В 2019 году агентство Gartner включило решения класса NTA (Network Traffic Analysis) в триаду необходимых средств защиты информации для SOC — с той мыслью, что синергия продуктов серьёзно снизит шансы злоумышленников на проведение атак в инфраструктуре атакованных компаний. Итог первых шести месяцев текущего года: объём продаж некоторых NTA-продуктов вырос на 240%.
Польза систем анализа трафика конкретно для SOC заключается в следующем: взломщики скрывают своё присутствие на рабочих станциях и серверах, обходя антивирусы, но продукты класса NTA помогают обнаружить подозрительную активность в трафике, пропущенную периметровыми средствами защиты.
Несмотря на рост ИБ-бюджетов, компании с развитыми SOC всё ещё сталкиваются со взломами и их последствиями. Эксперты Positive Technologies посчитали, что 40% киберинцидентов во втором квартале этого года привели к утечкам, 50% — к нарушению основной деятельности, а 12% — к прямым финансовым потерям. Жертвы этих атак уже пользуются узловыми (EDR) и периметровыми (NGFW) инструментами защиты для проверки и фильтрации трафика, однако, эти блоки решают конкретную задачу и не могут противостоять сложным целенаправленным атакам.
Чтобы выявить скрытую активность киберпреступника в сети, не хватает именно анализа внутреннего трафика. Проникнув в корпоративную сеть, злоумышленники могут действовать от лица реальных пользователей — использовать либо ранее утекшие в свободный доступ, либо специально для этой цели похищенные учётные данные.
Поэтому с помощью «классики» заметить аномальные действия легитимных пользователей сложно — оператор SOC при анализе большого потока данных может не обратить на них внимания. Системы же класса NTA выявляют угрозы, исследуя события на уровне сети, и позволяют обнаружить присутствие хакеров на ранней стадии атаки.
Ещё больше информации на тему Security Operations Center — на SOC-Форуме 2022 (Москва, 15–16 ноября).