Лаборатория кибербезопасности разработала систему, которая обнаруживает скрытые сетевые угрозы без расшифровки трафика

Лаборатория кибербезопасности Servicepipe и «Спикател» объявляет о запуске системы обнаружения сетевых угроз (NDR)...

Лаборатория кибербезопасности Servicepipe и «Спикател» объявляет о запуске системы обнаружения сетевых угроз (NDR), которая выявляет зашифрованные угрозы, скрытые туннели и проксированный трафик в корпоративных сетях без его расшифровки. Платформа изучает, как выглядит нормальная работа каждого узла в конкретной организации, и обнаруживает отклонения, независимо от того, зашифрован трафик или нет. Об этом CNews сообщили представители Servicepipe.

Этот подход позволяет обнаруживать следующие угрозы.

Зашифрованные каналы управления (C2). Злоумышленник уже внутри сети и получает команды через обычный HTTPS. Firewall видит легитимное соединение. Система видит периодические обращения к одному и тому же серверу с нетипичным интервалом и аномальным TLS-отпечатком - признаки beaconing (периодической отправки сигналов зараженным компьютером злоумышленнику).

Скрытые туннели и обход политик. Сотрудники используют VPN, прокси и туннели для обхода корпоративных политик безопасности. Система обнаруживает замаскированные туннели по поведенческим признакам - даже если они маскируются под обычный веб-трафик.

Эксфильтрация данных. Утечка конфиденциальных данных через DNS, HTTPS или облачные хранилища незаметна для периметровых средств защиты. Система фиксирует аномальные объемы исходящего трафика, нетипичных получателей и признаки кодирования данных в DNS-запросах.

Распространение внутри сети. Злоумышленник, проникший в одну рабочую станцию, перемещается к серверам внутри сети. Firewall этого не видит - east-west трафик не проходит через периметр. Система фиксирует новые связи между узлами, которые раньше никогда не общались.

Теневые ИT-ресурсы. Несанкционированные устройства, неучтенные сервисы, личные VPN сотрудников - система автоматически обнаруживает всё, что не соответствует политикам безопасности организации.

Платформа предназначена для организаций, в которых сетевая инфраструктура является критически важным активом: крупный и средний бизнес, государственные организации, операторы связи. Система дополняет существующие средства защиты — межсетевые экраны, IDS, SIEM — закрывая слепые зоны, которые они не могут контролировать.

«Сегодня более 87% сетевого трафика зашифрована, и традиционные средства защиты порой просто не видят, что внутри сети: когда трафик зашифрован, проксирован или туннелирован — сигнатуры не работают. Этим активно пользуются злоумышленники: они маскируют управление под обычный HTTPS, передают данные через легитимные каналы и действуют внутри периметра, оставаясь незамеченными месяцами, — сказал директор Лаборатории кибербезопасности Servicepipe и «Спикател» Михаил Хлебунов. — Мы создали решение, чтобы компании могли видеть угрозы, которые пропускают их текущие инструменты — без необходимости расшифровывать трафик, устанавливать агенты или перестраивать сеть».

Адрес новости:
https://safe.cnews.ru/news/line/2026-04-17_laboratoriya_kiberbezopasnosti