Выявление атак — не единственный сценарий применения NTA. Такие системы помогают раскручивать всю цепочку атаки, понять хронологию ее развития, локализовать угрозу и принять компенсирующие меры. К примеру, обнаружив подозрительную попытку подключения с неавторизованного узла на контроллер домена, можно посмотреть историю сетевой активности узла и проверить, не было таких попыток ранее. Их обнаружение может говорить о целенаправленности действий.
В рамках threat hunting NTA-инструментарий применяется для проверки гипотез о компрометации сети. Например, оператор системы сформулировал гипотезу, что злоумышленники проникли в инфраструктуру и находятся на стадии горизонтального перемещения. Чтобы ее проверить, он анализирует всю сетевую активность доменной инфраструктуры, поскольку, чтобы развить атаку, преступникам нужно провести разведку в AD. Если среди подключений окажутся аномальные запросы, например по протоколу LDAP (протоколу доступа к каталогам), гипотеза будет подтверждена и потребуется детальное расследование.
Еще одна задача, с которой справляются решения класса NTA, — контроль соблюдения регламентов ИБ. В 90% организаций независимо от их размера и сферы деятельности пароли передаются в открытом виде, встречаются ошибки конфигурирования сети, используются утилиты для удаленного доступа и инструменты сокрытия активности. Все это серьезно увеличивает шансы злоумышленников на взлом и развитие атаки.
Сценарии использования NTA-систем гораздо шире по сравнению с другими системами, анализирующими трафик. Применяя NTA, подразделения ИБ могут выявить атаки не только на периметре, но и внутри сети, отследить ошибки сетевой безопасности, расследовать инциденты и охотиться за угрозами.
Это возможно благодаря:
- контролю как трафика между корпоративной сетью и интернетом, так и трафика, циркулирующего внутри организации;
- технологиям детектирования угроз, специфичных для активности злоумышленников внутри периметра;
- хранению трафика