Российские компании пока слабо используют продвинутые методы анализа трафика и автоматизацию реагирования на инциденты, полагаясь на устаревшие IDS-системы. Тем временем во всем мире NDR (Network Detection and Response) уже стал стандартом сетевой безопасности.
NDR-платформы позволяют выявлять аномалии в трафике с помощью поведенческого анализа и машинного обучения, а также автоматически реагировать на угрозы — изолировать зараженные хосты или блокировать соединения без участия человека. За счет этого бизнес получает более прозрачный контроль над сетевыми коммуникациями и быстрее реагирует даже на неизвестные типы атак.
Ключевое отличие NDR от межсетевых экранов — мониторинг всех видов трафика в различных направлениях, включая коммуникации внутри сети (East-West) и между облачными ресурсами. Решения эффективны в разных инфраструктурах: on-premise, облачных и гибридных.
Российские NDR-системы, такие как «Гарда NDR», детектируют скомпрометированные устройства, защищая сеть от возможных атак. Новые версии обнаруживают факты обращения зараженных устройств к командным центрам (C&C) внутри DNS-туннелей и даже DNS-over-HTTPS в случае проникновения распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.
Основополагающим методом детектирования угроз в NDR является машинное обучение и продвинутая аналитика, позволяющая выявлять те атаки, которые остаются незамеченными для IDS и потоковых антивирусов.