Гарда NDR

Основные статьи:

• Межсетевой экран (Firewall)
• Антивирусы

2024

Планы применения в «Гарда NDR» методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных

Группа компаний «Гарда» и инжиниринговый центр Национального исследовательского государственного университета им. Н.И. Лобачевского разработали решение для выявления угроз информационной безопасности в больших объемах сетевых потоков данных с использованием методов машинного обучения. Об этом «Гарда» сообщила 23 июля 2024 года.

Эксперты группы компаний «Гарда» совместно с учеными Инжинирингового центра Университета Лобачевского завершили исследование использования методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных. Его результаты будут использоваться в продуктах для сетевой безопасности «Гарда», например, «Гарда NDR», и позволят повысить точность детектирования известных угроз и эффективность выявления атак «нулевого дня». Решение увеличит степень защищенности крупных сетевых инфраструктур, где мониторинг сетевого трафика наиболее эффективен с использованием NetFlow.Гид по NGFW. 10 наиболее заметных продуктов, доступных на российском рынке 6.7 т

В разработанном решении используется каскад из ML-алгоритмов и набор синтезированных признаков на основе параметров сетевого трафика, доступных по протоколу NetFlow. В результате проведенных исследований были установлены оптимальные параметры алгоритмов, проведены оценки производительности решения на различных типах и объемах сетевого трафика с учетом изменчивости, сезонности и других факторов.

Предметом совместного исследования стали актуальные задачи информационной безопасности (ИБ), защита как от известных, так и не известных ранее классов угроз. Задача детектирования и классификации угроз исследовалась и решалась методами матстатистики и искусственного интеллекта. Большой объем данных сетевого трафика позволил учесть фактор «сезонности», зависимость параметров от ряда внешних факторов, определить условия детектирования неизвестной угрозы. Совместно проведен ряд объемных исследований, получено искомое актуальное решение и ценный практический опыт, которым мы с радостью поделимся с нашими студентами в процессе обучения. Мы надеемся на дальнейшее плодотворное сотрудничество с группой компаний «Гарда», говорит руководитель проекта, доктор технических наук, профессор кафедры высокопроизводительных вычислений и системного программирования Института информационных технологий, математики и механики ННГУ Вадим Турлапов.

Помимо проведения совместных научно-исследовательских работ, это еще и стажировки студентов, и организация производственной и преддипломной практики. Полученные результаты обогащают арсенал наших передовых методов выявления угроз ИБ и помогают сделать существенный шаг в их развитии. Проведенные исследования – замечательный пример кооперации науки и бизнеса, когда в выигрыше оказываются обе стороны. Мы будем рады дальнейшему развитию наших отношений, отметил Владимир Пономарев, первый заместитель генерального директора «Гарда Технологии» (входит в группу компаний «Гарда»).

«Гарда NDR 4.0» с увеличенной записью содержимого сетевых потоков в 8 раз

Разработчики «Гарда NDR» многократно повысили производительность решения, обновленная версия позволит заказчикам оптимизировать затраты на оборудование и снизить нагрузку на сеть. Об этом разработчик сообщил 19 июня 2024 года.

Ключевое изменение «Гарда NDR 4.0» коснулось производительности подсистемы записи содержимого сетевых потоков. Скорость записи увеличена в 8 раз. Таким образом, один совмещенный сервер, который включает сенсор, систему хранения и систему управления, поддерживает обработку до 10Гбит/c сетевого трафика.

Один совмещенный сервер обрабатывает до 10 Гбит/сек, при этом поддерживает централизованное развертывание, управление политиками безопасности и горизонтальное масштабирование производительности. Мы первыми из отечественных вендоров реализовали в NDR-системе функционал активного реагирования full packet capture – динамической записи трафика при срабатывании политик, – сказал руководитель продукта «Гарда NDR» Станислав Грибанов.

«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения трафика. За счет опции активного реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты информационной безопасности – до нескольких недель.

Обновленная версия «Гарда NDR» оперативно детектирует скомпрометированные устройства, защищая тем самым сеть организации от возможных атак. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов. Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри dns-over-https-туннелей в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.

Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60 таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики соответствуют матрице MITRE ATT&CK и Kill Chain.

За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов (DPI-фильтров трафика) в новой версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз (zero-day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество сигнатур и сгруппированных простых правил.

Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов.

2023: Гарда NDR 3.4

Производитель семейства продуктов для защиты данных и сетевой безопасности, группа компаний «Гарда», 26 декабря 2023 года представил обновленную версию системы выявления и реагирования на сетевые угрозы «Гарда NDR 3.4». Обновления позволяют быстрее обнаруживать атаки на корпоративную сеть, более оперативно и точно реагировать на инциденты. Обновленные формы настраиваемых отчетов упрощают контроль подозрительных событий в сети и облегчают анализ данных для эффективного реагирования на инциденты.

Обновленная версия системы «Гарда NDR» более эффективно анализирует и обрабатывает сетевые данные за счет поддержки протокола NSEL. Оптимизация обработки данных NetFlow, включая группировку сессий, позволила более наглядно отображать события и сократить время подготовки отчетов.

В версии «Гарда NDR 3.4» усовершенствован процесс обнаружения вредоносного программного обеспечения (ПО): внедрен механизм подсчета хэш-сумм файлов и ссылка для автоматической проверки на вирусы. Опция помогает обогащать информацию о зловреде, как следствие, производить глубокий анализ данных и принимать эффективные меры реагирования.

Мы добавили возможность передачи данных в SIEM и поддержку внешних интеграций через Python-скрипты для ML и пороговых поведенческих моделей, – сказал Станислав Грибанов, руководитель продукта Гарда NDR группы компаний «Гарда». – Это значительно улучшит возможности активного реагирования на инциденты и обеспечит более полное представление о происходящих событиях.

В данном релизе сняты ограничения по количеству и вложенности логических групп управления информационным активами, так пользователь может удобнее создать и распределять активы в полную иерархическую структуру групп. Это делает работу с активами и их анализ в трафике более понятным и удобным в использовании.

В релизе 3.4 представлен обновленный редактор отчетов, который позволяет настраивать виджеты в соответствии с индивидуальными потребностям пользователями, получать репорты по расписанию, а значит, контролировать работу приложения. Форма отчетов стала более гибкой, что расширяет возможности аналитики. Теперь виджеты можно экспортировать и импортировать – так разработчики облегчили перенос конфигураций дашбордов и упростили настройку под задачи заказчика.