Mediana czasu, w jakim atakujący porusza się między pierwszym przejętym hostem a kolejnym (tzw. breakout time), spadła w ostatnich raportach incydentów poniżej godziny — a w najszybszych przypadkach do kilkunastu minut. To oznacza, że narzędzie, które raportuje zagrożenie po nocnym przetworzeniu logów, jest w praktyce bezużyteczne. Detekcja musi działać w tempie, w jakim porusza się intruz, czyli w czasie rzeczywistym lub blisko niego.
Najstarsza i wciąż najczęściej spotykana metoda to detekcja sygnaturowa. System porównuje ruch z bazą znanych wzorców ataków — tak działają klasyczne systemy IDS/IPS jak Snort czy Suricata. Zaleta: niska liczba fałszywych alarmów i precyzyjne nazwanie zagrożenia. Wada jest fundamentalna: sygnatura wykrywa wyłącznie to, co ktoś wcześniej opisał. Atak typu zero-day oraz ruch szyfrowany pozostają poza zasięgiem, bo nie ma czego dopasować.
Drugie podejście to analiza behawioralna i wykrywanie anomalii (NBAD — network behavior anomaly detection). Zamiast szukać znanego zła, system buduje profil normalnego zachowania sieci — typowe wolumeny ruchu, wykorzystanie pasma, zestaw używanych protokołów, wzorce komunikacji między hostami — a następnie sygnalizuje odchylenia. To właśnie ta metoda wyłapuje dwie kategorie, których sygnatury nie obejmują: nowe ataki bez znanego wzorca oraz zagrożenia ukryte w ruchu szyfrowanym, rozpoznawane po metadanych połączeń, a nie po zawartości pakietów.
Pełna inspekcja pakietów (DPI) w sieci o dużej przepustowości jest kosztowna i nie skaluje się w nieskończoność. Dlatego dojrzała detekcja opiera się na analizie przepływów — protokołach NetFlow, sFlow i IPFIX, które dostarczają metadane o każdym połączeniu: kto, z kim, na jakim porcie, ile bajtów, jak długo. Z tych danych można odtworzyć obraz całej komunikacji, w tym ruchu wschód–zachód (east-west) wewnątrz sieci, który tradycyjny firewall na styku z internetem w ogóle nie widzi. Korelacja przepływów pozwala wykryć takie sygnały jak skanowanie portów, eksfiltracja danych czy nietypowe wzorce sesji — bez konieczności przechwytywania pełnych pakietów.
Surowa anomalia mówi „coś jest nie tak", ale nie mówi, co i jak groźne. Tę lukę wypełniają dwa elementy. Pierwszy to threat intelligence (CTI) — zewnętrzne kanały danych o znanych złośliwych adresach IP, domenach command-and-control i wskaźnikach kompromitacji. Połączenie hosta z adresem widniejącym na liście C2 zamienia niejasny alarm w konkretne, priorytetowe zdarzenie.
Drugi to mapowanie wykrytej aktywności na macierz MITRE ATT&CK — ustandaryzowany katalog taktyk i technik napastników. Zamiast generycznego „anomalia ruchu" analityk dostaje informację: to wygląda na technikę rozpoznania (Reconnaissance) lub ruch boczny (Lateral Movement). To skraca czas analizy i pozwala zespołowi SOC od razu zrozumieć, na jakim etapie ataku się znajduje. Wykrywanie lateral movement — przemieszczania się intruza między systemami po pierwszym włamaniu — jest tu szczególnie cenne, bo to właśnie ten etap decyduje o tym, czy incydent zostanie zatrzymany, czy rozleje się na całą infrastrukturę.
Im czulsza detekcja anomalii, tym więcej fałszywych alarmów. Zespół zalany tysiącami zdarzeń dziennie przestaje na nie reagować — to klasyczne zjawisko zmęczenia alertami, które w praktyce neutralizuje nawet dobre narzędzie. Dlatego wartość systemu mierzy się nie liczbą wykrytych anomalii, lecz jakością priorytetyzacji: wzbogaceniem alertu o kontekst CTI, mapowanie ATT&CK i powiązanie z innymi zdarzeniami. Drugim wyzwaniem jest skala — sieć operatora generuje setki tysięcy przepływów na sekundę, a system musi je analizować na bieżąco, bez gubienia danych.
Rynek NDR (network detection and response) i analityki ruchu jest dziś dość gęsty. Wśród rozwiązań stawiających na zaawansowane modele uczenia maszynowego wyróżniają się Darktrace i Vectra AI — pierwszy zbudował markę na samouczącej się detekcji anomalii, drugi na NDR napędzanym AI. To narzędzia silne, ale celujące w duże, dobrze finansowane organizacje, dostępne głównie w modelu chmurowym lub hybrydowym i bez publicznego cennika.
Po stronie analityki przepływów działają m.in. Progress Flowmon, Plixer Scrutinizer czy Cisco Secure Network Analytics. Przykładem narzędzia łączącego analizę ruchu z detekcją w czasie rzeczywistym jest Sycope, polskie rozwiązanie klasy NDR oparte na NetFlow, sFlow i IPFIX jednocześnie. Wykrywa anomalie w ruchu na bieżąco, a mapowanie MITRE ATT&CK oraz threat intelligence dostępne są w każdym planie — łącznie z darmowym, co w tej kategorii jest rzadkością. Działa wyłącznie on-premise, więc dane telemetryczne nie opuszczają infrastruktury firmy (istotny argument przy RODO i NIS2), a skaluje się od małej firmy do operatora obsługującego do 250 000 logów na sekundę.
Skuteczna detekcja nie wybiera między metodami — łączy je. Sygnatury wyłapują znane ataki tanio i precyzyjnie, analiza behawioralna pokrywa nieznane i ruch szyfrowany, korelacja przepływów daje widoczność wewnątrz sieci, a CTI z mapowaniem ATT&CK zamienia anomalie w priorytety. Zaczynając od zera, warto przetestować detekcję na własnym ruchu, zanim podejmie się decyzję zakupową — darmowy plan z pełną telemetrią przepływów i mapowaniem ATT&CK pozwala zmierzyć, ile realnych zagrożeń tkwi w sieci, nie wydając ani złotówki na licencję.
Brak komentarza, Twój może być pierwszy.
Użytkowniku, pamiętaj, że w Internecie nie jesteś anonimowy. Ponosisz odpowiedzialność za treści zamieszczane na portalu przegladkoninski.pl. Dodanie opinii jest równoznaczne z akceptacją Regulaminu portalu. Jeśli zauważyłeś, że któraś opinia łamie prawo lub dobry obyczaj - powiadom nas [email protected] lub użyj przycisku Zgłoś komentarz
