Гарда NDR

Основные статьи:

• Межсетевой экран (Firewall)
• Антивирусы

2024

«Гарда NDR 4.1» с повышенной эффективностью детектирования сетевых угроз

Обновленный комплекс «Гарда NDR» повышает эффективность детектирования сетевых угроз за счет комбинации сигнатурных и несигнатурных методов, снижает время реагирования на инциденты и нагрузку на ИБ-специалистов, оптимизирует работу аналитиков безопасности, позволяя им быстрее принимать обоснованные решения и оценивать текущие риски и принимать меры по защите активов. Об этом Гарда Технологии сообщили 10 декабря 2024 года.

Обновленный алгоритм машинного обучения детектирует повторяющиеся последовательности уникальных сетевых запросов к управляющим центрам (C&C) вредоносного программного обеспечения. Кроме того, обновленная версия «Гарда NDR» обнаруживает коммуникации с криптомайнинговыми хостами без использования базы известных угроз IDS и репутационных списков. Рынок IIoT в РФ: рост или тупик?

«Гарда NDR 4.1» более точно детектирует сетевые угрозы за счет комбинации сигнатурных и несигнатурных методов анализа – в релиз добавлена опция контроля количества угроз. Она совмещает анализ поведения отдельного хоста со сработками сигнатур IDS, помогает обнаруживать превышение количества уникальных сигнатур IDS, поступающего на хост или инициированного от хоста за интервал времени.

Снизить время реагирования на инциденты и нагрузку на специалистов ИБ-команд позволяет интеграция с песочницами Check Point и AV Soft – «Гарда NDR» автоматически отправляет извлеченные файлы на проверку. Так существенно упрощается анализ подозрительных файлов.

Эффективность и скорость принятия аналитиками решений с «Гарда NDR 4.1» обеспечивает улучшенная навигация между событиями и политиками. Теперь из карточки политики можно перейти в аномалию или на дашборд к агрегированным инцидентам по конкретной политике.

Гарда NDR детектирует продвинутое вредоносное программное обеспечение, используемое атакующими фреймворками: Cobalt Strike, Brute Ratel C4 и Sliver даже в соединения HTTPS, DNS и DNS-over-HTTPS, ‒ добавил Станислав Грибанов, руководитель продукта "Гарда NDR". ‒ Машинное обучение без привязки к базам IDS и репутационным спискам Threat Intelligence позволяет заказчикам эффективно выявлять скрытые угрозы и лучше контролировать безопасность сетей.

В систему добавлен новый виджет «Карта угроз» для быстрой оценки текущих рисков и оперативного принятия мер по защите активов. Инструмент отображает географическую карту с цветовой маркировкой стран по уровню угроз сработавших сигнатур IDS.

Интеграция с AVSoft Athena

Система защиты от целенаправленных атак AVSOFT ATHENA на базе технологий антивирусного мультисканера и песочницы прошла интеграцию с системой для выявления кибератак, расследования сетевых инцидентов и защиты сети от проникновения «Гарда NDR», что позволит клиентам значительно повысить уровень защиты от кибератак, а также расширить возможности мониторинга и анализа вредоносных объектов. Интеграция, в отличие от моновендорных экосистем, предоставляет заказчикам возможность применять гибкие сценарии проверки файлов. Об этом Гарда сообщила 4 декабря 2024 года.

Применение технологий антивирусного мультисканера и динамического анализа для оценки безопасности каждого обнаруженного артефакта в трафике является необходимым элементом в построении качественной системы защиты. Совместное применение решений значительно усиливает периметр защиты ИТ-инфраструктуры заказчика благодаря гибкой системе анализа трафика и оперативному выявлению аномалий.

Экспертиза «АВ Софт» в части выявления вредоносного программного кода и группы компаний «Гарда» – в части технологий глубокого анализа сетевого трафика – стали основой договоренностей о дальнейшем сотрудничестве. В будущем состав интеграций различных решений из портфелей партнеров планируется расширять.

Интеграция с ATHENA предоставит клиентам возможность усиления обеспечения безопасности с помощью средства защиты «Гарда NDR» посредством комплексного анализа метаданных пакетов сетевого трафика. Детектирования аномалий и отклонений от нормального поведения в сети, благодаря чему позволит выявить даже скрытые атаки и продвинутые угрозы и реагировать на сетевые инциденты.

Интеграция с AxelNAC

Продуктовая студия Axel PRO и группа компаний «Гарда» объединили усилия для обеспечения интегральной защиты сетевой инфраструктуры российского бизнеса и повышения оперативности реагирования на актуальные угрозы. Об этом Гарда сообщила 29 августа 2024 года.

Для достижения стратегических целей компании интегрируют «Гарда NDR» и AxelNAC. Подробнее здесь.

Возможность предотвращать сложно детектируемые сетевые атаки

Группа компаний «Гарда» обновила систему NDR, предназначенную для выявления и предотвращения кибератак. Об этом компания сообщила 28 августа 2024 года. Теперь заказчики имеют возможность предотвращать сложно детектируемые сетевые атаки. С помощью моделей машинного обучения на основе технологии автокорреляции «Гарда NDR» выявляет аномалии в сетевом трафике и определяет обращения к центрам управления ботнетами.

Эксперты группы компаний «Гарда» добавили в перечень инструментов системы NDR модель машинного обучения для выявления обращений к центрам управления ботнетов (Command&Control Center, С&C) с поддержкой автокорреляции.

Технология позволяет выявлять повторяющиеся последовательности из нескольких уникальных запросов ботов к их центрам управления. Система выявляет скрытые зависимости в сетевом трафике, более точно определяет аномалии, которые указывают на присутствие ботов и их активность в сети. В результате, «Гарда NDR» применима для противодействия даже сложно детектируемым сетевым угрозам.

Модель устойчива к шифрованию и поддерживает детектирование даже при использовании туннелей DNS-over-HTTPs.

В 2021 мы выпустили первую версию поведенческих ML-моделей (моделей машинного обучения) и приняли стратегическое решение развивать несигнатурные методы выявления угроз и аномалий, которые являются ключевым элементом функциональности для NTA/NDR-решений, – отметил руководитель разработки продукта «Гарда NDR» Павел Шубин. – С того момента ML-модели «Гарда NDR» существенно эволюционировали, теперь они способны выявлять даже неочевидные отклонения поведения устройств и пользователей, которые нельзя определить другими методами. Поведенческие модели (профилирование) с учетом постоянно возрастающей сложности атак по-прежнему остаются наиболее действенным инструментом их детектирования.

Мы ясно пониманием, что российский подход к NTA-решениям, основанный на сочетании IDS и DPI, устарел и не отвечает задачам рынка и актуальному ландшафту угроз. Мы постоянно совершенствуем ML-модели и выпустили новую модель для детектирования обращений к C&C, которая позволяет детектировать маскирующиеся последовательности из нескольких уникальных "отстуков", – добавил руководитель продукта «Гарда NDR» Станислав Грибанов.

Планы применения в «Гарда NDR» методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных

Группа компаний «Гарда» и инжиниринговый центр Национального исследовательского государственного университета им. Н.И. Лобачевского разработали решение для выявления угроз информационной безопасности в больших объемах сетевых потоков данных с использованием методов машинного обучения. Об этом «Гарда» сообщила 23 июля 2024 года.

Эксперты группы компаний «Гарда» совместно с учеными Инжинирингового центра Университета Лобачевского завершили исследование использования методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных. Его результаты будут использоваться в продуктах для сетевой безопасности «Гарда», например, «Гарда NDR», и позволят повысить точность детектирования известных угроз и эффективность выявления атак «нулевого дня». Решение увеличит степень защищенности крупных сетевых инфраструктур, где мониторинг сетевого трафика наиболее эффективен с использованием NetFlow.

В разработанном решении используется каскад из ML-алгоритмов и набор синтезированных признаков на основе параметров сетевого трафика, доступных по протоколу NetFlow. В результате проведенных исследований были установлены оптимальные параметры алгоритмов, проведены оценки производительности решения на различных типах и объемах сетевого трафика с учетом изменчивости, сезонности и других факторов.

Предметом совместного исследования стали актуальные задачи информационной безопасности (ИБ), защита как от известных, так и не известных ранее классов угроз. Задача детектирования и классификации угроз исследовалась и решалась методами матстатистики и искусственного интеллекта. Большой объем данных сетевого трафика позволил учесть фактор «сезонности», зависимость параметров от ряда внешних факторов, определить условия детектирования неизвестной угрозы. Совместно проведен ряд объемных исследований, получено искомое актуальное решение и ценный практический опыт, которым мы с радостью поделимся с нашими студентами в процессе обучения. Мы надеемся на дальнейшее плодотворное сотрудничество с группой компаний «Гарда», говорит руководитель проекта, доктор технических наук, профессор кафедры высокопроизводительных вычислений и системного программирования Института информационных технологий, математики и механики ННГУ Вадим Турлапов.

Помимо проведения совместных научно-исследовательских работ, это еще и стажировки студентов, и организация производственной и преддипломной практики. Полученные результаты обогащают арсенал наших передовых методов выявления угроз ИБ и помогают сделать существенный шаг в их развитии. Проведенные исследования – замечательный пример кооперации науки и бизнеса, когда в выигрыше оказываются обе стороны. Мы будем рады дальнейшему развитию наших отношений, отметил Владимир Пономарев, первый заместитель генерального директора «Гарда Технологии» (входит в группу компаний «Гарда»).

«Гарда NDR 4.0» с увеличенной записью содержимого сетевых потоков в 8 раз

Разработчики «Гарда NDR» многократно повысили производительность решения, обновленная версия позволит заказчикам оптимизировать затраты на оборудование и снизить нагрузку на сеть. Об этом разработчик сообщил 19 июня 2024 года.

Ключевое изменение «Гарда NDR 4.0» коснулось производительности подсистемы записи содержимого сетевых потоков. Скорость записи увеличена в 8 раз. Таким образом, один совмещенный сервер, который включает сенсор, систему хранения и систему управления, поддерживает обработку до 10Гбит/c сетевого трафика.

Один совмещенный сервер обрабатывает до 10 Гбит/сек, при этом поддерживает централизованное развертывание, управление политиками безопасности и горизонтальное масштабирование производительности. Мы первыми из отечественных вендоров реализовали в NDR-системе функционал активного реагирования full packet capture – динамической записи трафика при срабатывании политик, – сказал руководитель продукта «Гарда NDR» Станислав Грибанов.

«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения трафика. За счет опции активного реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты информационной безопасности – до нескольких недель.

Обновленная версия «Гарда NDR» оперативно детектирует скомпрометированные устройства, защищая тем самым сеть организации от возможных атак. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов. Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри dns-over-https-туннелей в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.

Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60 таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики соответствуют матрице MITRE ATT&CK и Kill Chain.

За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов (DPI-фильтров трафика) в новой версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз (zero-day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество сигнатур и сгруппированных простых правил.

Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов.

2023: Гарда NDR 3.4

Производитель семейства продуктов для защиты данных и сетевой безопасности, группа компаний «Гарда», 26 декабря 2023 года представил обновленную версию системы выявления и реагирования на сетевые угрозы «Гарда NDR 3.4». Обновления позволяют быстрее обнаруживать атаки на корпоративную сеть, более оперативно и точно реагировать на инциденты. Обновленные формы настраиваемых отчетов упрощают контроль подозрительных событий в сети и облегчают анализ данных для эффективного реагирования на инциденты.

Обновленная версия системы «Гарда NDR» более эффективно анализирует и обрабатывает сетевые данные за счет поддержки протокола NSEL. Оптимизация обработки данных NetFlow, включая группировку сессий, позволила более наглядно отображать события и сократить время подготовки отчетов.

В версии «Гарда NDR 3.4» усовершенствован процесс обнаружения вредоносного программного обеспечения (ПО): внедрен механизм подсчета хэш-сумм файлов и ссылка для автоматической проверки на вирусы. Опция помогает обогащать информацию о зловреде, как следствие, производить глубокий анализ данных и принимать эффективные меры реагирования.

Мы добавили возможность передачи данных в SIEM и поддержку внешних интеграций через Python-скрипты для ML и пороговых поведенческих моделей, – сказал Станислав Грибанов, руководитель продукта Гарда NDR группы компаний «Гарда». – Это значительно улучшит возможности активного реагирования на инциденты и обеспечит более полное представление о происходящих событиях.

В данном релизе сняты ограничения по количеству и вложенности логических групп управления информационным активами, так пользователь может удобнее создать и распределять активы в полную иерархическую структуру групп. Это делает работу с активами и их анализ в трафике более понятным и удобным в использовании.

В релизе 3.4 представлен обновленный редактор отчетов, который позволяет настраивать виджеты в соответствии с индивидуальными потребностям пользователями, получать репорты по расписанию, а значит, контролировать работу приложения. Форма отчетов стала более гибкой, что расширяет возможности аналитики. Теперь виджеты можно экспортировать и импортировать – так разработчики облегчили перенос конфигураций дашбордов и упростили настройку под задачи заказчика.