Системы анализа трафика, обнаружения и предотвращения атак (NTA / NDR) — третий «кит» в работе современного центра мониторинга и реагирования (SOC). Вместе с SIEM и EDR этот сегмент образует триаду, способную обнаружить сложную угрозу и быстро на неё ответить. Разберёмся, какие российские NTA / NDR представлены на рынке сегодня.
- Введение
- Варианты импортозамещения NTA / NDR
- Выводы
Введение
Системы анализа трафика (Network Traffic Analysis, NTA) — молодой класс продуктов, которые перехватывают и изучают сетевые коммуникации. Их задача — в том, чтобы обнаружить и расследовать сложные и целевые угрозы, аномальное или вредоносное поведение в сети.
NTA / NDR справляются с обработкой сложных инцидентов, обогащают данными базу SOC и сокращают время и ресурсы на анализ, проверку и реакцию. Кроме того, они полезны для решения сложных задач информационной безопасности, от контроля регламента до расследования инцидента.
> Обзор EtherSensor
Варианты импортозамещения NTA / NDR
NTA- / NDR-системы подходят компаниям большого и малого размера, в которых выстроены гибридные, облачные и локальные сетевые архитектуры. В основу решений этого класса заложены машинное обучение и поведенческий анализ. В таблице ниже мы собрали сведения о шести отечественных продуктах, их вариантах поставки, государственной и добровольной сертификации, функциональных особенностях.
Таблица 1. Варианты импортозамещения систем анализа трафика (NTA), обнаружения и предотвращения атак (NDR)
Выводы
Сегмент NTA-решений продолжает развиваться. На мировом рынке представлены десятки продуктов для поиска угроз в сети и реагирования на них. Российский рынок NTA ещё формируется, но уже предлагает конкурентоспособные высокотехнологичные решения.
4 мая президент Путин подписал указ о дополнительных мерах по кибербезопасности. Документ касается предупреждения, обнаружения и ликвидации кибератак. Во всех государственных организациях должны быть созданы специальные подразделения, которые будут отвечать за безопасность в цифровом пространстве. Дополнительной защитной мерой станет запрет с 1 января 2025 года использовать СЗИ, разрабатываемые в недружественных странах.
Тем полезнее становится этот цикл статей по импортозамещению зарубежных продуктов. Уже опубликованы обзоры по отечественным WAF, средствам защиты от DDoS-атак, NGFW и UTM, системам обнаружения и предотвращения вторжений (IPS / IDS).