Кирилл, приветствую. Надеюсь ваши выходные проходят хорошо)
1." Искренне завидую количеству вашего свободного времени, раз вы успели еще и четыре аналитических отчета изучить. Но не могу не подметить вашу искреннюю любовь к иностранным продуктам, иностранным маркетинговым статьям и методологиям." Ради такого увлекательного диалога я готов найти время. Мы с вами, как представители вендоров можем говорить,что угодно, но используя иностранный термин, популяризированный Gartner, логично использовать его из оригинала. Фактически Gartner только описал 3 словами network traffic analysis , подход к детектированию угроз нескольких вендров, когда он начал показывать свою эффективность и набирать популярность. Самое главное это не название, а те технологии и задачи, которые подразумевал Gartner и весь остальной мир, фактически построение профиля поведения на основе сетевого трафика и сетевой телеметрии ( о чем Gartner так же указывает)и детект аномальных отклонений от него. Если руководствоваться вашей логикой, то тогда любой потоковый антивирус можно назвать песочницей. Но это же введение в заблуждение потребителей, которое не решает проблему ради которой создавались технологии того или иного класса решений.
Касаемо различных отчетов, я за ними слежу все время, и это очень важно для того, чтобы развивать продукт в правильном направлении. Отчеты могут быть маркетинговые, могут быть техническое - но они независимые.
2."Все в ваших словах складно, но лично я предпочитаю опираться не на маркетинговые материалы, а на суровый практический опыт. Так уж вышло, что мне довелось попробовать и иностранные решения: в них есть немало интересных функций, но без сигнатурного движка их детекты заметно слабеют и ведут себя нестабильно. "
Вы не приводите примеров или пруфов почему ваш опыт с сигнатурами лучше, в каком % случаев, и против каких иностранных вендоров. Не могу оценить по сигнатурам, тут надо сравнивать детально с NGIPS - такими ,как Cisco, McAfee или Tipping point.
Обратите внимание на технологии Cisco NGIPS 2013 года, ничего не напоминает? Даже метаданные для расследований есть, прямо как вы пишете в конце своего поста, но уже применительно к другому классу решений...
NGIPS vs NTA
По NDR я могу сказать,что российские решения явно проигрывают по производительности, потреблению ресурсов и ML в детектировании/ расследованиях. И не всех решений позиционирующих себя, как NTA или NDR есть хотя бы комплиментарно ML-технологии для профилирования.
Мировые лидеры Vectra и ExtraHop добавили IDS примерно в 2022-2023 году, что в принципе подтверждает ваши тезисы о необходимости сигнатур IDS, но от ML/AI они не отказались, а только увеличили инвестиции.
3 "Вы затронули и много других тем, все это можно обсудить во время какого-нибудь прямого эфира :) " Я готов, кажется AMLive нам на 2 не выделят эфир =) Какие есть еще варианты?)
Кирилл, спасибо за ответ. 1. Я не оспариваю вашу экспертизу в создании сложных сигнатур и анализе угроз. 2. "К сожалению, хотим мы того или нет, но выявление аномалий по слишком длительным сессиям, нехарактерному протоколу или увеличенному ответу хоста не даст ожидаемого результата и не будет приносить оператору СЗИ ничего, кроме головной боли по разгребанию фолзов" - это опыт эксплуатации конкретного продукта? Мировой опыт опровергает это утверждение, в частности такими вендорами, как Vectra.ai, ExtraHop или DarkTrace. ML не как комплиментарная функция к IDS,а как основа детектирующей логики.
И это вопрос не просто длительных сессий, а конкретных сессий, которые соответствуют определенным сетевым операциям, это также вопрос широты и возможностей фильтры метаданных сессий в конкретном продукте. И так же логикой работы построение модели нормального поведения, если прогноз строятся на интервалы по 12 часов и не для каждого хоста, а на большие группы, то да в этом случае действительно тяжело что-то задетектировать.
Более того фолзы могут быть от любой технологии, включая сигнатуры. Конечно с сигнатурами проще, так как они опираются на известный вредосносный payload, если трафик зашифрованный тут возможности детектирования сильно деградируют до уровня JA-отпечатков, что является совершенно не достаточным в качество единственного средства детекта.
С точки зрения аномальных отклонений, если использовать просто количество сессий без контекста, то действительно будет много фолзов, подробности как их снизить описаны в статье.
Как типовой пример для DMZ, если там используется прокси-сервер для обновлений, который только должен ходить в интернет и не выходить в горизонтальный трафик, то при его компрометации и появлении нехарактерных горизонтальных сетевых пакетов например по 80,443 или другим портам ML задетектирует их в сетевой телеметрии. Это будет признаком для анализа самого запроса уже на хосте куда они летали, даже если трафик зашифрованный. В той же ситуации IDS задетектирует только факт известной атаки и в открытом трафике, в остальное случае это будет гораздо сложнее и с большим количеством фозлов. И это опять же пример для DMZ, а как быть в случае если это магазин или небольшой склад, пункт выдачи и любой другой объект с собственным каналом в интернет и вне топологии звезда для которого не подать спан вообще? Просто не смотреть трафик вообще? Как защитить умные весы, кассы, видеокамеры на таких площадках?
3."Получается, что именно анализ содержимого сетевых пакетиков является как раз таки основной качественных детектов NTA/NDR/IDS/IPS систем. " - не согласен с этим тезисом. Мы используем иностранную классификацию и не можем как угодно присваивать классы продуктов, когда это выгодно вендору. Для примера никто сейчас в здравом уме не сможет сказать, что в 2 движка потовых антивирусов это песочница, так как с 2015 года у нас было активное внедрение иностранных решений, который использовали детонацию.
Анализировать сетевой трафик можно по разному, если упор в анализе сырого трафика делается на соответствию payload, то это функционал IDPS или NGIDPS. Если продукт не отличается концептуально от Cisco NGIPS 2013, то это NGIPS или NGIDS.
Если есть какой-то международный опыт, который это опровергает эту классификация, просьба его показать. Я не нашел ни одного источника, который бы говорил, что NTA опирается на сигнатуры. Но я нашел, что Gartner исключал NTA из своего анализа которые" Primarily use rules, signatures or reputation for detection capabilities" То есть фактически использующие функционал IDPS, но маркетингово позиционирующие себя, как NTA. И в NDR функционал IDS был включен только в 2025 году у Gartner, и с момента NTA Gartner указывает возможность сетевой телеметрии, а не только сетевого трафика. Я просмотрел еще 4 различных аналитических отчета IDC, KuppingerCole, Gigaom, QKS по NDR и ни один не утверждал, что детектирование базируется только на сыром трафике через IDS или анализ payload.
4." И мы находим. А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. " В цитате написано во время расследования благодаря записи исходного трафика: "Но благодаря записи исходного трафика в PT NAD во время расследования мы смогли установить вектор эксплуатации неизвестной ранее уязвимости " Здесь не написано, что сигнатурное правило задетектировало уязвимость 0-дня.
Вот примеры детектов zero-day от вендора Darktrace без сигнатур.
DarkTrace zero-day
5."А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. " - я уже писал про zero-day в самих NGFW, таких как Palo Alto или Fortinet. Почему мировые лидеры с огромными бюджетами и количеством экспертов не смогли защитить свои NGFW имея IPS встроенные и облачные сети с телеметрией атак от zero-day? Как вы предлагаете это сделать имея десятки раз меньшие возможности?
6. "Вы как будто меня забайтили" я не байтил, но по описанной логике тогда сигнатур и анализ payload должно хватить и на сети, и на агентах и все остальное не нужно. Зачем EDR, если нужно просто уметь правильно писать сигнатуры для антивируса? Зачем компании типа CrowdStrike тратят миллиарды $ на R&D, если можно просто правильно написать сигнатуры? Зачем делать детонацию с песочнице, если можно правильно написать сигнатуры для потоковых? У вас же был мультисканер, но вместо него почему-то сейчас песочница.
Опыт wannacry и petya показал неэффективность сигнатурных средств защиты, что по сути и дало старт развитию таких продуктов как Sandbox, EDR и NTA.
"Пользователь может скачать по сети запароленный архив с эксплоитом - именно тут вам и нужны антивирусные средства, системы EDR и сендбоксы ... " система NDR, если она действительно NDR, а не мимикрирующий под NDR IDS, должна определить аномальное поведения хоста после эксплойта, даже если она не детектит сам эксплойт. Можно даже разбить направления: Prevent - IDS заранее известные немодифицированные угрозы с открытом трафике Detect - поведенческий анализ и ML уже при компрометации или при заранее неизвестной угрозе.
1. О типах атак указанных в разделе "Какие атаки можно обнаружить с помощью поведенческого анализа и ML" статьи.
2. Я не отрицаю, что IDPS нужен, но это именно база, и не основа для NTA и тем более NDR. В разделе "Заключение" описано, что это не замена сетевого трафика, но есть предпосылки, которые описаны в статье, которые делают ее анализ актуальнее.
3. Если говорить про эксплуатации уязвимости, ее можно задетектить если она опирается на что-то нестандартное - всплеск сессий, слишком длительные сессии, нехарактерный протокол для хоста с которого идет эксплуатация или увеличившийся размер ответ хоста, который атакуют. И это будет аномалия, похожая на какую-то атаку, или нетиповое поведение хоста, а не детект конкретной уязвимости. Если для эксплуатация используется условно одна сессия, и уязвимость опирается на специфический запрос, то действительно такую эксплуатацию без кастомных полей будет тяжело задетектировать. Первые пришедшие в голову кастомные поля IPFIX, это httpUserAgent, httpContentType, httpReasonPhrase. Так же после эксплуатации уязвимости можно будет задетектировать аномальное поведение скомрометированного хоста.
4. Если zero-day уязвимости можно детектировать только сигнатурами, зачем заказчикам покупать такие продукты, как WAF, sandbox, EDR и крайнедорогостоящие составители цепочек событий или векторов проникновений хакеров внутрь?
И опять же почему тогда почти всех мировых лидеров производителей NGFW с IPS на борту(Palo Alto, Fortinet и т.п.) ломали zero-day уязвимостями в прошлом году?
Кирилл Шипулин, приветствую. Очень широкий вопрос без вводных, отвечу также в широком смысле. Если телеметрия собирается с сегмента и эксплуатируется уязвимость соответствующая одному из типов атак, которые я описал, то ее можно задетектировать. Если уязвимость не соответствует, то нет. С другой стороны, если эта уязвимость zero-day или отсутствует в базе IDPS на момент атаки, то IDPS ничего не увидит даже на полной копии трафика.
Я думаю дело в резко выросшем запросе на ИБ специалистов. Также часто сталкиваюсь с очень сильными хардами у специалистов в узкой области, которые не позволяет более комплексно смотреть на задачи и их решения. И когда появляются новые технологии и решения, в массовое сознание заходит именно, то что больше продвигается на рынке, а не уникальная ценность для потребителя. Такая ситуация произошла с NTA, и сейчас начинает происходить с XDR. "к какому уровню OSI относится" - с таким не сталкивался, кажется красный флаг) А вот product owner ИБ продукта, который не обладает виженом и софт\хард скиллами, это массовый тренд.
Кирилл, приветствую.
Надеюсь ваши выходные проходят хорошо)
1." Искренне завидую количеству вашего свободного времени, раз вы успели еще и четыре аналитических отчета изучить. Но не могу не подметить вашу искреннюю любовь к иностранным продуктам, иностранным маркетинговым статьям и методологиям."
Ради такого увлекательного диалога я готов найти время.
Мы с вами, как представители вендоров можем говорить,что угодно, но используя иностранный термин, популяризированный Gartner, логично использовать его из оригинала.
Фактически Gartner только описал 3 словами network traffic analysis , подход к детектированию угроз нескольких вендров, когда он начал показывать свою эффективность и набирать популярность.
Самое главное это не название, а те технологии и задачи, которые подразумевал Gartner и весь остальной мир, фактически построение профиля поведения на основе сетевого трафика и сетевой телеметрии ( о чем Gartner так же указывает)и детект аномальных отклонений от него.
Если руководствоваться вашей логикой, то тогда любой потоковый антивирус можно назвать песочницей.
Но это же введение в заблуждение потребителей, которое не решает проблему ради которой создавались технологии того или иного класса решений.
Касаемо различных отчетов, я за ними слежу все время, и это очень важно для того, чтобы развивать продукт в правильном направлении.
Отчеты могут быть маркетинговые, могут быть техническое - но они независимые.
2."Все в ваших словах складно, но лично я предпочитаю опираться не на маркетинговые материалы, а на суровый практический опыт. Так уж вышло, что мне довелось попробовать и иностранные решения: в них есть немало интересных функций, но без сигнатурного движка их детекты заметно слабеют и ведут себя нестабильно. "
Вы не приводите примеров или пруфов почему ваш опыт с сигнатурами лучше, в каком % случаев, и против каких иностранных вендоров.
Не могу оценить по сигнатурам, тут надо сравнивать детально с NGIPS - такими ,как Cisco, McAfee или Tipping point.
Обратите внимание на технологии Cisco NGIPS 2013 года, ничего не напоминает?
Даже метаданные для расследований есть, прямо как вы пишете в конце своего поста, но уже применительно к другому классу решений...
По NDR я могу сказать,что российские решения явно проигрывают по производительности, потреблению ресурсов и ML в детектировании/ расследованиях.
И не всех решений позиционирующих себя, как NTA или NDR есть хотя бы комплиментарно ML-технологии для профилирования.
Мировые лидеры Vectra и ExtraHop добавили IDS примерно в 2022-2023 году, что в принципе подтверждает ваши тезисы о необходимости сигнатур IDS, но от ML/AI они не отказались, а только увеличили инвестиции.
3 "Вы затронули и много других тем, все это можно обсудить во время какого-нибудь прямого эфира :) "
Я готов, кажется AMLive нам на 2 не выделят эфир =)
Какие есть еще варианты?)
Кирилл, спасибо за ответ.
1. Я не оспариваю вашу экспертизу в создании сложных сигнатур и анализе угроз.
2. "К сожалению, хотим мы того или нет, но выявление аномалий по слишком длительным сессиям, нехарактерному протоколу или увеличенному ответу хоста не даст ожидаемого результата и не будет приносить оператору СЗИ ничего, кроме головной боли по разгребанию фолзов" - это опыт эксплуатации конкретного продукта?
Мировой опыт опровергает это утверждение, в частности такими вендорами, как Vectra.ai, ExtraHop или DarkTrace.
ML не как комплиментарная функция к IDS,а как основа детектирующей логики.
И это вопрос не просто длительных сессий, а конкретных сессий, которые соответствуют определенным сетевым операциям, это также вопрос широты и возможностей фильтры метаданных сессий в конкретном продукте.
И так же логикой работы построение модели нормального поведения, если прогноз строятся на интервалы по 12 часов и не для каждого хоста, а на большие группы, то да в этом случае действительно тяжело что-то задетектировать.
Более того фолзы могут быть от любой технологии, включая сигнатуры.
Конечно с сигнатурами проще, так как они опираются на известный вредосносный payload, если трафик зашифрованный тут возможности детектирования сильно деградируют до уровня JA-отпечатков, что является совершенно не достаточным в качество единственного средства детекта.
С точки зрения аномальных отклонений, если использовать просто количество сессий без контекста, то действительно будет много фолзов, подробности как их снизить описаны в статье.
Как типовой пример для DMZ, если там используется прокси-сервер для обновлений, который только должен ходить в интернет и не выходить в горизонтальный трафик, то при его компрометации и появлении нехарактерных горизонтальных сетевых пакетов например по 80,443 или другим портам ML задетектирует их в сетевой телеметрии.
Это будет признаком для анализа самого запроса уже на хосте куда они летали, даже если трафик зашифрованный.
В той же ситуации IDS задетектирует только факт известной атаки и в открытом трафике, в остальное случае это будет гораздо сложнее и с большим количеством фозлов.
И это опять же пример для DMZ, а как быть в случае если это магазин или небольшой склад, пункт выдачи и любой другой объект с собственным каналом в интернет и вне топологии звезда для которого не подать спан вообще?
Просто не смотреть трафик вообще? Как защитить умные весы, кассы, видеокамеры на таких площадках?
3."Получается, что именно анализ содержимого сетевых пакетиков является как раз таки основной качественных детектов NTA/NDR/IDS/IPS систем. " - не согласен с этим тезисом.
Мы используем иностранную классификацию и не можем как угодно присваивать классы продуктов, когда это выгодно вендору.
Для примера никто сейчас в здравом уме не сможет сказать, что в 2 движка потовых антивирусов это песочница, так как с 2015 года у нас было активное внедрение иностранных решений, который использовали детонацию.
Анализировать сетевой трафик можно по разному, если упор в анализе сырого трафика делается на соответствию payload, то это функционал IDPS или NGIDPS. Если продукт не отличается концептуально от Cisco NGIPS 2013, то это NGIPS или NGIDS.
Если есть какой-то международный опыт, который это опровергает эту классификация, просьба его показать.
Я не нашел ни одного источника, который бы говорил, что NTA опирается на сигнатуры.
Но я нашел, что Gartner исключал NTA из своего анализа которые" Primarily use rules, signatures or reputation for detection capabilities"
То есть фактически использующие функционал IDPS, но маркетингово позиционирующие себя, как NTA.
И в NDR функционал IDS был включен только в 2025 году у Gartner, и с момента NTA Gartner указывает возможность сетевой телеметрии, а не только сетевого трафика.
Я просмотрел еще 4 различных аналитических отчета IDC, KuppingerCole, Gigaom, QKS по NDR и ни один не утверждал, что детектирование базируется только на сыром трафике через IDS или анализ payload.
4." И мы находим. А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. "
В цитате написано во время расследования благодаря записи исходного трафика: "Но благодаря записи исходного трафика в PT NAD во время расследования мы смогли установить вектор эксплуатации неизвестной ранее уязвимости "
Здесь не написано, что сигнатурное правило задетектировало уязвимость 0-дня.
Вот примеры детектов zero-day от вендора Darktrace без сигнатур.
5."А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. " - я уже писал про zero-day в самих NGFW, таких как Palo Alto или Fortinet.
Почему мировые лидеры с огромными бюджетами и количеством экспертов не смогли защитить свои NGFW имея IPS встроенные и облачные сети с телеметрией атак от zero-day?
Как вы предлагаете это сделать имея десятки раз меньшие возможности?
6. "Вы как будто меня забайтили" я не байтил, но по описанной логике тогда сигнатур и анализ payload должно хватить и на сети, и на агентах и все остальное не нужно.
Зачем EDR, если нужно просто уметь правильно писать сигнатуры для антивируса?
Зачем компании типа CrowdStrike тратят миллиарды $ на R&D, если можно просто правильно написать сигнатуры?
Зачем делать детонацию с песочнице, если можно правильно написать сигнатуры для потоковых?
У вас же был мультисканер, но вместо него почему-то сейчас песочница.
Опыт wannacry и petya показал неэффективность сигнатурных средств защиты, что по сути и дало старт развитию таких продуктов как Sandbox, EDR и NTA.
"Пользователь может скачать по сети запароленный архив с эксплоитом - именно тут вам и нужны антивирусные средства, системы EDR и сендбоксы ... " система NDR, если она действительно NDR, а не мимикрирующий под NDR IDS, должна определить аномальное поведения хоста после эксплойта, даже если она не детектит сам эксплойт.
Можно даже разбить направления:
Prevent - IDS заранее известные немодифицированные угрозы с открытом трафике
Detect - поведенческий анализ и ML уже при компрометации или при заранее неизвестной угрозе.
Кирилл,
1. О типах атак указанных в разделе "Какие атаки можно обнаружить с помощью поведенческого анализа и ML" статьи.
2. Я не отрицаю, что IDPS нужен, но это именно база, и не основа для NTA и тем более NDR.
В разделе "Заключение" описано, что это не замена сетевого трафика, но есть предпосылки, которые описаны в статье, которые делают ее анализ актуальнее.
3. Если говорить про эксплуатации уязвимости, ее можно задетектить если она опирается на что-то нестандартное - всплеск сессий, слишком длительные сессии, нехарактерный протокол для хоста с которого идет эксплуатация или увеличившийся размер ответ хоста, который атакуют.
И это будет аномалия, похожая на какую-то атаку, или нетиповое поведение хоста, а не детект конкретной уязвимости.
Если для эксплуатация используется условно одна сессия, и уязвимость опирается на специфический запрос, то действительно такую эксплуатацию без кастомных полей будет тяжело задетектировать.
Первые пришедшие в голову кастомные поля IPFIX, это httpUserAgent, httpContentType, httpReasonPhrase.
Так же после эксплуатации уязвимости можно будет задетектировать аномальное поведение скомрометированного хоста.
4. Если zero-day уязвимости можно детектировать только сигнатурами, зачем заказчикам покупать такие продукты, как WAF, sandbox, EDR и крайнедорогостоящие составители цепочек событий или векторов проникновений хакеров внутрь?
И опять же почему тогда почти всех мировых лидеров производителей NGFW с IPS на борту(Palo Alto, Fortinet и т.п.) ломали zero-day уязвимостями в прошлом году?
Кирилл Шипулин, приветствую.
Очень широкий вопрос без вводных, отвечу также в широком смысле.
Если телеметрия собирается с сегмента и эксплуатируется уязвимость соответствующая одному из типов атак, которые я описал, то ее можно задетектировать.
Если уязвимость не соответствует, то нет.
С другой стороны, если эта уязвимость zero-day или отсутствует в базе IDPS на момент атаки, то IDPS ничего не увидит даже на полной копии трафика.
Я думаю дело в резко выросшем запросе на ИБ специалистов.
Также часто сталкиваюсь с очень сильными хардами у специалистов в узкой области, которые не позволяет более комплексно смотреть на задачи и их решения. И когда появляются новые технологии и решения, в массовое сознание заходит именно, то что больше продвигается на рынке, а не уникальная ценность для потребителя.
Такая ситуация произошла с NTA, и сейчас начинает происходить с XDR.
"к какому уровню OSI относится" - с таким не сталкивался, кажется красный флаг)
А вот product owner ИБ продукта, который не обладает виженом и софт\хард скиллами, это массовый тренд.