Функциональные особенности и возможности UDV NTA 1.0
Решение UDV NTA позволяет проводить мониторинг сетевого трафика в режиме реального времени, обнаруживать и предотвращать инциденты, связанные с информационной безопасностью, выявлять скрытые элементы сетевой инфраструктуры, контролировать соблюдение требований информационной безопасности и проводить анализ атак и сетевых аномалий.
Анализ сетевого трафика
UDV NTA 1.0 — мощный инструмент для анализа сетевых соединений, который детально изучает пакеты до уровня приложений (L7), что позволяет выявлять не только используемые протоколы, но и уникальные команды между узлами.
Система поддерживает разбор 53 протоколов и предоставляет возможности для активного поиска по специфическим полям приложений в следующих сетевых протоколах: HTTP, DNS, SMB_CMD, DCE_RPC, NTLM, SSH, SSL, Kerberos, RDP, SMTP, Modbus, OPC UA и DeltaV..
Примеры глубины разбора сетевых протоколов HTTP и SSH в UDV NTA 1.0
В процессе работы с ПО есть возможность сохранять данные в формате PCAP, что позволяет формировать базу доказательств для проведения последующего анализа и расследования инцидентов.
Создание файла PCAP по выбранной сессии с помощью фильтрации копии сетевого трафика
Следует подчеркнуть, что процесс автоматического извлечения файлов из сетевых потоков включает в себя их последующую проверку на наличие известного вредоносного кода и сохранение для последующего анализа инцидентов и создания цифровых артефактов.
Пример цифровых артефактов извлеченного из сети файла в UDV NTA 1.0
Обнаружение угроз
UDV NTA 1.0 использует сигнатурные правила, машинное обучение и поведенческий анализ для выявления аномалий. Система обнаруживает попытки обхода защиты, включая нестандартные протоколы и нетипичное поведение узлов. Благодаря этому UDV NTA оперативно реагирует на инциденты даже в легитимных каналах связи.
Событие обнаружения горизонтального перемещения на основе нетипичного перемещения файла
Работа с инцидентами
UDV NTA 1.0 автоматизирует реагирование на инциденты ИБ. Система обрабатывает данные от датчиков, формирует инциденты и отображает их на панелях мониторинга, что позволяет быстро анализировать и устранять угрозы. Инструменты анализа позволяют просматривать детали сетевых сессий и файлов, заподозренных во вредоносной активности.
Карточка выявленного инцидента по тактике TA0006 «Получение учетных данных» из матрицы MITRE
Отображение инцидентов на панели мониторинга в UDV NTA 1.0
Выявление скрытых узлов
Решение обнаруживает несанкционированные устройства в корпоративной сети, даже если они не зарегистрированы в CMDB и не активны в других системах. UDV NTA выявляет протоколы и оценивает риски, защищая корпоративную сеть от инсайдеров, внешних подключений и атак. Это снижает вероятность появления бэкдоров, нелегальных шлюзов и точек подключения к внешним каналам.
Обнаруженные неизвестные активы из анализа сетевого трафика в UDV NTA 1.0
Регистрация сетевой активности при обходе периметровых средств защиты
Система UDV NTA 1.0 обеспечивает мониторинг внутренних и внешних сетевых подключений, в том числе тех, которые обходят традиционные средства защиты периметра. Это позволяет специалистам по информационной безопасности обнаруживать несанкционированный доступ из удалённых сетей, подозрительные соединения между сегментами и аномальную активность, которая может указывать на подготовку атаки или уже начавшееся вторжение.
Карта сетевых взаимодействий актива с интернетом в UDV NTA 1.0
Ретроспективный анализ
Сохранение метаданных сетевого трафика дает возможность анализировать действия в сети, совершенные до инцидента, выявлять уязвимости и утечки данных. Объём метаданных в десятки раз меньше, чем при хранении необработанных данных сетевого трафика, поскольку они содержат только информацию, необходимую для расследования. UDV NTA 1.0 позволяет записывать трафик только для выбранных подсетей и узлов, оптимизируя использование ресурсов. Эти функции важны для разработки стратегии реагирования и повышения устойчивости сетевой инфраструктуры.
Ретроспективный анализ сетевых соединений обнаруженных две недели назад
Анализ получаемых событий
UDV NTA 1.0 интегрируется с SIEM системами, передавая обработанные данные с подтверждённой сетевой активностью. Это снижает нагрузку на SIEM, уменьшает расходы на хранение журналов и повышает точность корреляции. Решение также принимает события от других источников, таких как системы защиты информации и конечные точки, повышая глубину анализа.
События, полученные UDV NTA 1.0 для дальнейшей корреляции с ИБ-событиями из сети
Соответствие требованиям регуляторов
UDV NTA 1.0 отвечает требованиям ряда отечественных и международных стандартов в области информационной безопасности:
- Приказ ФСТЭК России № 21 (персональные данные).
- Приказы ФСТЭК России № 235 и 239 (КИИ).
- Приказы ФСТЭК России № 17, 31 и 489 (ГИС, АСУ ТП, ИС общего назначения).
- ГОСТ Р 57580.1-2017 (финансовые организации).
- NIST SP 800-61 (реагирование на инциденты).
Архитектура UDV NTA 1.0
Компоненты UDV NTA 1.0 формируют двухуровневую иерархию.
UDV NTA уровня «Sensor» — компонент системы, который отвечает за обработку, изучение и сохранение информации о сетевом трафике, а также за получение данных от устройств в сети. Располагается рядом с устройством, которое собирает копию сетевого трафика путём зеркалирования (SPAN / ERSPAN) с коммутатора или ответвителем сетевого трафика (TAP). Не имеет собственного интерфейса для взаимодействия с пользователем и управляется удалённо через компонент уровня «Management».
UDV NTA уровня «Management» — это компонент системы, который собирает данные с компонентов уровня «Sensor» и предоставляет их через веб-интерфейс для дальнейшего анализа. На уровне «Management» происходит сопоставление информации как с отдельных устройств, так и их сетевой активности. Также в компоненте настраивается работа систем обнаружения вторжений (IDS) и выявления инцидентов и осуществляется управление компонентами уровня «Sensor».
Элементы могут быть установлены на физическом оборудовании, в среде виртуализации или в комбинации этих двух вариантов.
Принцип обработки данных
UDV NTA уровня «Sensor» включает в себя подсистемы, которые позволяют детально анализировать сетевые пакеты и применять методы машинного обучения (ML) для обработки полученных данных. Эти подсистемы тщательно анализируют сетевые протоколы, выявляют закономерности в их использовании и обнаруживают подозрительную активность в сети на основе заранее определённых правил.
Кроме того, в состав UDV NTA уровня «Sensor» входит подсистема обнаружения вторжений, которая использует сигнатурный метод для обнаружения угроз. Также есть возможность сохранять копии сетевого трафика и файлов, передаваемых по сети.
При необходимости можно подключить подсистему сбора событий от конечных устройств и других систем защиты информации (СЗИ) через протокол Syslog. После этого данные будут нормализованы и сопоставлены на компоненте уровня «Management».
UDV NTA уровня «Management» отвечает за сбор, хранение и индексацию метаданных сетевого трафика, а также за активный поиск по этим данным. На уровне «Management» происходит нормализация и сопоставление событий из сети и от конечных устройств для регистрации инцидентов. При регистрации инцидентов можно отправить оповещение ответственному лицу по электронной почте или интегрировать систему с внешними системами через протокол Syslog.
Схема анализа данных с помощью UDV NTA 1.0 от источников до внешних систем
Системные требования UDV NTA 1.0
Для установки продукта необходимы минимальные системные требования:
| Параметр |
Уровень «Sensor» |
Уровень «Management» |
|---|---|---|
| ЦП |
2,4 ГГц, 6 логических ядер |
3,1 ГГц, 20 логических ядер |
| ОЗУ |
32 ГБ |
64 ГБ |
| Диск (только сам комплекс, без объема для хранения копии трафика) |
512 ГБ SSD |
1 ТБ SSD |
| Материнская плата |
С поддержкой UEFI |
|
| ОС (приобретается отдельно) |
«Альт СП», релиз 10, версия 2 |
|
На клиентской стороне поддерживаются браузеры семейства Chromium (Google Chrome, Microsoft Edge, «Яндекс Браузер») версии 116 и выше, а также Mozilla Firefox версии 117 и выше. Минимальное разрешение экрана — 1366×768.
Сценарии использования
Определение защищаемых активов
Прежде чем разрабатывать стратегию по обеспечению информационной безопасности в компании, необходимо определить, что именно требуется защищать и какие сервисы в настоящее время активно применяются. Это позволит выявить уязвимые места и оценить потенциальные риски. UDV NTA 1.0 помогает решить эту задачу, используя объектный подход к анализу сетевой инфраструктуры.
Перечень активов, выявленных в контролируемой сети с помощью UDV NTA 1.0
Проверка выполнения требований ИБ сотрудниками организации
В процессе анализа действий потенциального злоумышленника с помощью UDV NTA 1.0 можно рассмотреть различные сценарии проникновения в инфраструктуру. Например, это может быть использование незащищённых соединений, перенастройка каналов удалённого доступа или передача учётных данных в открытом виде.
После того как были сформулированы требования по устранению нарушений политики информационной безопасности, UDV NTA 1.0 позволяет проверить, были ли выполнены эти требования сотрудниками организации.
Поиск сетевых соединений по протоколам удаленного доступа в UDV NTA 1.0
Как результат, количество уязвимостей, ведущих к ключевым системам, снижается или совсем исключается.
Раннее обнаружение и локализация угроз в реальном времени
Ключевая цель в процессе предотвращения угрозы — это понимание действий и планов злоумышленников на протяжении всего цикла кибератак.
Детальное изучение сетевого трафика на уровне приложений даёт возможность получить все необходимые данные для создания полной картины сетевых взаимодействий и их отображения на сетевой карте.
Карта сетевых взаимодействий актива с другими сетевыми узлами из внутренней сети организации
UDV NTA 1.0 объединяет в себе возможности обнаружения на основе IDS и глубокого анализа сети, что позволяет выявлять вредоносное поведение.
Благодаря полной прозрачности действий в сети, система позволяет сосредоточиться на реальных угрозах.
Детализация событий IDS через связь с сетевыми сессиями в UDV NTA 1.0
Выявление скрытых угроз
UDV NTA 1.0 использует технологию машинного обучения (ML) для обнаружения сложных и скрытых атак, которые не могут быть обнаружены с помощью традиционных сигнатурных методов.
Алгоритмы анализируют сетевую активность и выявляют аномалии в поведении узлов, необычные модели трафика и скрытые каналы передачи данных. Это особенно важно для противодействия целевым атакам, когда злоумышленники пытаются избежать срабатывания классических систем защиты.
Интеграция ML в UDV NTA 1.0 позволяет системе активно обнаруживать угрозы, которые могли бы остаться незамеченными в течение длительного времени.
Событие о выявлении паттерна туннелирования моделью машинного обучения
Выводы
UDV NTA 1.0 — это адаптивное решение для отслеживания активности в сети, созданное с учётом российских стандартов в сфере защиты информации. Оно позволяет тщательно контролировать внутренний трафик, способствует расследованию инцидентов и повышает продуктивность работы служб информационной безопасности.
Благодаря возможности масштабирования, централизованному управлению и сертификации в составе защищённых систем, UDV NTA 1.0 представляет интерес как для коммерческих предприятий, так и для критически важных инфраструктур.
Ключевой элемент сетевой видимости и раннего обнаружения кибератак.
