Современные ИТ-инфраструктуры эволюционировали в многоуровневые экосистемы с разнообразным оборудованием и сервисами, что делает ручное управление такими сетями крайне неэффективным. Решением становятся специализированные инструменты выявления отклонений.

Согласно исследованиям Mandiant, в 2024 году среднее время обнаружения кибератаки составляло 11 суток. В последующем отчёте M-Trends 2026 этот показатель увеличился до двух недель. Представьте: злоумышленник свободно перемещается по системе, получая конфиденциальные данные, пока защитные механизмы воспринимают это как фоновую активность.
Ещё более тревожная динамика наблюдается в скорости перепродажи доступа. Если в 2022 году передача прав занимала свыше 8 часов, то к 2025-му этот процесс сократился до 22 секунд (данные того же источника). Пока защитники анализируют угрозу, злоумышленник успевает продать доступ быстрее, чем остынет чашка кофе.
Критические инциденты редко происходят внезапно. Им предшествуют нехарактерные события: необъяснимые подключения серверов к внешним ресурсам, сканирование сети отдельными устройствами, аномально длинные DNS-запросы. Даже ночное увеличение исходящего трафика в пустом офисе может стать тревожным звоночком.
Само по себе отклонение не подтверждает атаку. Скачок данных может быть вызван обновлением ПО, человеческой ошибкой или незадокументированными задачами. Именно для фильтрации подобных ситуаций необходимы системы мониторинга, способные отделить реальные угрозы от ложных срабатываний.
Определение нормального поведения (и его субъективность)
Сетевое отклонение — это несоответствие активности устройства или сегмента исторически сложившимся паттернам конкретной инфраструктуры. Ключевое слово — «конкретной». Ночной всплеск подключений к интернет-магазину в период распродаж ожидаем, тогда как аналогичная активность на изолированном сервере бухгалтерии требует немедленной реакции.
Традиционные средства защиты работают по принципу поиска известных угроз, подобно полицейскому с фоторазыскным альбомом. Технологии обнаружения аномалий анализируют поведенческие паттерны, оценивая степень соответствия текущих событий типичной активности. Методология NIST SP 800-94 относит этот подход к фундаментальным, наравне с сигнатурным анализом. Документ, правда, датирован 2007 годом (обновление 2012 года так и не утвердили), поэтому технические детали устарели, хотя концепция остаётся актуальной.
Основная сложность заключается в том, что большинство отклонений оказываются безвредными. Специалистам приходится анализировать принадлежность устройств, их роли, наличие плановых работ и историю аналогичных событий. Кропотливая аналитическая работа без спецэффектов.

Методология анализа
Защитные системы собирают метрики, преобразуют их в аналитические признаки, сопоставляют с эталонной моделью и выделяют несоответствия. Однако окончательное решение всегда остаётся за человеком — алгоритмы лишь предоставляют первичные данные.
Процесс можно разделить на три этапа. На первом формируется набор признаков из сырых данных: IP-адреса, порты, протоколы, объёмы передачи, временные интервалы, коды ответов. Далее строится эталонная модель поведения, автоматически или с участием экспертов. На финальном этапе происходит постоянный мониторинг и генерация отчётов о значимых отклонениях.
Одноразовой настройки недостаточно. Миграция в облако, смена провайдеров или интеграция новых сервисов кардинально меняют сетевой ландшафт. Без периодической калибровки система начнёт генерировать ложные оповещения, что в конечном итоге приведёт к игнорированию реальных угроз.
Пассивный и активный мониторинг
Существует два основных подхода. Пассивный метод предполагает анализ существующего трафика через журналы коммутаторов, DNS-запросов, DHCP-серверов, файрволов и VPN-соединений. Такой способ не влияет на производительность и идеален для расследований. Пример — открытая платформа Zeek, детально фиксирующая сетевые события.
Активный метод использует тестовые запросы для проверки доступности сервисов, задержек и потерь пакетов. Хотя это полезно для диагностики, избыточная нагрузка может нарушить работу ресурсов. Парадокс: инструмент мониторинга становится причиной сбоев.
Для целей безопасности приоритетен пассивный сбор данных, отражающий реальное поведение пользователей и систем. Активные проверки больше подходят для оценки технического состояния инфраструктуры.
Титегории нестандартного поведения
Для эффективного анализа события группируют по типам. Объёмные аномалии включают резкие скачки трафика, массовые подключения или активность в нерабочее время. Причины варьируются от сбоев резервного копирования до DDoS-атак.
Направленные отклонения возникают при подключении к нехарактерным ресурсам — например, когда внутренний сервер внезапно обращается к внешним IP-адресам. Особую опасность представляют аномалии протоколов, такие как DNS-туннелирование через поддомены. Группировки APT41 и OceanLotus использовали этот метод, маскируя данные в запросах. Характерные признаки: всплеск обращений к новым доменам, длинные строки запросов, высокая энтропия поддоменов.
Наиболее коварны ритмические аномалии — периодические обращения к определённым узлам, характерные для бекдоров. Инструменты вроде Cobalt Strike используют случайные интервалы (jitter), но статистический анализ (например, через RITA) выявляет скрытые паттерны. Ранние версии оставляли характерные артефакты вроде пути /jquery-3.3.1.min.js, что напоминает неудачную маскировку из кинокомедий.
Ключевой принцип: подозрительность определяется контекстом. Принтеру не нужны свежезарегистрированные домены, файловому хранилищу — гигабайты трафика в неизвестные локации. Однако ночные всплески могут быть легальным бэкапом, а зарубежные подключения — командировкой сотрудника. Совпадение нескольких факторов (необычное время + неизвестный процесс + иностранный IP) требует немедленной проверки.
Фундамент эффективного мониторинга
Качество анализа зависит от полноты телеметрии. Минимальный набор включает NetFlow/IPFIX, DNS/DHCP-логи, данные прокси и VPN. Облачные среды требуют сбора VPC Flow Logs (AWS), метрик Azure и телеметрии Kubernetes-кластеров через Istio.
Шифрование скрывает содержимое, но метаданные (адреса, порты, объёмы) остаются доступными. Комбинация сетевой статистики и данных с конечных устройств превращает гипотезу в доказательство.
Базовые профили формируются для каждого класса устройств с учётом их роли: рабочие станции, серверы, облачные сервисы. Это позволяет учесть специфику активности и временные паттерны.
Процедура расследования и инструменты
Анализ начинается с идентификации источника аномалии: проверки роли устройства, истории изменений и легитимности активности. Сравнение с историческими данными, изучение направлений трафика и корреляция с системными логами предшествуют принятию решения о дальнейших действиях.
Универсального решения не существует. IDS выявляют известные угрозы, SIEM-системы агрегируют данные, EDR-платформы мониторят конечные устройства, а XDR пытается интегрировать все источники. Связка Zabbix/Prometheus/Grafana эффективна для технического мониторинга, а машинное обучение помогает обрабатывать большие объёмы данных, оставляя интерпретацию человеку.

Типичные ошибки
Главная проблема — отсутствие актуальной сетевой карты, что делает невозможным区分正常ной и подозрительной активности. Единые пороги срабатывания для всех устройств игнорируют их функциональное назначение: гигабайты трафика с файлового сервера нормальны, с бухгалтерского ПК — нет. Часто упускают из виду DNS-метрики и облачные журналы, где могут скрываться следы атак.
Стратегия внедрения
Рекомендуется поэтапный подход. Начать с определения критичных активов и сбора flow-данных. Затем — описание типичного поведения ключевых систем и создание сценариев реагирования. Ежемесячный аудит правил и исключений предотвращает устаревание политик. Критерий эффективности: каждое срабатывание должно иметь чёткое обоснование. Если причина тревоги неясна — правило требует доработки.
Основная сложность — не обнаружение отклонения (с этим справляются алгоритмы), а оперативный анализ его причин. Именно задержки в интерпретации приводят к тем самым двухнедельным простоям, пока злоумышленник успевает продать доступ за время чаепития.
Источник: http://www.securitylab.ru/analytics/535530.php
