Лаборатория кибербезопасности Servicepipe и “Спикател” объявляет о запуске системы обнаружения сетевых угроз (NDR), которая выявляет зашифрованные угрозы, скрытые туннели и проксированный трафик в корпоративных сетях без его расшифровки. Платформа изучает, как выглядит нормальная работа каждого узла в конкретной организации, и обнаруживает отклонения, независимо от того, зашифрован трафик или нет.
Этот подход позволяет обнаруживать следующие угрозы:
Зашифрованные каналы управления (C2). Злоумышленник уже внутри сети и получает команды через обычный HTTPS. Firewall видит легитимное соединение. Система видит периодические обращения к одному и тому же серверу с нетипичным интервалом и аномальным TLS-отпечатком — признаки beaconing (периодической отправки сигналов зараженным компьютером злоумышленнику).
Скрытые туннели и обход политик. Сотрудники используют VPN, прокси и туннели для обхода корпоративных политик безопасности. Система обнаруживает замаскированные туннели по поведенческим признакам — даже если они маскируются под обычный веб-трафик.
Эксфильтрация данных. Утечка конфиденциальных данных через DNS, HTTPS или облачные хранилища незаметна для периметровых средств защиты. Система фиксирует аномальные объемы исходящего трафика, нетипичных получателей и признаки кодирования данных в DNS-запросах.
Распространение внутри сети. Злоумышленник, проникший в одну рабочую станцию, перемещается к серверам внутри сети. Firewall этого не видит — east-west трафик не проходит через периметр. Система фиксирует новые связи между узлами, которые раньше никогда не общались.
Теневые IT-ресурсы. Несанкционированные устройства, неучтенные сервисы, личные VPN сотрудников — система автоматически обнаруживает всё, что не соответствует политикам безопасности организации.
Платформа предназначена для организаций, в которых сетевая инфраструктура является критически важным активом: крупный и средний бизнес, государственные организации, операторы связи. Система дополняет существующие средства защиты — межсетевые экраны, IDS, SIEM — закрывая слепые зоны, которые они не могут контролировать.
«Сегодня более 87% сетевого трафика зашифрована, и традиционные средства защиты порой просто не видят, что внутри сети: когда трафик зашифрован, проксирован или туннелирован — сигнатуры не работают. Этим активно пользуются злоумышленники: они маскируют управление под обычный HTTPS, передают данные через легитимные каналы и действуют внутри периметра, оставаясь незамеченными месяцами, — указывает директор Лаборатории кибербезопасности Servicepipe и “Спикател” Михаил Хлебунов. — “Мы создали решение, чтобы компании могли видеть угрозы, которые пропускают их текущие инструменты — без необходимости расшифровывать трафик, устанавливать агенты или перестраивать сеть”.
источник: Servicepipe
