Анализ сетевого трафика — ключ к кибербезопасности в 2025 году.

Когда злоумышленники обходят классические средства защиты, только сетевой уровень позволяет заметить их активность — вовремя, а не постфактум. В этом эфире AM Live обсуждаем, как построить реальную, работающую систему анализа трафика: от внедрения NDR и интеграции с SIEM до анализа шифрованных потоков, Threat Hunting и снижения ложных срабатываний. 📌 В программе: — IDS, NDR, NetFlow, DPI: что работает в комплексе — Как анализировать шифрованный трафик без расшифровки — Где и как устанавливать сенсоры для максимального охвата — Типовые ошибки внедрения NTA/NDR — Кто отвечает за анализ: ИБ, ИТ или сеть? — Обогащение трафика внешними данными — Будущее сетевого анализа в SOC 2.0 и возможности ИИ 🎯 Эфир будет полезен аналитикам SOC, инженерам по сетевой безопасности, архитекторам ИБ и всем, кто строит процессы мониторинга и реагирования. Модератор: Руслан Иванов, продуктовый директор по безопасности, Cloud.ru Спикеры: 1) Михаил Пырьев, менеджер продукта UDV NTA, UDV Group 2) Дмитрий Ефанов, руководитель продукта PT NAD, Positive Technologies 3) Сергей Плотко, коммерческий директор, «Цифровые решения» 4) Станислав Грибанов, руководитель продукта «Гарда NDR», Группа компаний «Гарда» Тайм-коды: 00:00:00 — Введение 00:03:16 — Зачем анализировать трафик 00:05:10 — Преимущества анализа трафика 00:07:48 — Роль анализа трафика в защите 00:10:07 — Анализ аномалий и сегментации 00:13:10 — Различие между технологиями 00:16:50 — Конвергенция технологий 00:25:21 — Использование IDS для анализа внутренней сети 00:25:58 — Сравнение IDS с другими инструментами 00:26:48 — Агрегация событий в инциденты 00:27:48 — Реакция на инциденты 00:29:10 — Эволюция технологий реагирования 00:32:24 — Требования регуляторов 00:35:11 — Практическое применение IDS 00:36:11 — Перспективы развития стандартов 00:37:10 — Инциденты и IP-адреса 00:38:08 — Детекторы и обогащение данных 00:39:15 — Расширенные возможности Trit Hunting 00:40:44 — Уязвимые протоколы 00:41:32 — Проактивная защита 00:44:51 — Обогащение данных из внутренних систем 00:45:40 — Анализ корпоративного трафика 00:47:14 — Логи от конечных систем 00:48:11 — Виртуализация и телеметрия 00:49:30 — Телеметрия и XDR 00:50:37 — Стоимость и оптимизация 00:52:38 — Источники данных 00:55:19 — Анализ сырого трафика 00:56:31 — Анализ трафика и системы интей 00:59:23 — Индикаторы компрометации 01:02:30 — Анализ шифрованного трафика 01:04:38 — Анализ побочных каналов 01:05:21 — Внутренний шифрованный трафик 01:07:35 — Обрезка сессий 01:07:41 — Анализ TLS 1.3 и шифрованного трафика 01:08:34 — Технологии выявления атак 01:09:21 — Блок-листы и поведенческий анализ 01:09:57 — Расшифровка TLS 1.3 01:11:39 — Этические аспекты вскрытия TLS 01:13:40 — Анализ трафика и DLP 01:14:34 — Популярные решения для анализа трафика 01:15:33 — Работа с аномалиями 01:18:17 — Требования к пользователям IDS 01:19:11 — Понимание пользы IDS 01:19:53 — Ограничения сигнатурного подхода 01:20:36 — Роль аномалий в защите 01:21:45 — Проблемы унификации решений 01:22:37 — Настройка и оптимизация систем 01:24:23 — Организация процессов в SIEM 01:29:43 — Интеграция SIEM с другими системами 01:31:33 — Временные блокировки и изоляция 01:32:38 — Интеграция решений 01:33:03 — Реагирование на инциденты 01:35:07 — Российский и западный опыт 01:37:52 — Гибкая настройка 01:39:54 — Размещение сенсоров 01:42:18 — Вертикальный и горизонтальный трафик 01:43:59 — Мониторинг трафика 01:44:54 — Ответственность за настройку анализаторов 01:45:01 — Администрирование и эксплуатация 01:47:14 — Проблемы внедрения 01:48:08 — Функции брокеров сетевых пакетов 01:50:12 — Определение точек съёма трафика 01:52:00 — Снижение стоимости внедрения 01:53:51 — Гибкое хранение данных 01:55:44 — Хранение данных и сырой трафик 01:56:38 — Препятствия для внедрения технологий 01:57:36 — Навыки специалистов 02:01:22 — Автоматизация и машинное обучение 02:06:02 — Роль анализа трафика в будущем 02:07:29 — Переход от семоцентричности к инцидентыцентричности 02:08:43 — Метасобытийная модель 02:14:19 — Автоматизация работы с инфраструктурой 02:22:07 — Проблемы разработки решений в России 02:23:51 — Сложности создания опенсорс-решений 02:24:43 — Опенсорсные решения для IDS