Безопасники разработали детектор скрытых сетевых угроз без расшифровки трафика

Лаборатория кибербезопасности Servicepipe и «Спикател» объявляет о запуске системы обнаружения сетевых угроз (NDR), которая выявляет зашифрованные угрозы, скрытые туннели и проксированный трафик в корпоративных сетях без его расшифровки.

Платформа изучает, как выглядит нормальная работа каждого узла в конкретной организации, и обнаруживает отклонения, независимо от того, зашифрован трафик или нет.

Этот подход позволяет обнаруживать следующие угрозы:

1. Зашифрованные каналы управления (C2). Злоумышленник уже внутри сети и получает команды через обычный HTTPS. Firewall видит легитимное соединение. Система видит периодические обращения к одному и тому же серверу с нетипичным интервалом и аномальным TLS-отпечатком — признаки beaconing (периодической отправки сигналов заражённым компьютером злоумышленнику).
2. Скрытые туннели и обход политик. Сотрудники используют VPN, прокси и туннели для обхода корпоративных политик безопасности. Система обнаруживает замаскированные туннели по поведенческим признакам — даже если они маскируются под обычный веб-трафик.
3. Эксфильтрация данных. Утечка конфиденциальных данных через DNS, HTTPS или облачные хранилища незаметна для периметровых средств защиты. Система фиксирует аномальные объемы исходящего трафика, нетипичных получателей и признаки кодирования данных в DNS-запросах.
4. Распространение внутри сети. Злоумышленник, проникший в одну рабочую станцию, перемещается к серверам внутри сети. Firewall этого не видит — east-west трафик не проходит через периметр. Система фиксирует новые связи между узлами, которые раньше никогда не общались.
5. Теневые ИТ-ресурсы. Несанкционированные устройства, неучтённые сервисы, личные VPN сотрудников — система автоматически обнаруживает всё, что не соответствует политикам безопасности организации.

Платформа предназначена для организаций, в которых сетевая инфраструктура является критически важным активом: крупный и средний бизнес, государственные организации, операторы связи. Система дополняет существующие средства защиты — межсетевые экраны, IDS, SIEM — закрывая слепые зоны, которые они не могут контролировать.

«Сегодня более 87% сетевого трафика зашифрована, и традиционные средства защиты порой просто не видят, что внутри сети: когда трафик зашифрован, проксирован или туннелирован — сигнатуры не работают. Этим активно пользуются злоумышленники: они маскируют управление под обычный HTTPS, передают данные через легитимные каналы и действуют внутри периметра, оставаясь незамеченными месяцами, — пояснил директор Лаборатории кибербезопасности Servicepipe и «Спикател» Михаил Хлебунов. — Мы создали решение, чтобы компании могли видеть угрозы, которые пропускают их текущие инструменты — без необходимости расшифровывать трафик, устанавливать агенты или перестраивать сеть».