Разработчики: | Гарда Технологии |
Дата последнего релиза: | 2024/12/10 |
Отрасли: | Информационная безопасность |
Технологии: | ИБ - Антивирусы, ИБ - Межсетевые экраны |
Основные статьи:
2024
«Гарда NDR 4.1» с повышенной эффективностью детектирования сетевых угроз
Обновленный комплекс «Гарда NDR» повышает эффективность детектирования сетевых угроз за счет комбинации сигнатурных и несигнатурных методов, снижает время реагирования на инциденты и нагрузку на ИБ-специалистов, оптимизирует работу аналитиков безопасности, позволяя им быстрее принимать обоснованные решения и оценивать текущие риски и принимать меры по защите активов. Об этом Гарда Технологии сообщили 10 декабря 2024 года.
Обновленный алгоритм машинного обучения детектирует повторяющиеся последовательности уникальных сетевых запросов к управляющим центрам (C&C) вредоносного программного обеспечения. Кроме того, обновленная версия «Гарда NDR» обнаруживает коммуникации с криптомайнинговыми хостами без использования базы известных угроз IDS и репутационных списков. Российский рынок облачных ИБ-сервисов только формируется
«Гарда NDR 4.1» более точно детектирует сетевые угрозы за счет комбинации сигнатурных и несигнатурных методов анализа – в релиз добавлена опция контроля количества угроз. Она совмещает анализ поведения отдельного хоста со сработками сигнатур IDS, помогает обнаруживать превышение количества уникальных сигнатур IDS, поступающего на хост или инициированного от хоста за интервал времени.
Снизить время реагирования на инциденты и нагрузку на специалистов ИБ-команд позволяет интеграция с песочницами Check Point и AV Soft – «Гарда NDR» автоматически отправляет извлеченные файлы на проверку. Так существенно упрощается анализ подозрительных файлов.
Эффективность и скорость принятия аналитиками решений с «Гарда NDR 4.1» обеспечивает улучшенная навигация между событиями и политиками. Теперь из карточки политики можно перейти в аномалию или на дашборд к агрегированным инцидентам по конкретной политике.
Гарда NDR детектирует продвинутое вредоносное программное обеспечение, используемое атакующими фреймворками: Cobalt Strike, Brute Ratel C4 и Sliver даже в соединения HTTPS, DNS и DNS-over-HTTPS, ‒ добавил Станислав Грибанов, руководитель продукта "Гарда NDR". ‒ Машинное обучение без привязки к базам IDS и репутационным спискам Threat Intelligence позволяет заказчикам эффективно выявлять скрытые угрозы и лучше контролировать безопасность сетей. |
В систему добавлен новый виджет «Карта угроз» для быстрой оценки текущих рисков и оперативного принятия мер по защите активов. Инструмент отображает географическую карту с цветовой маркировкой стран по уровню угроз сработавших сигнатур IDS.
Интеграция с AVSoft Athena
Система защиты от целенаправленных атак AVSOFT ATHENA на базе технологий антивирусного мультисканера и песочницы прошла интеграцию с системой для выявления кибератак, расследования сетевых инцидентов и защиты сети от проникновения «Гарда NDR», что позволит клиентам значительно повысить уровень защиты от кибератак, а также расширить возможности мониторинга и анализа вредоносных объектов. Интеграция, в отличие от моновендорных экосистем, предоставляет заказчикам возможность применять гибкие сценарии проверки файлов. Об этом Гарда сообщила 4 декабря 2024 года.
Применение технологий антивирусного мультисканера и динамического анализа для оценки безопасности каждого обнаруженного артефакта в трафике является необходимым элементом в построении качественной системы защиты. Совместное применение решений значительно усиливает периметр защиты ИТ-инфраструктуры заказчика благодаря гибкой системе анализа трафика и оперативному выявлению аномалий.
Экспертиза «АВ Софт» в части выявления вредоносного программного кода и группы компаний «Гарда» – в части технологий глубокого анализа сетевого трафика – стали основой договоренностей о дальнейшем сотрудничестве. В будущем состав интеграций различных решений из портфелей партнеров планируется расширять.
Интеграция с ATHENA предоставит клиентам возможность усиления обеспечения безопасности с помощью средства защиты «Гарда NDR» посредством комплексного анализа метаданных пакетов сетевого трафика. Детектирования аномалий и отклонений от нормального поведения в сети, благодаря чему позволит выявить даже скрытые атаки и продвинутые угрозы и реагировать на сетевые инциденты.
Интеграция с AxelNAC
Продуктовая студия Axel PRO и группа компаний «Гарда» объединили усилия для обеспечения интегральной защиты сетевой инфраструктуры российского бизнеса и повышения оперативности реагирования на актуальные угрозы. Об этом Гарда сообщила 29 августа 2024 года.
Для достижения стратегических целей компании интегрируют «Гарда NDR» и AxelNAC. Подробнее здесь.
Возможность предотвращать сложно детектируемые сетевые атаки
Группа компаний «Гарда» обновила систему NDR, предназначенную для выявления и предотвращения кибератак. Об этом компания сообщила 28 августа 2024 года. Теперь заказчики имеют возможность предотвращать сложно детектируемые сетевые атаки. С помощью моделей машинного обучения на основе технологии автокорреляции «Гарда NDR» выявляет аномалии в сетевом трафике и определяет обращения к центрам управления ботнетами.
Эксперты группы компаний «Гарда» добавили в перечень инструментов системы NDR модель машинного обучения для выявления обращений к центрам управления ботнетов (Command&Control Center, С&C) с поддержкой автокорреляции.
Технология позволяет выявлять повторяющиеся последовательности из нескольких уникальных запросов ботов к их центрам управления. Система выявляет скрытые зависимости в сетевом трафике, более точно определяет аномалии, которые указывают на присутствие ботов и их активность в сети. В результате, «Гарда NDR» применима для противодействия даже сложно детектируемым сетевым угрозам.
Модель устойчива к шифрованию и поддерживает детектирование даже при использовании туннелей DNS-over-HTTPs.
В 2021 мы выпустили первую версию поведенческих ML-моделей (моделей машинного обучения) и приняли стратегическое решение развивать несигнатурные методы выявления угроз и аномалий, которые являются ключевым элементом функциональности для NTA/NDR-решений, – отметил руководитель разработки продукта «Гарда NDR» Павел Шубин. – С того момента ML-модели «Гарда NDR» существенно эволюционировали, теперь они способны выявлять даже неочевидные отклонения поведения устройств и пользователей, которые нельзя определить другими методами. Поведенческие модели (профилирование) с учетом постоянно возрастающей сложности атак по-прежнему остаются наиболее действенным инструментом их детектирования. |
Мы ясно пониманием, что российский подход к NTA-решениям, основанный на сочетании IDS и DPI, устарел и не отвечает задачам рынка и актуальному ландшафту угроз. Мы постоянно совершенствуем ML-модели и выпустили новую модель для детектирования обращений к C&C, которая позволяет детектировать маскирующиеся последовательности из нескольких уникальных "отстуков", – добавил руководитель продукта «Гарда NDR» Станислав Грибанов. |
Планы применения в «Гарда NDR» методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных
Группа компаний «Гарда» и инжиниринговый центр Национального исследовательского государственного университета им. Н.И. Лобачевского разработали решение для выявления угроз информационной безопасности в больших объемах сетевых потоков данных с использованием методов машинного обучения. Об этом «Гарда» сообщила 23 июля 2024 года.
Эксперты группы компаний «Гарда» совместно с учеными Инжинирингового центра Университета Лобачевского завершили исследование использования методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных. Его результаты будут использоваться в продуктах для сетевой безопасности «Гарда», например, «Гарда NDR», и позволят повысить точность детектирования известных угроз и эффективность выявления атак «нулевого дня». Решение увеличит степень защищенности крупных сетевых инфраструктур, где мониторинг сетевого трафика наиболее эффективен с использованием NetFlow.
В разработанном решении используется каскад из ML-алгоритмов и набор синтезированных признаков на основе параметров сетевого трафика, доступных по протоколу NetFlow. В результате проведенных исследований были установлены оптимальные параметры алгоритмов, проведены оценки производительности решения на различных типах и объемах сетевого трафика с учетом изменчивости, сезонности и других факторов.
Предметом совместного исследования стали актуальные задачи информационной безопасности (ИБ), защита как от известных, так и не известных ранее классов угроз. Задача детектирования и классификации угроз исследовалась и решалась методами матстатистики и искусственного интеллекта. Большой объем данных сетевого трафика позволил учесть фактор «сезонности», зависимость параметров от ряда внешних факторов, определить условия детектирования неизвестной угрозы. Совместно проведен ряд объемных исследований, получено искомое актуальное решение и ценный практический опыт, которым мы с радостью поделимся с нашими студентами в процессе обучения. Мы надеемся на дальнейшее плодотворное сотрудничество с группой компаний «Гарда», говорит руководитель проекта, доктор технических наук, профессор кафедры высокопроизводительных вычислений и системного программирования Института информационных технологий, математики и механики ННГУ Вадим Турлапов.
|
Помимо проведения совместных научно-исследовательских работ, это еще и стажировки студентов, и организация производственной и преддипломной практики. Полученные результаты обогащают арсенал наших передовых методов выявления угроз ИБ и помогают сделать существенный шаг в их развитии. Проведенные исследования – замечательный пример кооперации науки и бизнеса, когда в выигрыше оказываются обе стороны. Мы будем рады дальнейшему развитию наших отношений,
отметил Владимир Пономарев, первый заместитель генерального директора «Гарда Технологии» (входит в группу компаний «Гарда»).
|
«Гарда NDR 4.0» с увеличенной записью содержимого сетевых потоков в 8 раз
Разработчики «Гарда NDR» многократно повысили производительность решения, обновленная версия позволит заказчикам оптимизировать затраты на оборудование и снизить нагрузку на сеть. Об этом разработчик сообщил 19 июня 2024 года.
Ключевое изменение «Гарда NDR 4.0» коснулось производительности подсистемы записи содержимого сетевых потоков. Скорость записи увеличена в 8 раз. Таким образом, один совмещенный сервер, который включает сенсор, систему хранения и систему управления, поддерживает обработку до 10Гбит/c сетевого трафика.
Один совмещенный сервер обрабатывает до 10 Гбит/сек, при этом поддерживает централизованное развертывание, управление политиками безопасности и горизонтальное масштабирование производительности. Мы первыми из отечественных вендоров реализовали в NDR-системе функционал активного реагирования full packet capture – динамической записи трафика при срабатывании политик, – сказал руководитель продукта «Гарда NDR» Станислав Грибанов. |
«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения трафика. За счет опции активного реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты информационной безопасности – до нескольких недель.
Обновленная версия «Гарда NDR» оперативно детектирует скомпрометированные устройства, защищая тем самым сеть организации от возможных атак. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов. Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри dns-over-https-туннелей в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.
Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60 таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики соответствуют матрице MITRE ATT&CK и Kill Chain.
За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов (DPI-фильтров трафика) в новой версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз (zero-day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество сигнатур и сгруппированных простых правил.
Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов.
2023: Гарда NDR 3.4
Производитель семейства продуктов для защиты данных и сетевой безопасности, группа компаний «Гарда», 26 декабря 2023 года представил обновленную версию системы выявления и реагирования на сетевые угрозы «Гарда NDR 3.4». Обновления позволяют быстрее обнаруживать атаки на корпоративную сеть, более оперативно и точно реагировать на инциденты. Обновленные формы настраиваемых отчетов упрощают контроль подозрительных событий в сети и облегчают анализ данных для эффективного реагирования на инциденты.
Обновленная версия системы «Гарда NDR» более эффективно анализирует и обрабатывает сетевые данные за счет поддержки протокола NSEL. Оптимизация обработки данных NetFlow, включая группировку сессий, позволила более наглядно отображать события и сократить время подготовки отчетов.
В версии «Гарда NDR 3.4» усовершенствован процесс обнаружения вредоносного программного обеспечения (ПО): внедрен механизм подсчета хэш-сумм файлов и ссылка для автоматической проверки на вирусы. Опция помогает обогащать информацию о зловреде, как следствие, производить глубокий анализ данных и принимать эффективные меры реагирования.
Мы добавили возможность передачи данных в SIEM и поддержку внешних интеграций через Python-скрипты для ML и пороговых поведенческих моделей, – сказал Станислав Грибанов, руководитель продукта Гарда NDR группы компаний «Гарда». – Это значительно улучшит возможности активного реагирования на инциденты и обеспечит более полное представление о происходящих событиях. |
В данном релизе сняты ограничения по количеству и вложенности логических групп управления информационным активами, так пользователь может удобнее создать и распределять активы в полную иерархическую структуру групп. Это делает работу с активами и их анализ в трафике более понятным и удобным в использовании.
В релизе 3.4 представлен обновленный редактор отчетов, который позволяет настраивать виджеты в соответствии с индивидуальными потребностям пользователями, получать репорты по расписанию, а значит, контролировать работу приложения. Форма отчетов стала более гибкой, что расширяет возможности аналитики. Теперь виджеты можно экспортировать и импортировать – так разработчики облегчили перенос конфигураций дашбордов и упростили настройку под задачи заказчика.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
TUV Austria (2)
Сторм системс (StormWall) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Check Point Software Technologies (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (78)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (900)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 368)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (368, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
Лаборатория Касперского (Kaspersky) (2, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Endpoint Security - 82
Kaspersky Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 433
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Trend Micro: Deep Discovery - 2
Kaspersky Industrial CyberSecurity (KICS) - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky ASAP Automated Security Awareness Platform - 1
UserGate Proxy & Firewall - 1
Kaspersky Industrial CyberSecurity (KICS) - 1
Другие 3