Дата публикации: 15.06.2026
Новости
Запускаем AI-аналитику на портале техподдержки
Журнал IPS за сутки – это тысячи строк, из которых вручную почти невозможно вытащить то, что действительно требует реакции. Мы автоматизировали этот разбор: на портале технической поддержки запускаются два AI-сервиса – AI-аудит правил межсетевого экрана и AI-анализ журналов IPS и DNS Security. Рассказываем, как они устроены, что показали на реальных конфигурациях и почему своевременный разбор событий безопасности перестал быть «когда-нибудь дойдут руки».
Контекст: почему ручной разбор журналов больше не работает
Современный NGFW генерирует объём событий, который физически не поддаётся ручному анализу. На одном из узлов под управлением Ideco NGFW система предотвращения вторжений (IPS) за сутки зафиксировала более 20 тысяч срабатываний сигнатур – а в полном журнале накопилось почти 1,3 миллиона событий. Большая часть из них – легитимный «шум»: CDN, телеметрия, WebRTC/STUN, обращения к облачным сервисам.
Проблема в том, что среди этого шума прячутся единичные события высокой критичности. И именно они требуют реакции в течение часов, а не недель.
Типичная картина выглядит так: значительная часть сигнатур работает в режиме «только обнаружение» (IDS), чтобы не блокировать легитимный трафик ложными срабатываниями. Это разумный режим – но он оправдан только при регулярном разборе журнала. Если журнал никто не читает, режим обнаружения превращается в чёрный ящик: атака зафиксирована, помечена, и пропущена дальше без всякой реакции.
Это и есть «слепая зона»: события собираются, но не превращаются в действия. Закрыть её ручным трудом нельзя – человек не успевает обрабатывать такой поток. Поэтому мы передали первичный разбор AI-агенту.
Проблема в том, что среди этого шума прячутся единичные события высокой критичности. И именно они требуют реакции в течение часов, а не недель.
Типичная картина выглядит так: значительная часть сигнатур работает в режиме «только обнаружение» (IDS), чтобы не блокировать легитимный трафик ложными срабатываниями. Это разумный режим – но он оправдан только при регулярном разборе журнала. Если журнал никто не читает, режим обнаружения превращается в чёрный ящик: атака зафиксирована, помечена, и пропущена дальше без всякой реакции.
Это и есть «слепая зона»: события собираются, но не превращаются в действия. Закрыть её ручным трудом нельзя – человек не успевает обрабатывать такой поток. Поэтому мы передали первичный разбор AI-агенту.
Что мы запускаем
На портале технической поддержки support.ideco.ru становятся доступны два сервиса. Оба работают строго в режиме «только чтение»: агент подключается к NGFW по REST API, выполняет исключительно GET-запросы и не меняет ни одной строки конфигурации. Он анализирует и выдаёт рекомендации – решение всегда остаётся за администратором.
Насколько нам известно, среди российских вендоров сетевой безопасности это первый случай, когда подобная AI-аналитика событий и конфигурации предоставляется как сервис прямо с портала поддержки. Для нас это логичное продолжение основной ценности Ideco – безопасности, которая не успевает устареть: мы переносим экспертизу аналитика ИБ в агента, который доступен по заявке и работает с вашей конфигурацией здесь и сейчас.
Сервис | Что анализирует | Что на выходе |
AI-анализ журналов IPS и DNS Security | Журнал срабатываний IPS, заблокированные DNS-угрозы | Приоритизированный отчёт с инцидентами по критичности |
AI-аудит правил межсетевого экрана | Цепочки FORWARD / INPUT / DNAT / SNAT / LOG, журнал fail2ban | Чек-лист находок с идентификаторами правил и рекомендациями |
Насколько нам известно, среди российских вендоров сетевой безопасности это первый случай, когда подобная AI-аналитика событий и конфигурации предоставляется как сервис прямо с портала поддержки. Для нас это логичное продолжение основной ценности Ideco – безопасности, которая не успевает устареть: мы переносим экспертизу аналитика ИБ в агента, который доступен по заявке и работает с вашей конфигурацией здесь и сейчас.
Сервис 1. AI-анализ журналов IPS и DNS Security
Как это работает
Агент подключается к Ideco NGFW по REST API в режиме только чтения, выгружает журнал срабатываний IPS и заблокированные DNS-угрозы, после чего формирует приоритизированный отчёт с конкретными рекомендациями.
Ключевая идея – не «показать все события», а отделить критичное от шума и привязать каждое событие к контексту.
Что получает администратор
- Приоритизацию инцидентов. События ранжируются по критичности: CRITICAL / HIGH / MEDIUM / LOW / INFO. В отчёте сразу видно, с чего начинать.
- Отсев ложных срабатываний. В том числе подавление ложного DNS-туннелирования по легитимным CDN и облакам (cloudflare.net, azurefd.net и другим).
- Выявление «слепых зон». Агент замечает не только атаки, но и остановку IPS, сбой синхронизации событий – то есть проблемы самого мониторинга.
- Привязку к пользователю. Каждый локальный IP (RFC1918) сопровождается именем хоста по данным авторизации NGFW; форвардеры и контроллеры домена помечаются отдельно.
- Контекст по источникам. Топ сигнатур IPS, география стран-источников, опционально – проверка репутации внешних IP и доменов через VirusTotal.
Чтобы это не звучало абстрактно, приведём результаты одного из тестовых прогонов. Все идентификаторы хостов и пользователей убраны.
За сутки агент разобрал 20 350 срабатываний IPS и выдал 29 рекомендаций: 1 критическую, 11 высокой критичности и 17 средней. Ключевой вывод прогона – около 71% сработавших событий проходили без блокировки, в режиме обнаружения. И среди них нашлось то, что нельзя было оставлять без проверки:
- Исходящие соединения к возможному C&C-серверу (severity 1, CRITICAL). Критическая сигнатура сработала на трёх разных рабочих станциях – и все срабатывания были пропущены. Назначения вели на адреса Cloudflare и Akamai/Apple CDN, что часто оказывается ложным срабатыванием. Но C&C-каналы всё чаще маскируются именно под CDN и domain-fronting, поэтому агент пометил событие как требующее немедленной проверки хостов: активные процессы, исходящие соединения, автозагрузка, наличие неизвестных агентов удалённого доступа.
- Признаки ICMP-туннелирования (HIGH). Нестандартный payload в ICMP-пакетах и аномально высокая частота – классические индикаторы скрытого канала для C2 или эксфильтрации данных в обход межсетевого экрана. Все срабатывания были пропущены.
- Устаревшие экспортные шифры – FREAK / CVE-2015-0204 (HIGH). Внутренние хосты предлагали слабые экспортные RSA-cipher suites в ClientHello – то есть использовали устаревшую TLS-библиотеку. Источником оказалось legacy-устройство с включённым «TLS compatible mode». Агент рекомендовал отключить слабые шифры и перевести группу сигнатур в режим блокировки как политику запрета слабой криптографии на периметре.
- Уязвимый OpenSSH (CVE-2024-6409). В топе сигнатур обнаружился SSH-сервер с уязвимой версией – race condition в обработчике сигналов с потенциальным RCE. Рекомендация: идентифицировать сервер и обновить OpenSSH.
- Активное использование AnyDesk. Одна сигнатура – AnyDesk Relay в TLS SNI – дала почти 12 тысяч срабатываний, 78% всего объёма. Это инструмент двойного назначения: легитимный для ИТ-поддержки, но популярный у атакующих как канал C2 и persistence. Агент не блокирует его автоматически, а выносит вопрос на уровень политики: разрешить только одобренный список устройств или заблокировать домены сервиса.
Главное, что видно из этого кейса
Часть критичных событий буквально лежала в журнале и ждала, пока её заметят. Без своевременного разбора компрометация трёх рабочих станций могла оставаться незамеченной сутками.
Часть критичных событий буквально лежала в журнале и ждала, пока её заметят. Без своевременного разбора компрометация трёх рабочих станций могла оставаться незамеченной сутками.
Сервис 2. AI-аудит правил межсетевого экрана
Как это работает
Второй агент подключается к NGFW по REST API, определяет версию, читает секции правил (FORWARD / INPUT / DNAT / SNAT / LOG), разрешает alias-объекты в человекочитаемый вид и проверяет конфигурацию на типовые ошибки. Дополнительно он разбирает журнал fail2ban за сутки.
Типовые проверки
- Наличие явного завершающего правила default deny в цепочках FORWARD и INPUT.
- Разрешающие правила ANY→ANY без инспекции IPS/DPI.
- Пропуски в логировании разрешающих правил.
- Теневые (перекрытые) и дублирующие правила.
- Детальный разбор публикуемых через DNAT портов.
- Разбор fail2ban: какие службы перебирали по паролю и какие IP или подсети стоит заблокировать постоянно.
Почему правильная настройка правил – это не гигиена, а защита
Здесь стоит остановиться подробнее, потому что неправильно настроенный межсетевой экран опаснее, чем кажется. NIST SP 800-41 и практики CMMC/NIST 800-171 (3.13.6) предписывают модель «deny by default»: разрешать только явно обоснованный трафик, а ключевое слово ANY использовать исключительно в запрещающих правилах. Широкие accept-правила сводят на нет принцип минимальных привилегий, расширяют поверхность атаки и маскируют намеренные решения, спрятанные ниже по списку.
Что показал реальный аудит (обезличенно)
На одном из тестовых шлюзов агент не нашёл критических уязвимостей конфигурации, но зафиксировал 12 находок высокого риска. Картина типичная для накопленного «технического долга» политики:
- 15 правил ANY→ANY accept без ограничений и без инспекции IPS/DPI в цепочке FORWARD. Это неконтролируемый канал, открытый для бокового перемещения внутри сети.
- Threat-intel списки подключены, но не блокируют. Объекты «Чёрный список ФинЦЕРТ» и «Чёрный список IP-адресов» были заведены, но не использовались в правилах drop. Для финансовых организаций блокировка адресов из фидов ФинЦЕРТ обязательна (Банк России / ГосСОПКА) – требование де-факто не выполнялось.
- Нулевая наблюдаемость. Глобальное логирование было отключено (log_mode = nothing), у разрешающих правил журналирование выключено. Аудиторский след попросту отсутствовал.
- 10 «затенённых» правил (shadowed), перекрытых вышестоящими и никогда не срабатывающих. Они искажают реальную картину политики: администратор читает конфигурацию и делает неверный вывод о поведении МЭ.
- SSH опубликован в интернет. Правило DNAT пробрасывало порт 22 из ANY на внутренний хост – первоочередная цель для перебора.
Параллельный разбор fail2ban за те же сутки вскрыл активную кампанию: 1583 попытки подбора паролей с 43 IP-адресов против веб-панели, почтового шлюза и IMAP/POP3. При этом fail2ban выдал лишь временные баны, а постоянных блокировок на МЭ не было вовсе.
Самое показательное наблюдение прогона
Несколько самых активных источников (160, 134 и 125 попыток) не были забанены – они распределяли попытки во времени ниже порога fail2ban. Это классический признак «low-and-slow» подбора, который обходит пороговую защиту по одиночному IP.
Вывод агента: fail2ban нужно дополнять детектированием по ASN и подсети /24 и постоянными блок-листами.
Несколько самых активных источников (160, 134 и 125 попыток) не были забанены – они распределяли попытки во времени ниже порога fail2ban. Это классический признак «low-and-slow» подбора, который обходит пороговую защиту по одиночному IP.
Вывод агента: fail2ban нужно дополнять детектированием по ASN и подсети /24 и постоянными блок-листами.
Что в итоге получает клиент по результатам теста
Если свести оба сервиса воедино, по итогам прогона на вашей инфраструктуре вы получаете:
- Список инцидентов, требующих реакции в первые 24–48 часов – с привязкой к конкретным хостам и пользователям, а не абстрактные «события безопасности».
- Отделённый от реальных угроз шум – с обоснованием, почему то или иное срабатывание можно безопасно убрать в исключения и снизить «усталость от алертов».
- Чек-лист по конфигурации межсетевого экрана – какие правила сузить, где включить логирование, какие сигнатуры перевести из обнаружения в блокировку.
- Готовый блок-лист по результатам fail2ban – конкретные подсети /24 и IP-адреса для постоянной блокировки.
- Проверку соответствия требованиям регуляторов – блокировка фидов ФинЦЕРТ, наблюдаемость для ГосСОПКА, политика по слабой криптографии.
Важная оговорка о методологии: оценки ложных и истинных срабатываний агент делает по агрегированным метаданным событий, без анализа полного содержимого пакетов. Окончательное решение по каждому правилу и сигнатуре принимается после проверки на стороне затронутых хостов. Это осознанный подход: агент берёт на себя приоритизацию и черновой разбор, оставляя финальное суждение специалисту.
Почему это важно именно сейчас
Своевременность – не маркетинговое слово, а измеримая величина. В приведённых кейсах между «событие зафиксировано» и «событие пропущено без реакции» стояли только наличие или отсутствие регулярного разбора журнала. Критическая сигнатура на трёх станциях, ICMP-туннель, low-and-slow перебор паролей – всё это уже было в логах. Не хватало одного: чтобы кто-то их прочитал вовремя.
AI-агент закрывает именно этот разрыв. Он не заменяет специалиста по ИБ – он делает так, чтобы специалист видел приоритеты, а не тонул в миллионе строк журнала. Это и есть наш подход Инноватора: не догонять угрозы вручную, а менять сам способ работы с событиями безопасности.
AI-агент закрывает именно этот разрыв. Он не заменяет специалиста по ИБ – он делает так, чтобы специалист видел приоритеты, а не тонул в миллионе строк журнала. Это и есть наш подход Инноватора: не догонять угрозы вручную, а менять сам способ работы с событиями безопасности.
Как подключиться
Раздел приказа о средствах ППКА – про анализ сетевого трафика, служебных полей протоколов и уведомления о признаках атак. Это профильная зона NGFW, хотя статус сертифицированного средства ППКА в смысле ГосСОПКА закрепляется отдельной сертификацией ФСБ.
Оба сервиса запускаются в тестовом режиме и доступны для Ideco NGFW версии 22. Все операции – строго read-only, конфигурация не изменяется.
Оба сервиса запускаются в тестовом режиме и доступны для Ideco NGFW версии 22. Все операции – строго read-only, конфигурация не изменяется.
Если у вас на NGFW отключён модуль DNS Security – запросите вместе с заявкой демо-период: повторный анализ уже с включённым модулем даёт заметно более полную картину угроз на уровне DNS.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к пилотированию
Узнайте, как аналогичную задачу можно решить в вашей компании
Другие публикации по теме