4 марта 2024
Статья 1. Введение
Цикл статей PT NAD Getting Started
Приветствуем вас в первой статье нового курса «PT NAD Getting Started» на платформе TS University!
В этом материале мы с вами обсудим назначение и архитектуру решения PT NAD, важность использования систем анализа сетевого трафика, а также нюансы лицензирования и сертификации продукта.
В этом материале мы с вами обсудим назначение и архитектуру решения PT NAD, важность использования систем анализа сетевого трафика, а также нюансы лицензирования и сертификации продукта.
Предназначение PT NAD
PT NAD — средство защиты информации класса NTA (Network traffic analysis — анализ сетевого трафика).
В отличие от других средств защиты информации, так или иначе направленных на поиск угроз в сетевом трафике, NTA обрабатывает не только пакеты, проходящие через периметр организации, но и трафик внутри локальной сети. Это позволяет обнаружить присутствие злоумышленника в сети, даже если момент проникновения не был предотвращен и/или зарегистрирован периметровыми средствами защиты.
PT NAD получает для анализа копию сетевого трафика и не стоит «в разрыв» (т.е не ставится на пути следования рабочего трафика). Поэтому он может обнаруживать атаки благодаря глубокому анализу сетевых пакетов, но не может самостоятельно их предотвращать.
Также система хранит проанализированный трафик, что позволяет расследовать прошедшие инциденты безопасности и восстанавливать цепочки атак.
В отличие от других средств защиты информации, так или иначе направленных на поиск угроз в сетевом трафике, NTA обрабатывает не только пакеты, проходящие через периметр организации, но и трафик внутри локальной сети. Это позволяет обнаружить присутствие злоумышленника в сети, даже если момент проникновения не был предотвращен и/или зарегистрирован периметровыми средствами защиты.
PT NAD получает для анализа копию сетевого трафика и не стоит «в разрыв» (т.е не ставится на пути следования рабочего трафика). Поэтому он может обнаруживать атаки благодаря глубокому анализу сетевых пакетов, но не может самостоятельно их предотвращать.
Также система хранит проанализированный трафик, что позволяет расследовать прошедшие инциденты безопасности и восстанавливать цепочки атак.
Почему важно использовать NTA?
Согласно исследованию издания Gartner: NTA наравне с EDR и SIEM является одним из трех основных элементов, составляющих SOC организации. Вместе эти продукты полностью покрывают всю сеть организации и позволяют централизованно следить за её состоянием.
В первую очередь мероприятия по информационной безопасности носят превентивный, а не реактивный характер (либо стремятся к этому). И направлены они на предотвращение угроз, а не их локализацию или устранение последствий, что уже является менее желательными исходами.
Поэтому практически любая компания, которая строит систему защиты информации, начинает с периметровых решений:
Согласно отчёту Positive technologies о результатах пентеста компаний в 2021—2022 годах: удалось получить доступ во внутреннюю сеть 96% организации, а среднее время, необходимое для получения максимальных привилегий в домене, составило 5 дней и 4 часа. При этом среднее время, которое злоумышленник находился в локальной сети до его обнаружения, составило в среднем 37 дней (основываясь на данных отчёта PT об итогах расследований инцидентов в 2021—2023).
Рассчитывать исключительно на средства защиты конечных точек тоже не стоит, так как они слепы к новым атакам и атакам «нулевого дня», вследствие чего злоумышленник может их обойти.
А вот следы своего присутствия в сети скрывать значительно сложнее. Это практически невозможно. Поэтому использование средства защиты NTA, детектирующего подозрительную активность внутри сети, совершенно необходимо.
Поэтому практически любая компания, которая строит систему защиты информации, начинает с периметровых решений:
- межсетевые экраны;
- прокси;
- почтовые шлюзы и т. д
Согласно отчёту Positive technologies о результатах пентеста компаний в 2021—2022 годах: удалось получить доступ во внутреннюю сеть 96% организации, а среднее время, необходимое для получения максимальных привилегий в домене, составило 5 дней и 4 часа. При этом среднее время, которое злоумышленник находился в локальной сети до его обнаружения, составило в среднем 37 дней (основываясь на данных отчёта PT об итогах расследований инцидентов в 2021—2023).
Рассчитывать исключительно на средства защиты конечных точек тоже не стоит, так как они слепы к новым атакам и атакам «нулевого дня», вследствие чего злоумышленник может их обойти.
А вот следы своего присутствия в сети скрывать значительно сложнее. Это практически невозможно. Поэтому использование средства защиты NTA, детектирующего подозрительную активность внутри сети, совершенно необходимо.
Архитектура PT NAD
С точки зрения выполняемых функций сервера могут иметь одну из двух ролей: Core и Sensor (для невысоких нагрузок один сервер может выполнять обе роли).
Сервера Sensor принимают копию сырого трафика, записывают его в хранилище в формате pcap и обрабатывают с помощью модуля глубокой инспекции пакетов ptdpi. Данный модуль разбирает пакеты по протоколам до 7 уровня по модели OSI, собирает их в сессии, обнаруживает в них атаки согласно правилам, извлекает из сессий файлы и вложения, а также собирает другие метаданные и передает их в Core-сервер.
Сперва метаданные попадают в модуль ptdpi-broker, который детализирует и наполняет их дополнительными данными с помощью служб обогащения и передает обогащенные метаданные в базу elasticsearch. Передачей данных из elasticsearch в веб-интерфейс продукта занимается отдельный модуль nad-web-server.
Один сервер с ролью Sensor может обрабатывать не более 10 Гбит/с сырого трафика, а Core сервер рассчитан на скорость до 5 Гбит/с.
PT NAD поддерживает горизонтальное масштабирование. При нехватке вычислительных ресурсов можно внедрить в систему серверы с необходимой ролью. Причем веб-сервис будет работать только на основном Core-сервере, а все дополнительные Core-сервера будут отвечать только за хранение метаданных и обработку запросов к elasticsearch.
Сервера Sensor принимают копию сырого трафика, записывают его в хранилище в формате pcap и обрабатывают с помощью модуля глубокой инспекции пакетов ptdpi. Данный модуль разбирает пакеты по протоколам до 7 уровня по модели OSI, собирает их в сессии, обнаруживает в них атаки согласно правилам, извлекает из сессий файлы и вложения, а также собирает другие метаданные и передает их в Core-сервер.
Сперва метаданные попадают в модуль ptdpi-broker, который детализирует и наполняет их дополнительными данными с помощью служб обогащения и передает обогащенные метаданные в базу elasticsearch. Передачей данных из elasticsearch в веб-интерфейс продукта занимается отдельный модуль nad-web-server.
Один сервер с ролью Sensor может обрабатывать не более 10 Гбит/с сырого трафика, а Core сервер рассчитан на скорость до 5 Гбит/с.
PT NAD поддерживает горизонтальное масштабирование. При нехватке вычислительных ресурсов можно внедрить в систему серверы с необходимой ролью. Причем веб-сервис будет работать только на основном Core-сервере, а все дополнительные Core-сервера будут отвечать только за хранение метаданных и обработку запросов к elasticsearch.
Лицензирование
Существует два (на самом деле три, но об этом мы поговорим чуть дальше) типа лицензий: базовые и инфраструктурные.
- Базовая лицензия определяет общий объем трафика, поступающий в продуктНиже представлен перечень базовых лицензий (числовое значение в названии обозначает предельно допустимый объем трафика в Гбит/с):
- PT-NAD-BASE-1
- PT-NAD-BASE-2
- PT-NAD-BASE-5
- PT-NAD-BASE-10
- PT-NAD-BASE-20
- PT-NAD-BASE-50
- PT-NAD-BASE-100
Базовые лицензии могут складываться между собой. Например, приобретя базовые лицензии PT-NAD-BASE-5 и две лицензии PT-NAD-BASE-2, мы суммарно получим ограничение в 9 Гбит/с. В одном продукте PT NAD должна присутствовать как минимум одна базовая лицензия. - Инфраструктурные лицензии приобретаются на используемые в системе серверы. PT-NAD-SRV приобретается для основного сервера с ролью CoreДля горизонтального масштабирования нужны кластерные лицензии PT-NAD-SRV-C.
А для сенсоров лицензии: PT-NAD-CAP-1000, PT-NAD-CAP-5000, PT-NAD-CAP-10 000.
Число в названии соответствует предельной скорости захвата трафика в Мбит/с. Как и базовые лицензии они могут складываться между собой. Однако стоит помнить, что один сервер с ролью Sensor не может принимать более 10 Гбит/с.
Все лицензии в итоге объединяются в один ключ, который активируется на основном узле. - Есть и третий, особый тип лицензий: All-in-oneОн объединяет в себе базовую и инфраструктурные лицензии и предназначен для активации в платформах с односерверной установкой.
Аналогично базовым и сенсорным All-in-one лицензии имеют ограничение на общий объем обрабатываемого трафика. Он указан в названии лицензии (в Мбит/с).
Однако, в отличие от них, складывать эти лицензии между собой нельзя.- PT-NAD-AIO-100
- PT-NAD-AIO-500
- PT-NAD-AIO-1000
- PT-NAD-AIO-2000
- PT-NAD-AIO-5000
- PT-NAD-AIO-10 000
Сертификация
PT NAD сертифицирован ФСТЭК и ФСБ как СОВ (средство обнаружения вторжений) и также имеет сертификат соответствия республики Беларусь.
Заключение
Итак, первая статья нашего курса подошла к концу.
Объединим все вышесказанное в общий итог: PT NAD — это решение, которое помогает обнаруживать присутствие злоумышленника в сети, расследовать инциденты безопасности и восстанавливать цепочки атак. С ним вы сможете проводить ретроспективный анализ, проверять соблюдение политик безопасности, выполнять требования регуляторов и многое другое.
В следующей статье мы рассмотрим внутреннюю составляющую, технические требования и основные принципы работы PT NAD.
Оставайтесь с нами!
Объединим все вышесказанное в общий итог: PT NAD — это решение, которое помогает обнаруживать присутствие злоумышленника в сети, расследовать инциденты безопасности и восстанавливать цепочки атак. С ним вы сможете проводить ретроспективный анализ, проверять соблюдение политик безопасности, выполнять требования регуляторов и многое другое.
В следующей статье мы рассмотрим внутреннюю составляющую, технические требования и основные принципы работы PT NAD.
Оставайтесь с нами!
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
