Выявляем сетевые атаки, которые пропускают EDR за счёт анализа сетевого трафика с ML, что помогает SOC видеть атаки раньше и реагировать точнее.
NDR — обнаружение и предотвращение сетевых кибератак

Network Detection and Response
- Защита инфраструктуры от сетевых атак, обнаружение на сетевом уровне атак и эксплуатации уязвимостей
- Выявление обхода сетевых средств защиты
- Защита устройств, не поддерживающих агенты рабочего места: Iot, Industrial IoT, Scada, Industrial Control Systems и ОС (специфический Linux)
- Выявление неконтролируемых точек доступа в сеть, туннелей и теневого IT
- Проактивное выявление угроз и контроль безопасного взаимодействия с подрядчиками на сетевом уровне
- Защита от вредоносного ПО (malware) по паттернам сетевого взаимодействия
Какие задачи решает
- Выявление атак на уровне сети
- Снижение времени на обнаружение проникновения в инфраструктуру
- Детектирование горизонтального перемещения злоумышленника, даже если использованы легитимные средства для сокрытия сетевой активности
- Обнаружение внутренних угроз и злоумышленников с легитимными учетными данными
- Повышение точности детектирования и расширение контекста для расследований, снижение "шума"
- Проактивное выявление угроз (Threat Hunting)
- Борьба со сложными угрозами, которые не детектируются другими СЗИ
Network Detection and Response
- Защита инфраструктуры от сетевых атак, обнаружение на сетевом уровне атак и эксплуатации уязвимостей
- Выявление обхода сетевых средств защиты
- Защита устройств, не поддерживающих агенты рабочего места: Iot, Industrial IoT, Scada, Industrial Control Systems и ОС (специфический Linux)
- Выявление неконтролируемых точек доступа в сеть, туннелей и теневого IT
- Проактивное выявление угроз и контроль безопасного взаимодействия с подрядчиками на сетевом уровне
- Защита от вредоносного ПО (malware) по паттернам сетевого взаимодействия
Какие задачи решает
- Выявление атак на уровне сети
- Снижение времени на обнаружение проникновения в инфраструктуру
- Детектирование горизонтального перемещения злоумышленника, даже если использованы легитимные средства для сокрытия сетевой активности
- Обнаружение внутренних угроз и злоумышленников с легитимными учетными данными
- Повышение точности детектирования и расширение контекста для расследований, снижение "шума"
- Проактивное выявление угроз (Threat Hunting)
- Борьба со сложными угрозами, которые не детектируются другими СЗИ
Преимущества решения
Раннее выявление атак до критических последствий
Суть технологии
Распределённая сеть киберловушек и приманок, неотличимых от реальных сетевых ресурсов.
Практическая польза
Ложные объекты дезориентируют злоумышленников и фиксируют их активность внутри периметра. Это помогает выявить присутствие атакующих, восстановить маршруты проникновения и определить используемые техники, тактики и процедуры (TTP).
Поведенческая аналитика на базе ML
Суть технологии
Алгоритмы ML формируют эталонные модели поведения для каждого хоста и учетной записи в инфраструктуре, основываясь на реальной активности.
Практическая польза
Выявление аномалий и отклонений от нормы сетевого трафика
Централизованный интерфейс расследований
Суть технологии
Объединение всей телеметрии — сетевого трафика, действий пользователей и зарегистрированных инцидентов со всех филиалов и площадок — в едином рабочем пространстве аналитика.
Практическая польза
Кратное ускорение разбора инцидентов за счет сквозного поиска по всей инфраструктуре, включая глубокий анализ полезной нагрузки и образцов вредоносного кода без переключения между системами.
олная запись и хранение сетевого трафика
Суть технологии
Непрерывная фиксация всего сетевого трафика с гибкой настройкой глубины и сроков хранения. Данные индексируются и доступны для ретроспективного анализа в любой момент.
Практическая польза
Возможность вернуться к событиям прошлых дней, недель или месяцев и расследовать инциденты, обнаруженные с задержкой. Критично при выявлении долгоживущих APT-кампаний и для формирования доказательной базы в ходе форензик-расследований.
Сквозной анализ всего сетевого трафика
Суть технологии
Глубокая инспекция пакетов (DPI) и разбор протоколов на всех уровнях — с покрытием трафика «север–юг» и «восток–запад» внутри инфраструктуры.
Практическая польза
Полная видимость сетевых взаимодействий без «слепых зон». Выявление скрытых C2-каналов, нелегитимных соединений между сегментами и аномальной активности внутри периметра.
Архитектура NDR в составе SOC


ITG Security - это
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений

Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений

Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Нам доверяют
Часто задаваемые вопросы
Что такое NDR и чем он отличается от других систем безопасности?
NDR (Network Detection and Response) — это класс решений для обнаружения угроз и реагирования на них на уровне сетевого трафика. В отличие от SIEM, который агрегирует логи, и EDR, работающего на конечных устройствах, NDR анализирует поведение сети в реальном времени с помощью машинного обучения, поведенческой аналитики и Threat Intelligence. Это позволяет выявлять атаки, которые остаются невидимыми для других средств защиты: APT, lateral movement, C2-коммуникации, утечки данных.
Чем NDR отличается от классических NTA-решений?
NTA (Network Traffic Analysis) ограничивается анализом и визуализацией трафика, а NDR дополнительно обеспечивает:
- автоматическое реагирование на инциденты,
- встроенные технологии Deception (ловушки и приманки),
- обогащённые TI-фиды с расширенным контекстом,
- ретроспективный анализ и поиск угроз (threat hunting),
- единое окно для расследований по всей инфраструктуре.
Нужен ли NDR, если в инфраструктуре уже есть SIEM, EDR и Firewall?
Да. Эти решения закрывают разные слои защиты и не заменяют друг друга:
- Firewall контролирует периметр,
- EDR защищает конечные устройства,
- SIEM собирает и коррелирует логи,
- NDR видит реальную картину сетевого взаимодействия и обнаруживает угрозы, которые обходят другие средства (бесфайловые атаки, инсайдеры, скомпрометированные неуправляемые устройства, IoT/OT).
NDR закрывает «слепые зоны» и усиливает работу SOC.
Как NDR работает с зашифрованным трафиком?
Решение анализирует метаданные зашифрованных соединений (JA3/JA3S-отпечатки, параметры TLS-сессий, поведенческие признаки, объёмы и частоту коммуникаций) без необходимости расшифровки. Это позволяет выявлять C2-каналы, DNS-туннели и аномалии даже в TLS-трафике, сохраняя конфиденциальность данных.
Какие угрозы обнаруживает NDR?
Решение выявляет широкий спектр угроз:
- целевые атаки (APT) и lateral movement,
- C2-коммуникации и DNS-туннелирование,
- ransomware на ранних стадиях,
- утечки данных (data exfiltration),
- инсайдерские угрозы и аномальное поведение пользователей,
- атаки на IoT, OT и неуправляемые устройства,
- эксплуатацию уязвимостей и zero-day.
Требуется ли установка агентов на конечные устройства?
Нет. NDR работает без агентов — анализ ведётся за счёт зеркалирования трафика (SPAN/TAP/mirror-порты). Это упрощает внедрение и не влияет на производительность хостов и серверов.
Сколько времени занимает внедрение?
Базовое развёртывание занимает от 2 недель в зависимости от масштаба инфраструктуры. Пилотный проект может быть запущен за несколько дней — в результате клиент получает отчёт о выявленных угрозах и аномалиях в собственной сети.
Подходит ли решение для распределённой инфраструктуры с филиалами?
Да. Архитектура поддерживает установку сенсоров на удалённых площадках с централизованным управлением. Все события, инциденты и данные о трафике доступны в едином интерфейсе, что особенно важно для географически распределённых компаний и холдингов.
Есть ли сертификация ФСТЭК и присутствие в реестре отечественного ПО?
Да? соответствует требованиям российского законодательства, включён в реестр отечественного ПО и подходит для применения в объектах КИИ, а также для выполнения требований 187-ФЗ, 152-ФЗ и приказов ФСТЭК.
С какими системами интегрируется решение?
Поддерживает интеграцию с:
- SIEM-системами (по syslog, CEF, API),
- SOAR-платформами для автоматизации реагирования,
- EDR-решениями,
- межсетевыми экранами и NGFW,
- Active Directory и IdM,
- внешними TI-фидами и платформами Threat Intelligence.
Как лицензируется продукт?
Лицензирование зависит от объёма анализируемого трафика, количества сенсоров и подключаемых площадок. Для точного расчёта стоимости специалисты подготовят индивидуальное коммерческое предложение под вашу инфраструктуру.

