Гарда первой на российском рынке объединила кластеризацию и риск-скоринг хостов для поиска скрытых атак

Компания "Гарда" (входит в ИКС Холдинг) внедрила в решение "Гарда NDR" новые технологии, ориентированные на повышение эффективности выявления киберугроз и ускорение расследования инцидентов. В продукте реализованы автоматический риск-скоринг хостов и обнаружение аномальных отклонений в их поведении с помощью ML-кластеризации.Обновление функциональных возможностей решения направлено на выявление сложных и нестандартных атак. В "Гарда NDR" впервые на российском рынке реализовано сочетание автоматической кластеризации для детектирования аномальных отклонений в поведении и динамического риск-скоринга хостов. ML-кластеризация позволяет анализировать поведение устройств в сети и выявлять атаки, которые не определяются традиционными средствами защиты, включая скрытые активности, нетипичные отклонения в коммуникациях и атаки нулевого дня. Такой подход опирается на совокупность технологий выявления угроз: более 80 детекторов аномалий на базе моделей машинного обучения (ML), глубокий разбор содержимого сетевых пакетов (DPI) и анализ телеметрии (Netflow), сигнатурный анализ (IDS), индикаторы компрометации "Гарда Threat Intelligence Feeds", ловушки и приманки Deception. Их совместное применение лежит в основе риск-скоринга хостов и позволяет автоматически приоритизировать узлы инфраструктуры по степени потенциальной компрометации. В результате вместо потока разрозненных алертов аналитики будут получать структурированное представление о реальном уровне риска, а также определять узлы, через которые происходит горизонтальное распространение атаки внутри инфраструктуры. Это ускоряет принятие решений по реагированию и сокращает время расследования инцидентов.Помимо новых механизмов выявления угроз, обновленная версия включает ряд усовершенствований, направленных на ускорение внедрения и снижение нагрузки на команды информационной безопасности. В продукте появились графический инсталлятор и автоматическая загрузка политик из архива, которые упрощают первоначальную настройку системы и сокращают время подготовки к работе. Также добавлена поддержка цифровых отпечатков в формате JA4, которая позволяет детектировать известные признаки вредоносного ПО в зашифрованном трафике. Отдельное внимание уделено повышению эффективности работы аналитиков SOC. В релиз вошла новая модель машинного обучения для детектирования автоматически сгенерированных доменов (DGA). Она распознает домены, создаваемые злоумышленниками для управления вредоносным ПО и обхода механизмов блокировки, с точностью, которой невозможно достичь эвристическими методами. Модель обучена на десятках миллионов примеров. В результате специалисты тратят меньше времени на разбор ложных срабатываний и могут сосредоточиться на опасных атаках. Кроме того, расширены возможности передачи событий аудита в SIEM, реализованы улучшения интерфейса и дополнительные инструменты настройки политик детектирования. В результате количество кликов, которые нужно совершить пользователю при расследовании инцидента, сократилось на 20-50% в зависимости от сценария, а логика продукта стала интуитивно понятной. Это напрямую снижает риск пропуска атаки, связанный с человеческим фактором.Решение объединяет технологии, которые сегодня доступны преимущественно у мировых технологических лидеров и не представлены на российском рынке в рамках одного продукта. Благодаря совокупности методов "Гарда NDR" расширяет возможности выявления угроз и повышает эффективность защиты сетевой инфраструктуры.

"Гарда" (входит в ИКС Холдинг) – разработчик решений для защиты корпоративных данных и сетевой безопасности. Решения "Гарда" применяют в крупнейших государственных организациях и корпорациях, используют для защиты 50% всего российского интернета от DDoS-атак, безопасности цифровых сервисов и мероприятий федерального масштаба. Продукты компании включены в Единый реестр российского ПО и сертифицированы ФСТЭК России.