СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Гарда
9 июня
#ИБ

Гарда первой на российском рынке объединила кластеризацию и риск-скоринг хостов для поиска скрытых атак

Компания «Гарда» (входит в ИКС Холдинг) внедрила в решение «Гарда NDR» новые технологии, ориентированные на повышение эффективности выявления киберугроз и ускорение расследования инцидентов. В продукте реализованы автоматический риск-скоринг хостов и обнаружение аномалий в их поведении с помощью ML-кластеризации.

Обновление функциональных возможностей решения направлено на выявлении сложных и нестандартных атак. В «Гарда NDR» впервые на российском рынке реализовано сочетание автоматической кластеризации для детектирования аномалий в поведении и динамического риск-скоринга хостов. ML-кластеризация позволяет анализировать поведение устройств в сети и выявлять атаки, которые не определяются традиционными средствами защиты, включая скрытые активности, нетипичные отклонения в коммуникациях и атаки нулевого дня.

Такой подход опирается на совокупность технологий выявления угроз: более 80 детекторов аномалий на базе моделей машинного обучения (ML), глубокий разбор содержимого сетевых пакетов (DPI) и анализ телеметрии (Netflow), сигнатурный анализ (IDS), индикаторы компрометации «Гарда Threat Intelligence Feeds», ловушки и приманки Deception. Их совместное применение лежит в основе риск-скоринга хостов и позволяет автоматически приоритизировать узлы инфраструктуры по степени потенциальной компрометации. В результате вместо потока разрозненных алертов аналитики получают структурированное представление о реальном уровне риска, а также определять узлы, через которые происходит горизонтальное распространение атаки внутри инфраструктуры. Это ускоряет принятие решений по реагированию и сокращает время расследования инцидентов.

Помимо новых механизмов выявления угроз, обновленная версия включает ряд усовершенствований, направленных на ускорение внедрения и снижение нагрузки на команды информационной безопасности. В продукте появились графический инсталлятор и автоматическая загрузка политик из архива, которые упрощают первоначальную настройку системы и сокращают время подготовки к работе. Также добавлена поддержка цифровых отпечатков в формате JA4, которая позволяет детектировать известные признаки вредоносного ПО в зашифрованном трафике.

Отдельное внимание уделено повышению эффективности работы аналитиков SOC. В релиз вошла новая модель машинного обучения для детектирования автоматически сгенерированных доменов (DGA). Она распознает домены, создаваемые злоумышленниками для управления вредоносным ПО и обхода механизмов блокировки, с точностью, которой невозможно достичь эвристическими методами. Модель обучена на десятках миллионов примеров. В результате специалисты тратят меньше времени на разбор ложных срабатываний и могут сосредоточиться на опасных атаках. Кроме того, расширены возможности передачи событий аудита в SIEM, реализованы улучшения интерфейса и дополнительные инструменты настройки политик детектирования. В результате количество кликов, которые нужно совершить пользователю при расследовании инцидента, сократилось на 20-50% в зависимости от сценария, а логика продукта стала интуитивно понятной. Это напрямую снижает риск пропуска атаки, связанный с человеческим фактором.

Решение объединяет технологии, которые сегодня доступны преимущественно у мировых технологических лидеров и не представлены на российском рынке в рамках одного продукта. Благодаря совокупности методов «Гарда NDR» расширяет возможности выявления угроз и повышает эффективность защиты сетевой инфраструктуры.

«Сегодня компаниям нужны не просто детекты, а понятные ответы: где в сети находится реальная угроза и на что обратить внимание в первую очередь. С внедрением новой функциональности в “Гарда NDR” мы стремимся решить две ключевые проблемы аналитиков SOC: cнизить объем ручного анализа и повысить скорость реагирования. Автоматический риск-скоринг хостов ранжирует узлы по степени опасности и в разы сокращает время расследования. ML-кластеризация хостов позволяет оценивать поведение устройства не изолированно, а в сравнении с группой хостов, аналогичных по поведению в сетевом трафике (кластере): если устройство ведет себя не так, как остальные хосты его кластера, это признак аномального поведения и возможного инцидента. В итоге бизнес получает управляемую модель безопасности, не отвлекаясь на ложные сигналы», – рассказал Станислав Грибанов, руководитель продуктового направления «Гарда».

Гарда
Автор: Гарда
«Гарда» (входит в ИКС Холдинг) — разработчик решений для защиты корпоративных данных и сетевой безопасности. Решения «Гарды» применяют в крупнейших государственных организациях и корпорациях, используют для защиты 50% всего российского интернета от DDoS-атак и безопасности цифровых сервисов и мероприятий федерального масштаба. Продуктовый портфель компании построен на основе технологий собственной разработки, которые не требуют сторонних лицензий, включены в Единый реестр российского ПО и сертифицированы ФСТЭК России.
Комментарии: