Гарда NDR — комплексная защита ЦОД от сложных сетевых атак

Архитектура ЦОД стремительно эволюционирует: классические сегменты соседствуют с виртуальными средами, частными и публичными облаками, контейнерами и микросервисами. Не только растет объем трафика, но меняется и его структура: увеличивается доля зашифрованного TLS-трафика, появляются устройства и системы, которые невозможно охватить агентскими решениями, а границы сети все больше размываются.

Защита этой сложной и многокомпонентной цифровой среды требует целого набора технологий. Одна из ключевых — NDR (Network Detection and Response). NDR-платформы обеспечивают сквозную видимость сетевого трафика и телеметрии, детектируют широкий спектр как известных, так и ранее не известных и целенаправленных атак. Они помогают расследовать инциденты и автоматизируют реагирование.

В контуре ЦОД это особенно важно, поскольку основная активность злоумышленника — разведка, закрепление, управление и вывод данных — проявляется прежде всего в сетевых взаимодействиях. Они остаются главным источником информации даже когда логи приложений или систем неполны или недоступны.

Одна из наиболее популярных в России NDR-платформ — «Гарда NDR», решение из портфеля продуктов компании «Гарда» для комплексной сетевой безопасности. Платформа может работать с различными источниками данных: полной копией трафика, сетевой телеметрией NetFlow и IPFIX, а также дополнительными источниками контекста — в том числе сведениями о доменной инфраструктуре, репутационными списками и фидами. Это позволяет SOC сформировать единое и полное представление о сетевой активности как в ЦОД, так и на удаленных площадках, а также снабжать системы блокировки точными и оперативными сигналами для реагирования.

Почему защиты периметра недостаточно для современного ЦОД

На протяжении многих лет классическая модель сетевой безопасности фокусировалась вокруг периметра. На границах сети размещали межсетевые экраны нового поколения (NGFW), прокси-серверы и системы обнаружения вторжений (IDS). Такой подход по-прежнему востребован, но для ЦОД его уже недостаточно.

Главная причина в том, что значительная часть атак развивается горизонтально внутри инфраструктуры — уже после проникновения. Компрометация учетной записи, эксплуатация уязвимости в сервисе, ошибка сегментации или скрытый удаленный доступ позволяют злоумышленнику закрепиться внутри сети. Дальнейшее горизонтальное перемещение и разведка инфраструктуры осуществляются через East-West трафик, который часто не проходит через единые контрольные точки и остается невидимым для периметровых средств защиты.

Кроме того, архитектура ЦОД усложняется быстрее, чем команды ИБ успевают адаптировать инструменты. Виртуализация и контейнеризация меняют не только топологию, но и подходы к наблюдению за сетью. В гибридных средах, где сервисы распределены между частными и публичными облаками, сбор данных становится разрозненным и неполным. В высоконагруженных системах развернуть агенты удается не везде, и часто они работают в ограниченном режиме.

Особую трудность представляют устройства, которые практически невозможно покрыть агентами: IoT- и IIoT-оборудование, датчики телеметрии, системы контроля доступа, видеокамеры и другие специализированные умные компоненты, которые находятся в том же сетевом пространстве. В результате в инфраструктуре появляются слепые зоны — области, которые остаются вне поля зрения ИБ и становятся привлекательной мишенью для злоумышленников.

Кроме того, огромный объем горизонтального трафика в ЦОД, достигающий сотен гигабит в секунду, делает его полное зеркалирование трудно выполнимой и крайне дорогостоящей задачей.

Использование SIEM в этой картине играет важную роль, но тоже не является панацеей. Его эффективность напрямую зависит от полноты источников данных, качества коннекторов и корреляции событий, а также от знаний команды и тонкой настройки системы.

Логи могут не поступать с части инфраструктуры — например, с IoT-устройств — теряться из-за ошибок передачи или быть целенаправленно искажены злоумышленниками. В распределенной инфраструктуре расследование инцидентов превращается в сбор сложной мозаики из разрозненных систем: аналитики тратят время и силы на обработку ложных срабатываний от сигнатурных источников и на рутинную нормализацию данных. Таким образом, современному ЦОД требуется принципиально иная модель безопасности — платформа, которая обеспечивает полный цикл противодействия сетевым угрозам. Она должна давать исчерпывающую видимость всей сетевой активности, детектировать скрытые и продвинутые атаки, обогащать события контекстом для принятия решений, а также включать встроенные инструменты для расследования и оперативного реагирования. Именно как ответ на эти задачи и сформировался класс NDR. На глобальном рынке он уже стал общепринятым стандартом, а в России переживает стадию активного становления.

Гарда NDR: роль в экосистеме безопасности ЦОД

«Гарда NDR» — российское решение для обнаружения и реагирования на сложные сетевые угрозы на основе анализа сетевого трафика и сетевой телеметрии с применением машинного обучения и поведенческой аналитики. Ключевой принцип его работы — отсутствие вмешательства в функционирование инфраструктуры.

Платформа получает копию трафика через SPAN или TAP, по GRE-туннелям, а также может работать в связке с пакетными брокерами. Параллельно система собирает и обрабатывает телеметрию по протоколам NetFlow, IPFIX или другим схожим механизмам экспорта потоков. Для архитектур, в которых применяется расшифровка трафика на границе, «Гарда NDR» поддерживает получение данных по протоколу iCAP, что позволяет проводить глубокий анализ на прикладном уровне без нарушения политик безопасности.

На схеме сети «Гарда NDR» занимает особое место, дополняя классические средства защиты. Такие решения, как NGFW, WAF и Anti-DDoS защищают периметр и критические сервисы, NAC контролирует доступ в сеть, EDR отвечает за конечные точки, а SIEM и SOAR централизованно управляют событиями и процессами. «Гарда NDR» вносит в эту экосистему непрерывное наблюдение за сетевым трафиком и поведенческий анализ угроз, поставляет обогащенные события и инциденты в SIEM и SOAR либо направляет в другие системы для реагирования. Благодаря этому NDR становится одним из ключевых компонентов эффективного SOC — особенно в средах ЦОД и в геораспределенных сетях.

𝓲

Фото: Гарда

Эволюция от Network Traffic Analysis (NTA) к Network Detection and Response (NDR) хорошо иллюстрирует эту роль. Если NTA исторически ассоциировался с анализом трафика и поиском аномальных отклонений от профиля нормального поведения хостов — то NDR добавляет к этому полноценный цикл работы с инцидентами: агрегацию событий, инструменты расследований, интеграции и сценарии автоматизированного реагирования.

Не менее важны изменения в методах детектирования. Современная NDR-платформа в первую очередь опирается на несигнатурные подходы — выявление отклонений от нормального поведения в сетевом трафике с помощью машинного обучения и поведенческих моделей, а также продвинутую аналитику, автоматизирующую расследования и риск-скоринг пользователей и хостов. При этом она дополняет эти механизмы сигнатурами и данными Threat Intelligence. Такой подход позволяет выявлять угрозы, невидимые для классических сигнатурных систем, IDS/IPS или NTA, базирующихся на IDS/IPS системах — например, модифицированные хакерские инструменты и подозрительную активность в зашифрованном трафике.

В расширенной версии решения — лицензии «Гарда NDR Extended» — платформа дополняется метаданными и фидами Threat Intelligence и ложным слоем инфраструктуры, технологиями Deception. Встроенная интеграция с сервисом «Гарда TI Feeds» позволяет автоматически проверять IP-адреса, домены и URL по репутационным потокам, включая категории C2, фишинг, майнинг, ботнеты и подозрительные хосты. «Гарда Deception» позволяет развернуть в сети ловушки и приманки, которые формируют ложный слой инфраструктуры и работают как высокочувствительные сенсоры для раннего обнаружения злоумышленника на этапе разведки. В сочетании с сетевой аналитикой это позволяет выявить атаку до того, как она затронет критичные сервисы.

Концепция безопасности сети с Гарда NDR

Безопасность сети в ЦОД — это целостный процесс, а не набор изолированных инструментов. Логика платформы «Гарда NDR» реализует этот процесс через пять взаимосвязанных этапов: «Контролируй», «Детектируй», «Обогащай», «Расследуй», «Реагируй». Важно, что это не разовая линейная последовательность, а непрерывный цикл: результаты расследований и ответных действий возвращаются в настройки политик, моделей и интеграций.

Этап «Контролируй» начинается с достижения полной видимости сети. Пока у команды нет реальной картины сетевых взаимодействий, невозможно обеспечить ни корректную сегментацию, ни соблюдение регламентов безопасности. «Гарда NDR» обеспечивает такую видимость за счет анализа копии трафика и телеметрии. Это помогает обнаруживать все узлы и сервисы, включая устройства без не поддержки агентов, элементы теневой ИТ-инфраструктуры и несанкционированные подключения.

Помимо инвентаризации, на этом этапе проводится проверка гигиены безопасности. С помощью глубокого анализа трафика (DPI) и правил контроля выявляются использование уязвимых протоколов и устаревших механизмов аутентификации, передача паролей в открытом виде, обход правил доступа, скрытые туннели и нелегитимные средства удаленного доступа. Практическая ценность такой проверки в том, что подобные нарушения нередко становятся удобным вектором для атаки, даже если изначально они были допущены ради операционного удобства.

Этап «Детектируй» предназначен для выявления сложных и ранее неизвестных угроз. «Гарда NDR» применяет комбинацию сигнатурных и несигнатурных методов анализа. Подсистема уровня NGIDS включает собственные сигнатуры и верифицированные наборы правил, что позволяет детектировать широкий спектр атак и узнаваемые инструменты., Одновременно платформа задействует модели машинного обучения и поведенческую аналитику. Ее ключевой принцип — формирование базового поведенческого профиля (baseline) для каждого хоста или пары хостов и последующее выявление аномалий как отклонений от персонального прогноза нормального поведения. ML-алгоритмы анализируют метаданные сессий, объемы трафика, количество соединений, используемые порты, структуру коммуникаций. Такой подход работает даже при шифровании, поскольку многие атаки проявляются через статистические аномалии и паттерны обмена.

Кроме того, система оценивает поведение узла не только относительно его собственной истории, но и в сравнении с группой схожих хостов. Это повышает чувствительность к признакам горизонтального перемещения, когда устройство начинает инициировать соединения, нехарактерные для его роли в сегменте.

Для приоритизации реагирования платформа автоматически рассчитывает риск-скоринга хостов, агрегируя все наблюдения и предоставляя аналитикам четкую картину критичности инцидентов.

Для выявления C2-коммуникаций и скрытых туннелей важны ML-модели, ориентированные на повторяющиеся паттерны. Вредоносные импланты и агенты управления периодически «выходят на связь» с центром управления, отправляя однотипные или незначительно отличающиеся запросы. Выявление низкой вариативности и периодичности позволяет находить такие коммуникации управления даже тогда, когда полезная нагрузка зашифрована или инструменты модифицированы и не детектируются сигнатурными методами. В рамках расширенной лицензии «Гарда NDR Extended» детектирование усиливается за счет «Гарда TI Feeds» и «Гарда Deception». Фиды TI позволяют оперативно оценивать репутацию узла или домена и сокращают путь от первого подозрения к подтверждению угрозы. Механизмы «Гарда Deception» распознают действия злоумышленника на ранних стадиях — такую активность невозможно принять за легитимную. Любая попытка взаимодействия с ловушкой почти гарантировано указывает на нарушителя и идеально встраивается в сценарии раннего предупреждения разведки и горизонтального перемещения (lateral movement).

Этап «Обогащай» отвечает за преобразование разрозненных срабатываний в информативный инцидент. Сетевые сессии получают дополнительные атрибуты: GeoIP, DNS-имена, сведения о пользователях из Active Directory, результаты проверок по репутационным спискам, а также классификацию по MITRE ATT&CK и Cyber Kill Chain. Такой контекст необходим как для оперативной работы SOC, так и для управленческих отчетов, поскольку позволяет оценивать не отдельное событие, а целостную картину и стадию атаки.

Этап «Расследуй» ориентирован на проактивный поиск угроз (Threat Нunting) и детальный разбор инцидентов. «Гарда NDR» агрегирует события и детекты в связные инциденты и позволяет «проваливаться» из них в исходные сетевые данные.

Мощный поисковый механизм поддерживает десятки параметров — от атрибутов сессий и данных пользователей до команд протоколов и TCP-флагов. Ключевая особенность — ретроспективный анализ: возможность перемещаться по временной шкале и восстанавливать ход атаки на основе полной истории сетевой активности и инцидентов.

При наличии копии трафика доступен детальный разбор сессий и пакетов прямо в веб-интерфейсе (по аналогии с Wireshark), без выгрузки во внешние утилиты. Поддерживается поиск по сырому содержимому (payload) в рамках конкретной сессий или всех сессий. Платформа также позволяет импортировать внешние PCAP-файлы, генерировать отчеты и дашборды, а также формализовать результаты расследований и превратить их в управляемые метрики.

Этап «Реагируй» отвечает за сокращение времени реагирования и минимизацию возможного ущерба. В концепции NDR отраслевым стандартом считается не прямая блокировка силами самого решения, а запуск ответных действий с помощью интеграций со специализированными средствами защиты.

«Гарда NDR» передает сформированные инциденты в SIEM и SOAR, поддерживает отправку уведомлений и SNMP- трапов. Для автоматического сдерживания атак предусмотрены интеграции с системами контроля доступа (NAC), а также с сетевым оборудованием. Это позволяет изолировать скомпрометированный хост, изменить правила доступа или применить ACL. Через пользовательские скрипты и настраиваемые сценарии можно выстроить адаптивную систему реагирования под конкретную инфраструктуру, взаимодействующую с межсетевыми экранами (NGFW), EDR, Active Directory и другими компонентами.

Важная деталь: при интеграции с SIEM можно передавать не весь «сырой» поток syslog, а только события или набор конкретных полей, относящихся к выбранным политикам безопасности. Это снижает нагрузку на систему и затраты на хранение данных.

Кроме того, платформа поддерживает функцию выборочной записи трафика при обнаружении угрозы (full packet capture). Такой подход часто становится компромиссом между необходимостью сохранять доказательную базу и ограничениями систем хранения. Вместо непрерывной записи всего потока данных система активирует захват «сырого» трафика при срабатывании детектирующей логики и преднастроенных пользователем условий (например, по IP-адресу или комбинации IP и порта). Запись ведется в течение заданного интервала времени, объема данных или других критериев. Это повышает качество последующего расследования и также снижает затраты на хранение данных.

Архитектура для ЦОД, масштабируемость и централизованное управление

Применение NDR в ЦОД требует одновременного выполнения двух условий. С одной стороны, необходима глубина анализа — инспекция трафика на уровне приложений, работа с сессиями и, при необходимости, доступ к содержимому пакетов (DPI). С другой — критически важна масштабируемость, поскольку совокупный объем трафика может быть колоссальным, а горизонтальные потоки распределены по множеству сегментов.

«Гарда NDR» решает эту задачу за счет комбинирования источников данных и распределенной архитектуры, включающей сенсоры и централизованную систему управления. Глубокий анализ на основе зеркалированного трафика (SPAN/TAP) дает максимальную детализацию, но требует развертывания соответствующей инфраструктуры, использования пакетных брокеров и значимых ресурсов хранения. В масштабах крупного ЦОД это не всегда реализуемо для всей сети. Поэтому важное преимущество «Гарда NDR» — поддержка работы с телеметрией NetFlow и IPFIX. Эти протоколы передают метаданные сетевых соединений и позволяют анализировать сотни гигабит трафика без полного зеркалирования, что особенно ценно для контроля горизонтального (East-West) трафика, облачных сред и удаленных филиалов. Объем данных при таком экспорте обычно составляет около 5–10% от исходного трафика и может быть дополнительно оптимизирован настройками таймеров.

С точки зрения экономии ресурсов телеметрия дает значительный эффект. Требования к инфраструктуре анализа и хранению могут снижаться до семи раз по сравнению с полным зеркалированием трафика, при этом сохраняется достаточная видимость для большинства классов угроз. Это объясняется тем, что многие атаки — сканирование, брутфорс, DDoS, горизонтальное перемещение, эксфильтрация данных, туннели и активность C2 — хорошо проявляются в метаданных, частоте, объемах, направлениях трафика, а также устойчивых поведенческих паттернах.

Для особо критичных сегментов, где требуется анализ на прикладном уровне и инспекция содержимого, целесообразно сохранять классическое зеркалирование трафика и использование DPI. На практике оптимальной становится гибридная модель, когда SPAN-копия применяется для наиболее чувствительных зон, а NetFlow обеспечивает широкое покрытие масштабируемость для всей сети.

Платформа обеспечивает производительность более 100 Гбит/с на систему в распределенной конфигурации. В варианте реализации на одном совмещенном сервере (all-in-one — до 10 Гбит/с или до 100 000 потоков сетевой телеметрии. Решение поддерживает горизонтальное масштабирование и предлагает различные варианты поставки: от готовых аппаратных комплексов до виртуальных образов для наиболее распространенных гипервизоров.

Для ЦОД важна и гибкость развертывания, поэтому сенсоры могут размещаться непосредственно рядом с источниками трафика, в то время как управление и корреляция событий централизованы. Это обеспечивает высокую детализацию анализа и удобство администрирования. Важно, что система централизованного анализа данных и управления уже встроена в «Гарда NDR» и не требует дополнительных серверов.

Отдельный блок требований связан с геораспределенной инфраструктурой. «Гарда NDR» поддерживает единый центр управления для нескольких площадок. Это позволяет централизованно разворачивать политики безопасности, управлять реагированием, выполнять сквозной поиск данных и проводить расследования из единого интерфейса без необходимости переключаться между инсталляциями. Для бизнеса такой подход обеспечивает более предсказуемое соблюдение политик безопасности во всей сети и сокращает время расследования инцидентов, особенно в случаях, когда атака начинается в филиале, а ее последствия затрагивают ключевые элементы инфраструктуры.

Гарда NDR как платформа полного цикла безопасности ЦОД

Таким образом, «Гарда NDR» — это не набор разрозненных функций, а целостная платформа, которая реализует сквозной процесс работы с сетевыми угрозами. Решение обеспечивает базовую видимость и контроль, выявляет как известные, так и скрытые и ранее неизвестные атаки за счет сочетания сигнатурных IDS-методов, данных Threat Intelligence и поведенческих ML-моделей. Платформа обогащает события контекстом, предоставляет инструменты для расследования и проактивного поиска угроз, а также ускоряет реагирование благодаря интеграциям с системами NAC, NGFW, SIEM и SOAR. Ключевая ценность для ЦОД проявляется в сочетании трех свойств. Глубина анализа достигается там, где доступно зеркалирование трафика и применение DPI-технологий. Широта охвата обеспечивается за счет работы с телеметрией NetFlow/IPFIX, что позволяет контролировать горизонтальные потоки в распределенных сетях любого масштаба. Скоординированность и скорость работы SOC реализуются через централизованное управление, автоматическое обогащение данных и готовые интеграции для реагирования.

Защита современного ЦОД не может ограничиваться периметром и сигнатурами. Размытые границы, шифрование, гибридные среды и рост атак с горизонтальным перемещением требуют глубины сетевой видимости и аналитики поведения. Платформа «Гарда NDR» позволяет перейти к проактивной и измеримой модели безопасности, где обнаружение и расследование строятся на достоверных сетевых данных, а реагирование становится быстрым и технологичным благодаря интеграциям и отлаженным процессам.