Гарда NDR

Основные статьи:

• Межсетевой экран (Firewall)
• Антивирусы

2025

Интеграция с модулем F6 Malware Detonation Platform

Компания F6 и группа компаний «Гарда» 20 ноября 2025 года сообщили о технологической интеграции модуля F6 Malware Detonation Platform с системой выявления и реагирования на сетевые угрозы «Гарда NDR».

Модуль Malware Detonation Platform решения F6 Managed XDR — это продвинутая «песочница» (Sandbox), которая принудительно вскрывает — «детонирует», а затем проверяет потенциально опасные файлы и ссылки в изолированной виртуальной среде. Благодаря этому MDP эффективно защищает корпоративную почту, серверы, рабочие станции и сетевой трафик компании от всех типов современных киберугроз и ВПО: стилеров, кейлоггеров, вирусов и шифровальщиков, минимизирует риски утечек данных.Наталия Сляднева, К2Тех — о том, как новая модель технической поддержки помогает CIO 28.4 т

Система «Гарда NDR» анализирует сетевой трафик и телеметрию, с помощью ИИ выявляет обход периметровых средств защиты информации, компрометацию учетных записей и другие угрозы, а также предоставляет возможность активного реагирования на инциденты.

Интеграция решений создает мощный контур проактивной защиты. «Гарда NDR» выявляет аномалии в трафике и отклонения от нормального поведения, автоматически передает артефакты на экспертизу в F6 MDP для «принудительной детонации» и детального изучения. «Песочница» имитирует действия реального пользователя, заставляя вредоносную программу обнаружить себя. Если файл признан вредоносным, он блокируется, а ИБ-команда получает подробный отчет. Синергия продуктов позволяет не просто детектировать, но и предупреждать распространение вредоносных объектов, значительно повышая степень защищенности бизнеса.

Для нас это партнёрство – стратегический шаг в обеспечении свободы пользователей. Мы не ограничиваем возможности автоматического анализа файлов решениями из закрытых моновендорных экосистем, а предоставляем нашим пользователям возможность работы с решениями от различных поставщиков. Интеграция с F6 Malware Detonation Platform позволяет нам создать целостный контур защиты, где решения усиливают друг друга, закрывая ключевые векторы современных атак – от скрытого движения злоумышленника в сети до доставки финальной вредоносной полезной нагрузки, – прокомментировал руководитель продукта «Гарда NDR» Станислав Грибанов.

Организации, защищаемые «Гарда NDR», благодаря интеграции системы с F6 MDP получат дополнительный уровень защиты от актуальных киберугроз и сложных целевых атак, которые не распознаются антивирусами. Наша «Песочница» гибко интегрируется по API с другими системами, работает как с ОС Windows, так и с российскими операционными системами на базе Linux. Техническое сотрудничество F6 и Гарда позволит повысить защиту пользователей, объединив плюсы решений, – отметил Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз (MXDR) компании F6.

Модуль Malware Detonation Platform является частью F6 Managed XDR, комплексного решения, которое позволяет реализовать полный цикл киберзащиты, объединяя возможности классического SOC — от мониторинга и анализа угроз до оперативного реагирования на инциденты.

Фильтрация по матрице MITRE ATT&CK

Вышло обновление «Гарда NDR», которое помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности. Дополнительные инструменты автоматизации и визуализации усиливают контроль над сетевой безопасностью, сокращают время реагирования на атаки и повышают устойчивость бизнеса к киберрискам. Об этом Гарда Технологии сообщили 11 ноября 2025 года.

Проактивная защита в «Гарда NDR» стала доступнее благодаря фильтрации по матрице MITRE ATT&CK. Система позволяет искать атаки по тактикам, техникам и подтехникам, а также по IP-адресам и логическим группам. Такой подход помогает командам центров информационной безопасности (SOC) точнее формулировать гипотезы и быстрее выявлять признаки сложных атак вроде «горизонтального перемещения». Добавленные фильтры упрощают поиск угроз, снижают трудозатраты аналитиков и сокращают время реагирования.

Повышает скорость расследований и качество аналитики добавленный экспорт журналов действий пользователей и системных сообщений в SIEM. Теперь специалисты могут анализировать события и строить полную цепочку атаки в едином интерфейсе, без перехода между системами.

Расширенные возможности ретроспективного поиска по полезной нагрузке (payload) позволяют быстро находить нужные фрагменты трафика. Поддержка управляющих последовательностей и работа с символами прямо из слепка трафика делают расследования гибкими и наглядными. Аналитики могут мгновенно выгружать данные для дальнейшего анализа в программу для анализа Wireshark, что ускоряет поиск первопричины инцидента и формирование отчета.

Усилена защита Active Directory-сред с инструментом для обнаружения изощренных атак, которые раньше могли оставаться за пределами видимости. Добавленная функция декодирования команд протокола идентификации Kerberos закрывает уязвимость, через которую ранее могли проходить незаметные атаки – от перебора паролей до kerberoasting. Теперь «Гарда NDR» анализирует трафик Kerberos для TCP и UDP, позволяя строить виджеты и фильтры по параметрам протокола.

Точность машинного анализа также выросла: улучшенные ML-модели теперь эффективнее определяют аномалии и снижают количество ложных срабатываний. Дополнительно реализована возможность массового изменения политик и мониторинг сетевых метрик – application и network delay, что помогает точнее оценивать качество связи и реагировать на сетевые сбои.

Чтобы сэкономить время первичного анализа и ускорить принятие решений по устранению угроз, раздел «Главная» теперь разделен на «Инциденты» и «События». Карточки инцидентов содержат данные о классификаторах MITRE*, количестве уникальных событий и хостов по каждой ИБ-политике. Аналитик сразу видит масштаб атаки и вектор распространения, без необходимости вручную агрегировать информацию.

Мы стремимся к тому, чтобы аналитики получали максимум информации без лишних действий. В версии 4.3 мы сосредоточились на автоматизации, расширении возможностей поиска и устранении слепых зон. Это дает нашим заказчикам уверенность в том, что ни одна угроза не останется незамеченной, – отметил Станислав Грибанов, руководитель продукта «Гарда NDR».

Интеграция с AxelNAC

Группа компаний «Гарда» и продуктовая студия Axel PRO завершили интеграцию решений «Гарда NDR» и AxelNAC. Результатом стала автоматизация активного реагирования на инциденты в корпоративных сетях, что позволяет заказчикам повысить уровень киберустойчивости. Об этом «Гарда» сообщила 20 августа 2025 года.

Интеграция «Гарда NDR» и AxelNAC сокращает для заказчиков время реагирования, снижает риски и повышает устойчивость ИТ-инфраструктуры к современным угрозам. Совместно системы могут автоматически реагировать на инциденты ‒ при обнаружении аномалий или признаков атаки изолировать скомпрометированный хост, разорвать подозрительное соединение и устранить угрозу в режиме реального времени. При этом критически важные бизнес-процессы заказчика не пострадают.

«Автоматическое реагирование из коробки позволяет блокировать атаки и предоставляет заказчику реальную защиту, а не ее видимость. В отличии от устаревших российских NTA, опирающихся на сигнатурный анализ, «Гарда NDR» детектирует и блокирует продвинутые угрозы, используя поведенческий анализ и машинное обучение. Это особенно важно в условиях, когда скорость реакции определяет, будет ли инцидент точечным или перерастет в кризис», ‒ сказал Станислав Грибанов, руководитель продукта «Гарда NDR».

Axel PRO развивает экосистему кибербезопасности. В партнерстве с „Гарда` мы объединили наш опыт в сетевом контроле с аналитическими возможностями NDR. Мы создали интеграцию, которая помогает заказчикам быстрее реагировать на инциденты и предотвращать ущерб, ‒ отметил Николай Санагурский, руководитель департамента развития продуктов Axel PRO.

2024

«Гарда NDR 4.1» с повышенной эффективностью детектирования сетевых угроз

Обновленный комплекс «Гарда NDR» повышает эффективность детектирования сетевых угроз за счет комбинации сигнатурных и несигнатурных методов, снижает время реагирования на инциденты и нагрузку на ИБ-специалистов, оптимизирует работу аналитиков безопасности, позволяя им быстрее принимать обоснованные решения и оценивать текущие риски и принимать меры по защите активов. Об этом Гарда Технологии сообщили 10 декабря 2024 года.

Обновленный алгоритм машинного обучения детектирует повторяющиеся последовательности уникальных сетевых запросов к управляющим центрам (C&C) вредоносного программного обеспечения. Кроме того, обновленная версия «Гарда NDR» обнаруживает коммуникации с криптомайнинговыми хостами без использования базы известных угроз IDS и репутационных списков.

«Гарда NDR 4.1» более точно детектирует сетевые угрозы за счет комбинации сигнатурных и несигнатурных методов анализа – в релиз добавлена опция контроля количества угроз. Она совмещает анализ поведения отдельного хоста со сработками сигнатур IDS, помогает обнаруживать превышение количества уникальных сигнатур IDS, поступающего на хост или инициированного от хоста за интервал времени.

Снизить время реагирования на инциденты и нагрузку на специалистов ИБ-команд позволяет интеграция с песочницами Check Point и AV Soft – «Гарда NDR» автоматически отправляет извлеченные файлы на проверку. Так существенно упрощается анализ подозрительных файлов.

Эффективность и скорость принятия аналитиками решений с «Гарда NDR 4.1» обеспечивает улучшенная навигация между событиями и политиками. Теперь из карточки политики можно перейти в аномалию или на дашборд к агрегированным инцидентам по конкретной политике.

Гарда NDR детектирует продвинутое вредоносное программное обеспечение, используемое атакующими фреймворками: Cobalt Strike, Brute Ratel C4 и Sliver даже в соединения HTTPS, DNS и DNS-over-HTTPS, ‒ добавил Станислав Грибанов, руководитель продукта "Гарда NDR". ‒ Машинное обучение без привязки к базам IDS и репутационным спискам Threat Intelligence позволяет заказчикам эффективно выявлять скрытые угрозы и лучше контролировать безопасность сетей.

В систему добавлен новый виджет «Карта угроз» для быстрой оценки текущих рисков и оперативного принятия мер по защите активов. Инструмент отображает географическую карту с цветовой маркировкой стран по уровню угроз сработавших сигнатур IDS.

Интеграция с AVSoft Athena

Система защиты от целенаправленных атак AVSOFT ATHENA на базе технологий антивирусного мультисканера и песочницы прошла интеграцию с системой для выявления кибератак, расследования сетевых инцидентов и защиты сети от проникновения «Гарда NDR», что позволит клиентам значительно повысить уровень защиты от кибератак, а также расширить возможности мониторинга и анализа вредоносных объектов. Интеграция, в отличие от моновендорных экосистем, предоставляет заказчикам возможность применять гибкие сценарии проверки файлов. Об этом Гарда сообщила 4 декабря 2024 года.

Применение технологий антивирусного мультисканера и динамического анализа для оценки безопасности каждого обнаруженного артефакта в трафике является необходимым элементом в построении качественной системы защиты. Совместное применение решений значительно усиливает периметр защиты ИТ-инфраструктуры заказчика благодаря гибкой системе анализа трафика и оперативному выявлению аномалий.

Экспертиза «АВ Софт» в части выявления вредоносного программного кода и группы компаний «Гарда» – в части технологий глубокого анализа сетевого трафика – стали основой договоренностей о дальнейшем сотрудничестве. В будущем состав интеграций различных решений из портфелей партнеров планируется расширять.

Интеграция с ATHENA предоставит клиентам возможность усиления обеспечения безопасности с помощью средства защиты «Гарда NDR» посредством комплексного анализа метаданных пакетов сетевого трафика. Детектирования аномалий и отклонений от нормального поведения в сети, благодаря чему позволит выявить даже скрытые атаки и продвинутые угрозы и реагировать на сетевые инциденты.

Интеграция с AxelNAC

Продуктовая студия Axel PRO и группа компаний «Гарда» объединили усилия для обеспечения интегральной защиты сетевой инфраструктуры российского бизнеса и повышения оперативности реагирования на актуальные угрозы. Об этом Гарда сообщила 29 августа 2024 года.

Для достижения стратегических целей компании интегрируют «Гарда NDR» и AxelNAC. Подробнее здесь.

Возможность предотвращать сложно детектируемые сетевые атаки

Группа компаний «Гарда» обновила систему NDR, предназначенную для выявления и предотвращения кибератак. Об этом компания сообщила 28 августа 2024 года. Теперь заказчики имеют возможность предотвращать сложно детектируемые сетевые атаки. С помощью моделей машинного обучения на основе технологии автокорреляции «Гарда NDR» выявляет аномалии в сетевом трафике и определяет обращения к центрам управления ботнетами.

Эксперты группы компаний «Гарда» добавили в перечень инструментов системы NDR модель машинного обучения для выявления обращений к центрам управления ботнетов (Command&Control Center, С&C) с поддержкой автокорреляции.

Технология позволяет выявлять повторяющиеся последовательности из нескольких уникальных запросов ботов к их центрам управления. Система выявляет скрытые зависимости в сетевом трафике, более точно определяет аномалии, которые указывают на присутствие ботов и их активность в сети. В результате, «Гарда NDR» применима для противодействия даже сложно детектируемым сетевым угрозам.

Модель устойчива к шифрованию и поддерживает детектирование даже при использовании туннелей DNS-over-HTTPs.

В 2021 мы выпустили первую версию поведенческих ML-моделей (моделей машинного обучения) и приняли стратегическое решение развивать несигнатурные методы выявления угроз и аномалий, которые являются ключевым элементом функциональности для NTA/NDR-решений, – отметил руководитель разработки продукта «Гарда NDR» Павел Шубин. – С того момента ML-модели «Гарда NDR» существенно эволюционировали, теперь они способны выявлять даже неочевидные отклонения поведения устройств и пользователей, которые нельзя определить другими методами. Поведенческие модели (профилирование) с учетом постоянно возрастающей сложности атак по-прежнему остаются наиболее действенным инструментом их детектирования.

Мы ясно пониманием, что российский подход к NTA-решениям, основанный на сочетании IDS и DPI, устарел и не отвечает задачам рынка и актуальному ландшафту угроз. Мы постоянно совершенствуем ML-модели и выпустили новую модель для детектирования обращений к C&C, которая позволяет детектировать маскирующиеся последовательности из нескольких уникальных "отстуков", – добавил руководитель продукта «Гарда NDR» Станислав Грибанов.

Планы применения в «Гарда NDR» методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных

Группа компаний «Гарда» и инжиниринговый центр Национального исследовательского государственного университета им. Н.И. Лобачевского разработали решение для выявления угроз информационной безопасности в больших объемах сетевых потоков данных с использованием методов машинного обучения. Об этом «Гарда» сообщила 23 июля 2024 года.

Эксперты группы компаний «Гарда» совместно с учеными Инжинирингового центра Университета Лобачевского завершили исследование использования методов машинного обучения для выявления киберугроз в больших объемах сетевых потоков данных. Его результаты будут использоваться в продуктах для сетевой безопасности «Гарда», например, «Гарда NDR», и позволят повысить точность детектирования известных угроз и эффективность выявления атак «нулевого дня». Решение увеличит степень защищенности крупных сетевых инфраструктур, где мониторинг сетевого трафика наиболее эффективен с использованием NetFlow.

В разработанном решении используется каскад из ML-алгоритмов и набор синтезированных признаков на основе параметров сетевого трафика, доступных по протоколу NetFlow. В результате проведенных исследований были установлены оптимальные параметры алгоритмов, проведены оценки производительности решения на различных типах и объемах сетевого трафика с учетом изменчивости, сезонности и других факторов.

Предметом совместного исследования стали актуальные задачи информационной безопасности (ИБ), защита как от известных, так и не известных ранее классов угроз. Задача детектирования и классификации угроз исследовалась и решалась методами матстатистики и искусственного интеллекта. Большой объем данных сетевого трафика позволил учесть фактор «сезонности», зависимость параметров от ряда внешних факторов, определить условия детектирования неизвестной угрозы. Совместно проведен ряд объемных исследований, получено искомое актуальное решение и ценный практический опыт, которым мы с радостью поделимся с нашими студентами в процессе обучения. Мы надеемся на дальнейшее плодотворное сотрудничество с группой компаний «Гарда», говорит руководитель проекта, доктор технических наук, профессор кафедры высокопроизводительных вычислений и системного программирования Института информационных технологий, математики и механики ННГУ Вадим Турлапов.

Помимо проведения совместных научно-исследовательских работ, это еще и стажировки студентов, и организация производственной и преддипломной практики. Полученные результаты обогащают арсенал наших передовых методов выявления угроз ИБ и помогают сделать существенный шаг в их развитии. Проведенные исследования – замечательный пример кооперации науки и бизнеса, когда в выигрыше оказываются обе стороны. Мы будем рады дальнейшему развитию наших отношений, отметил Владимир Пономарев, первый заместитель генерального директора «Гарда Технологии» (входит в группу компаний «Гарда»).

«Гарда NDR 4.0» с увеличенной записью содержимого сетевых потоков в 8 раз

Разработчики «Гарда NDR» многократно повысили производительность решения, обновленная версия позволит заказчикам оптимизировать затраты на оборудование и снизить нагрузку на сеть. Об этом разработчик сообщил 19 июня 2024 года.

Ключевое изменение «Гарда NDR 4.0» коснулось производительности подсистемы записи содержимого сетевых потоков. Скорость записи увеличена в 8 раз. Таким образом, один совмещенный сервер, который включает сенсор, систему хранения и систему управления, поддерживает обработку до 10Гбит/c сетевого трафика.

Один совмещенный сервер обрабатывает до 10 Гбит/сек, при этом поддерживает централизованное развертывание, управление политиками безопасности и горизонтальное масштабирование производительности. Мы первыми из отечественных вендоров реализовали в NDR-системе функционал активного реагирования full packet capture – динамической записи трафика при срабатывании политик, – сказал руководитель продукта «Гарда NDR» Станислав Грибанов.

«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения трафика. За счет опции активного реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты информационной безопасности – до нескольких недель.

Обновленная версия «Гарда NDR» оперативно детектирует скомпрометированные устройства, защищая тем самым сеть организации от возможных атак. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов. Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри dns-over-https-туннелей в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver, Brute Ratel C4.

Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60 таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики соответствуют матрице MITRE ATT&CK и Kill Chain.

За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов (DPI-фильтров трафика) в новой версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз (zero-day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество сигнатур и сгруппированных простых правил.

Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов.

2023: Гарда NDR 3.4

Производитель семейства продуктов для защиты данных и сетевой безопасности, группа компаний «Гарда», 26 декабря 2023 года представил обновленную версию системы выявления и реагирования на сетевые угрозы «Гарда NDR 3.4». Обновления позволяют быстрее обнаруживать атаки на корпоративную сеть, более оперативно и точно реагировать на инциденты. Обновленные формы настраиваемых отчетов упрощают контроль подозрительных событий в сети и облегчают анализ данных для эффективного реагирования на инциденты.

Обновленная версия системы «Гарда NDR» более эффективно анализирует и обрабатывает сетевые данные за счет поддержки протокола NSEL. Оптимизация обработки данных NetFlow, включая группировку сессий, позволила более наглядно отображать события и сократить время подготовки отчетов.

В версии «Гарда NDR 3.4» усовершенствован процесс обнаружения вредоносного программного обеспечения (ПО): внедрен механизм подсчета хэш-сумм файлов и ссылка для автоматической проверки на вирусы. Опция помогает обогащать информацию о зловреде, как следствие, производить глубокий анализ данных и принимать эффективные меры реагирования.

Мы добавили возможность передачи данных в SIEM и поддержку внешних интеграций через Python-скрипты для ML и пороговых поведенческих моделей, – сказал Станислав Грибанов, руководитель продукта Гарда NDR группы компаний «Гарда». – Это значительно улучшит возможности активного реагирования на инциденты и обеспечит более полное представление о происходящих событиях.

В данном релизе сняты ограничения по количеству и вложенности логических групп управления информационным активами, так пользователь может удобнее создать и распределять активы в полную иерархическую структуру групп. Это делает работу с активами и их анализ в трафике более понятным и удобным в использовании.

В релизе 3.4 представлен обновленный редактор отчетов, который позволяет настраивать виджеты в соответствии с индивидуальными потребностям пользователями, получать репорты по расписанию, а значит, контролировать работу приложения. Форма отчетов стала более гибкой, что расширяет возможности аналитики. Теперь виджеты можно экспортировать и импортировать – так разработчики облегчили перенос конфигураций дашбордов и упростили настройку под задачи заказчика.