по установке и первоначальной настройке. 

Минусы: Высокая стоимость, отсутствие интеграции со сторонними инструментами безопасности; ставка исключительно на поведенческий анализ чревата большим количеством ложных срабатываний.

#6. ExtraHop RevealX

RevealX — это платформа NDR двойного назначения, которую также можно использовать для управления производительностью сети.

  • Осуществляет захват пакетов для анализа и предлагает расшифровку SSL и TLS.
  • Возможно как локальное, так и облачное развертывание.

Плюсы: Хорошая документация, расшифровка позволяет обнаруживать зашифрованные вредоносные пакеты.

Минусы: Дорогостоящая, часто требующая развертывания нескольких устройств расшифровка пакетов сама по себе может представлять угрозу безопасности. 

#7. Vectra.ai

Vectra.AI — это проверенный инструмент NDR, который можно использовать в сетях SaaS, публичного облака и центров обработки данных организации. 

  • Анализирует активность сети и идентификационных данных с помощью центрального ИИ и объединяет проблемы в оповещения.
  • Устанавливает приоритеты оповещений и показывает причину на панели управления.

Плюсы: Возможности Vectra Managed Detection and Response (MDR) могут поддерживать его ИИ с человеческой оценкой. Мощный автономный инструмент.

Минусы: Ограниченная интеграция с другими инструментами безопасности, недостаточное обучение новых пользователей, высокие требования к настройке и знаниям, довольно техническая панель управления.

#8. Мунинн

Muninn, принадлежащий Logpoint, — популярный NDR для организаций среднего размера, которые только начинают внедрять меры по обеспечению безопасности внутренних сетей. 

  • Ориентирован на простоту развертывания с меньшими требованиями к настройке коммутатора и брандмауэра.
  • Базовые показатели для моделей нормального поведения сети.
  • Возможность развертывания как в локальных, так и в изолированных сетях.

Плюсы: Надежный обзор сетевого трафика по доступной цене позволяет осуществлять долгосрочное хранение необработанных данных для судебно-медицинской экспертизы.

Минусы: Инструмент сравнительно легкий, однако глубокий анализ инцидентов все равно необходимо выполнять вручную.

№9. Rapid7 InsightIDR

решение для обнаружения и реагирования сети

Хотя технически это облачная система управления информацией и событиями безопасности (SIEM) решение, оно предлагает надежное XDR возможности за счет интеграции с конечными устройствами и сетями. 

  • Обеспечивает агрегацию данных на локальном устройстве сбора данных, что может помочь соблюдать строгие нормативные требования.
  • В качестве источника разведывательной информации используется фреймворк MITRE ATT&CK. 

Плюсы:Доступно инструменты расследования и панель управления, быстрая интеграция с существующими инструментами безопасности. 

Минусы: Ограниченная настройка панели управления, доступность только в облаке, журналы хранятся только 12 месяцев.

# 10. Ариста

Arista — гигант в области сетевых технологий, и она в первую очередь фокусируется на предоставлении крупных центров обработки данных, кампусов и сред маршрутизации. Их NDR представляет собой переход от коммутаторов к инструментам безопасности. Таким образом, он хорошо настроен для обработки больших объемов сетевых данных и популярен среди сетевых администраторов. 

  • Ориентирован на нулевое доверие.
  • Проводит глубокую проверку пакетов.
  • Создан для быстрого развертывания в течение нескольких часов.

Плюсы: Предлагает достаточно подробные функции отчетности, такие как возможность отслеживать использование сети отдельными субъектами с течением времени.

Минусы: Нет возможности настраивать оповещения по электронной почте или SMS, а также архивировать старые данные, очень ограниченная документация.

# 11. Fortinet NDR

Логотип Fortinet

Другой известный игрок в области безопасности, FortiNDR — новейший продукт Fortinet и один из самых дорогих. Этот инструмент отслеживает текущие действия отдельных сетей, по сути, объединяя функциональные возможности их предыдущих инструментов FortiGate и FortiSandbox. 

  • Сетевые пакеты «Восток-Запад» анализируются на предмет вредоносного поведения и содержимого.
  • Может развертываться в изолированных сетях.
  • Предлагает пошаговые инструкции для ускорения реагирования аналитиков.

Плюсы: Мощное обнаружение уязвимостей нулевого дня; основные параметры автоматического исправления доступны на панели управления; очень легко интегрируется с инструментами Fortinet. 

Минусы: Не предоставляет детального анализа, пользовательский интерфейс очень примитивен, интеграция с инструментами других поставщиков безопасности слабая.

# 12. Аналитика защищенных сетей Cisco (StealthWatch)

Хотя технически это не NDR, Cisco StealthWatch считается опцией для сетевой видимости. Поскольку он иногда включен в корпоративное лицензирование Cisco, у существующих компаний Cisco может возникнуть соблазн использовать его как NDR. Однако поведенческий анализ StealthWatch не охватывает содержимое сетевых пакетов, а только их метаданные.

  • Обеспечивает видимость и отчетность в режиме реального времени по трафику север/юг.
  • Обеспечивает длительное хранение данных, облегчая проведение криминалистической экспертизы.

Плюсы: Мощный инструмент анализа сетевого трафика, полный контроль и настраиваемость, достойная поддержка клиентов, двойное назначение для устранения неполадок в сети

Минусы: Требует сложной ручной настройки, не обеспечивает анализ East-West или журналов сервера, функции не добавляются, а обновления прошивки отнимают много времени.

# 13. Анализатор сетевого потока ManageEngine

Как и StealthWatch, NetFlow Analyzer от ManageEngine представляет собой более традиционный инструмент анализа сетевого трафика: он собирает и анализирует сетевой трафик в отдельных подсетях, сегментируя и анализируя использование в соответствии с приложениями, интерфейсами и устройствами. 

  • Применяет поведенческий анализ к трафику «Север-Юг», позволяя администраторам обнаруживать неожиданные потоки трафика и запросы.
  • Отслеживает и отображает протоколы приложений.

Плюсы: Очень экономично, позволяет опытным сетевым администраторам отслеживать входящий и исходящий трафик внутренних сетей.

Минусы: Строго говоря, это не NDR, поскольку он не позволяет анализировать сетевой трафик Восток-Запад.

# 14. Железная защита

Относительный новичок на рынке безопасности, решение NDR от IronNet — IronDefense — представляет собой полностью готовое предложение NDR.

  • Обеспечивает видимость в режиме реального времени по направлению Восток-Запад.
  • Предлагает настраиваемые сценарии для выполнения полностью или частично автоматизированных ответов. 

Плюсы: Особое внимание уделяется новым функциям и улучшениям со стороны команды IronNet. Развертывание и интеграция остаются простыми и оптимизированными. 

Минусы: Может испытывать трудности с работой в быстро масштабируемых сетях, не имеет самого удобного интерфейса, младшим аналитикам потребуется поддержка на этапе обучения.

# 15. Corelight

Учитывая количество проприетарного ПО, которое мы уже рассмотрели, Corelight нарушает тенденцию, поскольку он создан на основе программного обеспечения с открытым исходным кодом Zeek. Zeek — это хорошо зарекомендовавшая себя система мониторинга сетевого трафика, но она ограничена пассивным сбором журналов; в среде с открытым исходным кодом администраторы обычно развертывают ее с помощью Suricata. Corelight берет эту функциональность и дорабатывает ее.

  • Автоматизированный анализ событий.
  • Управление тикетами с помощью искусственного интеллекта позволяет ускорить рабочие процессы. 
  • Менеджер датчиков, называемый Fleet Manager, позволяет осуществлять комплексное управление датчиками.

Плюсы: Особое внимание уделяется гибкой интеграции; по имеющимся данным, обслуживание клиентов находится на очень высоком уровне.

Минусы: Расшифровка TLS отсутствует, а Fleet Manager может оказаться громоздким, поскольку не имеет возможности постоянно загружать системные журналы или применять предыдущие политики к новым датчикам.

Автоматизируйте обнаружение сети и реагирование с помощью Stellar Cyber

Stellar Cyber ​​оптимизирует безопасность сети как никогда раньше: его широкомасштабный сбор необработанных данных охватывает уровни от 2 до 7, извлекая каждую точку данных перед оценкой каждой на предмет связанных эвристик или известных сигнатур атак. Вместо того, чтобы сваливать оповещения в почтовые ящики ваших аналитиков, Stellar объединяет отдельные оповещения в их более масштабные инциденты безопасности, давая аналитикам фору. Наконец, автоматически устанавливайте ответные действия или предпринимайте действия по исправлению одним щелчком мыши. Узнайте больше о возможностях Stellar Cyber ​​здесьи начните делать безопасность своей сети точной и всеобъемлющей.

Звучит слишком хорошо, чтобы
будь настоящим?
Смотрите сами!

Запросить демо
Наверх
Подпишитесь на рассылку новостей