Обновленная NDR-система «Гарда»: рост производительности
Компания «Гарда Технологии» объявила, что в обновленном NDR-решении многократно повысилась производительность, что позволит снизить нагрузку на сеть. Ключевое нововведение «Гарда NDR 4.0» коснулось производительности подсистемы записи содержимого сетевых потоков: скорость записи увеличена в 8 раз. Таким образом, один совмещенный сервер, который включает сенсор, систему хранения и систему управления, поддерживает обработку до 10 Гбит/c сетевого трафика.
Как комментируют в компании, удалось добиться рекордной для российского рынка производительности. Сервер обрабатывает до 10 Гбит/с трафика и при этом поддерживает централизованное развертывание, управление политиками безопасности и горизонтальное масштабирование производительности. Разработчики «Гарда NDR» первыми из отечественных вендоров реализовали в NDR-системе функционал активного реагирования full packet capture – динамической записи трафика при срабатывании политик.
«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения трафика. За счет опции активного реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты ИБ – хранить до нескольких недель.
Новая версия оперативно детектирует скомпрометированные устройства. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов. Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри туннелей dns-over-https в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.
Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60 таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики соответствуют матрице MITRE ATT&CK и Kill Chain.
За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов (DPI-фильтров трафика) в версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз (zero day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество сигнатур и сгруппированных простых правил. Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов.