NTA, czyli Network Traffic Analysis, to proces analizy ruchu sieciowego w celu zrozumienia, monitorowania i ochrony sieci przed różnymi zagrożeniami. Jest to technika, która polega na analizie danych przesyłanych między urządzeniami w sieci w celu wykrywania nieprawidłowości, ataków lub innych podejrzanych aktywności.

NTA umożliwia odkrywanie anomalii sieciowych, zakłócanie ruchów Lateral Movements, czy analizę ruchu północ/południe i wschód/zachód. Dzięki komunikacji z Malware Platform Detonation weryfikuje pliki i linki wyodrębnione z ruchu sieciowego, ruchu e-mail, magazynów plików i serwerów proxy pod kątem zawartości złośliwego oprogramowania. Algorytmy uczenia maszynowego wykorzystywane są do wykrywania ukrytych kanałów komunikacji i anomalii w ruchu sieciowym, takich jak algorytmy generowania domen lub tunele w protokołach warstwy aplikacji. Zebrane logi sieciowe ułatwiają postawienie hipotez i odkrycie nieznanych zagrożeń oraz złożonych ataków.

• Ruch sieciowy jest odzwierciedlany w specjalistycznych urządzeniach i przechodzi analizę opartą na sygnaturach i analizę behawioralną
• Ataki są wykrywane przez rozpoznawanie: określonych schematów w ruchu sieciowym, znanych poleceń lub sekwencji poleceń używanych przez złośliwe oprogramowanie
• Alerty związane z siecią są automatycznie korelowane z incydentami w celu dalszego sortowania i zarządzania w konsoli XDR
• Algorytmy uczenia maszynowego są używane do wykrywania ukrytych kanałów i anomalii w ruchu sieciowym, takich jak algorytmy DGA (Domain Generation Algorithms) lub tunele w protokołach warstwy aplikacji
• Zbierane są logi sieciowe (zrzuty PCAP i metadane) w celu dalszego polowania na zagrożenia
• Możliwe jest wykrycie: Lateral Movement, eskalacja uprawnień, korzystanie ze zdalnego dostępu i luk w zabezpieczeniach oraz naruszenie zasad
• Obiekty są wyodrębniane z ruchu sieciowego w celu dalszej detonacji
• Blokowanie pobierania plików. Integracja jest przeprowadzana przy użyciu rozwiązań proxy ICAP w celu blokowania szkodliwych obiektów możliwych do pobrania
• Analiza przechowywania plików. Zawartość magazynu jest sprawdzana i selektywnie blokowana, w zależności od obecności lub braku złośliwego oprogramowania
• Integracja z serwerami pocztowymi za pośrednictwem protokołów POP3, IMAP lub SMTP w celu wykorzystania funkcjonalności BEP

W skrócie, Network Traffic Analysis jest ważnym elementem zarządzania bezpieczeństwem sieci, pomagając organizacjom w ochronie przed zagrożeniami, utrzymaniu wydajności i zapewnieniu zgodności z regulacjami.