Гарда увеличила производительность системы NDR в 8 раз

Ключевое нововведение «Гарда NDR4.0» коснулось производительности подсистемы записи содержимого сетевых потоков. Скорость записи увеличена в 8 раз. Таким образом, один совмещенный сервер, который включает сенсор, систему хранения и систему управления, поддерживает обработку до 10Гбит/c сетевого трафика.

«Нам удалось добиться рекордной производительности. Один совмещенный сервер обрабатывает до 10 Гбит/сек, при этом поддерживает централизованное развертывание, управление политиками безопасности и горизонтальное масштабирование производительности. Мы первыми из отечественных вендоров реализовали в NDR-системе функционал активного реагирования full packet capture — динамической записи трафика при срабатывании политик», — комментирует руководитель продукта «Гарда NDR» Станислав Грибанов. 

«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения трафика. За счет опции активного реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты информационной безопасности — до нескольких недель. 

Новая версия «Гарда NDR» оперативно детектирует скомпрометированные устройства, защищая тем самым сеть организации от возможных атак. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов. Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри dns-over-https-туннелей в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.

Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60 таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики соответствуют матрице MITRE ATT&CK и Kill Chain. 

За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов (DPI-фильтров трафика) в новой версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз (zero-day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество сигнатур и сгруппированных простых правил.

Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов. 

* NDR (Network Detection & Response) — выявление и реагирование на сетевые угрозы.