Статья описывает эволюцию систем обнаружения и предотвращения вторжений (IPS/IDS) и их недостатки, которые привели к развитию новых решений, таких как Network Traffic Analysis (NTA). Технологии NTA устраняют проблемы классических IPS, используя поведенческий анализ для детектирования современных угроз, включая zero-day атаки.
Ранее IPS/IDS представляли собой отдельный класс систем, в составе которых есть несколько сенсоров, расположенных в различных сетевых сегментах. Однако уже много лет этот подход практически изжил себя.
На текущий момент функциональность обнаружения и предотвращения сетевых вторжений является неотъемлемым базовым компонентом любого NGFW. Как правило, отличие заключается только в выборе типа работы: “prevent” или “detect”.
Так в чем же заключаются основные недостатки IPS, которые привели к вырождению этих решений как отдельного класса:
Стоит отдельно остановиться на негативных особенностях сигнатур, которые, в конечном итоге, привели к прекращению развития IPS/IDS, как отдельного класса решений:
В качестве попытки решения проблем классических IPS/IDS-систем, их функциональность была улучшена в новом классе — Next Generation IPS/IDS.
Next Generation IPS/IDS, в зависимости от вендора, мог иметь следующую набор возможностей:
Next Generation IPS/IDS представляли такие вендоры, как Сisco (SourceFire), McAfee, Tipping Point, Fire Eye.
Например, вендор Tipping Point, впоследствии поглощенный TrendMicro, был одним из лидеров квадранта Gartner Intrusion detection and prevention systems в 2018 году. Для своего продукта TippingPoint Threat Protection System он заявляет следующую функциональность: “TPS применяет статистические модели, разработанные с использованием методов машинного обучения (“TPS uses statistical models developed with machine learning techniques”).
Описание показывает, что машинное обучение в данном контексте использовано больше в качестве технического маркетинга, а детектирование происходит через статические модели.
Важно отметить, что в квадрате Gartner Intrusion detection and prevention systems 2018, в качестве визионера присутствовал вендор Vectra AI (ранее Vectra Networks) с продуктом Cognito, который далее станет активным представителем класса продуктов NTA и NDR.
Комметруя выход отчета GARTNER, Vectra AI заявили следующее:
Cognito использует искусственный интеллект (ИИ) для непрерывного автоматизированного поиска угроз с помощью постоянно обучающихся поведенческих моделей, чтобы быстро и эффективно находить скрытых и неизвестных злоумышленников, прежде чем они нанесут ущерб.
То есть уже в 2018 году определенные продукты предлагали подход, основанный на использовании машинного обучения и детектирования аномалий поведения, но на тот момент не существовало общепринятой классификации такого подхода.
Резюмируя, можно сказать, что NGIPS поддерживал различные дополнительные технологии безопасности, но основополагающими все равно оставались сигнатуры, базирующиеся на известных угрозах и использовании большого количества сенсоров в разных сегментах сети.
Такой подход не решал главную проблему – детектирование неизвестных атак и уязвимостей.
Недостатки NGIPS/IDS и изменившийся ландшафт угроз привели к тому, что вендоры, занимавшиеся сетевой безопасностью и мониторингом сетевой производительности (NPMD — network performance monitoring and diagnostics), стали дорабатывать свои продукты, предлагая новый подход, не основанный на сигнатурах известных атак и уязвимостей.
В 2017 году международное аналитическое агентство Gartner выпустило отчет: ”Gartner Top Technologies for Security in 2017”, в котором фигурировал новый класс продуктов Network Traffic Analysis (NTA).
Gartner предоставлял следующее определение:
NTA — это подход, основанный на мониторинге сетевого трафика, потоков, соединений и объектов в поисках вредоносных (malicious) намерений.
NTA будет выявлять, отслеживать и сортировать соответствующие события.
В качестве обоснования появления NTA, Deception и других классов продуктов указывалось:
Руководители служб безопасности и управления рисками должны оценивать и использовать новейшие технологии для защиты от продвинутых атак, более эффективного осуществления цифровой трансформации бизнеса и внедрения новых стилей вычислений, таких как облака, мобильность и DevOps.
В 2019 Gartner опубликовал “Market Guide for Network Traffic Analysis”, в котором более точно дал определение этому классу продуктов и указал требования для соответствия ему.
C точки зрения Gartner, NTA имеет следующее определение:
NTA использует комбинацию машинного обучения, расширенной аналитики и обнаружения на основе правил для детектирования подозрительной активности в корпоративных сетях. NTA непрерывно анализируют сырой трафик и/или данные сетевой телеметрии (например, NetFlow) для построения моделей, отражающих нормальное поведение сети (baseline). Когда NTA детектируют аномальный трафик, они направляют оповещения. Также требуется определять направление сетевого трафика или сетевой телеметрии из интернета в сеть организации (north/south) и сетевое взаимодействие через нескольких внутренних подсетей (east/west).
Критерии Gartner для включения в класс NTA согласно “Market Guide for Network Traffic Analysis 2019”:
Какие системы не могут считаться NTA согласно “Market Guide for Network Traffic Analysis 2019” Gartner:
Описанные требования позволяют сделать вывод, что системы класса NTA, благодаря поддержке технологий детектирования сетевых отклонений от нормального поведения, позволяют закрыть уязвимые места NGIPS. Здесь также можно увидеть аналогичный тренд с точки зрения защиты хостов. Возможностей Endpoint Protection не хватало для защиты от zero-day атак, поэтому появились как решения класса EDR (Endpoint Detection and Response), опирающиеся на несигнатурные методы выявления атак, так и песочницы (Sandbox) для безопасной проверки сценариев поведения подозрительных файлов. Именно детектирование аномалий на базе сетевого трафика позволяет NTA выявлять zero-day угрозы без использования известного payload.
Несколько примеров детектирования аномалий в системах класса NTA:
За NTA ошибочно принимается использование ограниченного функционала NGFW на основе модулей IDS и DPI совместно с системой записи трафика, но такая схема не решает главную задачу – детектирование zero-day и тех угроз, которых нет в базе сетевых атак или в репутационных списках.
Таким образом, именно технологии создания профилей (baseline — нормального поведения и детектирование отклонений от них) в отличии от детектирования по базе известных сетевых атак IDS и репутации IP/хостов на основе сетевого трафика, обуславливают более высокую стоимость лицензии за 1Гбит/c для NTA.
Авторы публикации:
Станислав Грибанов — эксперт по продуктам сетевой безопасности и conversational AI, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса»,
Ксения Крупкина — эксперт по продуктовому маркетингу в направлении сетевой безопасности.
Собираем и анализируем опыт профессионалов ИБ