Активное реагирование на сетевые киберинциденты

Киберпреступники сегодня имеют доступ к самым передовым технологиям и оснащению. Их разнообразие, темпы развития и возможности таковы, что традиционные средства сетевой защиты на основе сигнатурного анализа, такие как IDS, больше не способны обеспечить надлежащий уровень безопасности. Сегодня на смену им во всем мире пришли решения класса NDR (Network Detection and Response). Надо признать, что Россия заметно отстает от общемировой тенденции.

В основе концепции NDR — глубокий анализ всего сетевого трафика с применением методов искусственного интеллекта и машинного обучения. Такой подход позволяет выявлять широкий спектр угроз, включая сложные таргетированные и ранее неизвестные атаки, обогащать другие компоненты ИБ-инфраструктуры (SIEM, SOAR, XDR) данными для реагирования и расследования инцидентов.

Мы изучили данные мировых аналитических агентств, включая отчеты Gartner, KuppingerCole, GigaOm, QKS group, IDC, чтобы выявить ключевые тенденции на мировом рынке и в России, понять вектор развития NDR-решений и спрогнозировать, что нас ждёт в ближайшем будущем в сфере обнаружения и реагирования на сетевые угрозы. Делимся основными выводами.

• Анализ копии трафика — самый распространенный метод сбора данных (83% решений). При этом режим работы «в разрыв» (inline), который позволяет осуществлять непосредственное блокирование, поддерживают менее трети вендоров (26%).
• Риск-скоринг и временные шкалы стали стандартом. Более 70% решений обладают зрелыми инструментами для ручного расследования, но обработка запросов на естественном языке — все еще инновация (до 35%).
• Интеграция с SIEM и SOAR — must have. 91% решений интегрируются с SOAR, а сетевая изоляция хостов — самый популярный метод автоматического ответа (74%).
• Полная запись трафика — редкость на глобальном рынке. В международной практике стандартом является работа с сетевой телеметрией для оптимизации ресурсов.

Больше подробностей — в полной версии исследования.