Чем заменить Darktrace и Cisco Firepower: отечественные NDR

Что закрывали Darktrace и Cisco Firepower и что отвалилось

Эти два продукта решали разные задачи, поэтому и замена у них разная.

**Darktrace** — это NDR (Network Detection and Response) с упором на поведенческий анализ: система строила «нормальную» модель трафика и сети и подсвечивала отклонения — нетипичные соединения, латеральное перемещение, признаки компрометации без заранее известной сигнатуры. После ухода вендора прекратились обновления ML-логики и поддержка, а self-learning-контур, завязанный на вендорскую инфраструктуру, потерял сопровождение.

**Cisco Firepower (NGIPS)** — это сигнатурный IPS/NGIPS на периметре: предотвращение вторжений по базе сигнатур (Snort/Talos), контроль приложений, репутационные фиды. Здесь отвалилось самое чувствительное — регулярные обновления сигнатур и репутационных баз: без свежих сигнатур IPS быстро слепнет к новым угрозам, а техподдержка и RMA недоступны.

Практический итог: продлевать подписки и тянуть «серые» обновления нельзя, а для значимых объектов КИИ и подключённых к ГосСОПКА систем средства обнаружения вторжений к тому же должны быть сертифицированы ФСТЭК. Поэтому вопрос не «мигрировать ли», а «на какой класс и как».

На какой класс мигрировать: западное решение → отечественный класс

Ниже — ориентир по соответствию функций, а не рейтинг. Места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/ids-ips-ndr-nta). Цель таблицы — показать, какой класс отечественных продуктов закрывает каждую исходную задачу и какие вендоры обычно рассматривают как кандидатов.

Что проверять при замене на практике

Заменить Darktrace и Firepower одним продуктом получается не всегда: поведенческая детекция и сигнатурный IPS — разные движки, и зрелость у отечественных решений по этим направлениям тоже разная. Разница — в деталях, которые определяют успех миграции:

- **Разбор протоколов.** Глубина DPI и парсинга L7-протоколов (в том числе прикладных и промышленных) определяет, что система вообще «видит» в трафике. - **ML и поведенческий анализ.** Аналог self-learning Darktrace — это качество выявления аномалий и латерального движения без заранее известной сигнатуры; проверяется на пилоте. - **Ретроспектива.** Глубина хранения метаданных/трафика и возможность переиграть прошлые события под новый индикатор компрометации — ключ к расследованиям. - **Интеграция в SOC.** Экспорт в SIEM, фиды threat intelligence, реагирование и связка с ГосСОПКА — без этого NDR превращается в изолированный «детектор». - **Производительность на вашей полосе.** Детекция под включёнными сигнатурами и поведенческим анализом на вашей реальной скорости канала — это не паспортная цифра. - **Сертификат СОВ ФСТЭК.** Для КИИ и ГосСОПКА наличие в реестре и сертификат как СОВ (класс, тип) — входной барьер, а не приятное дополнение.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IDS, IPS, NDR и NTA](/rating/ids-ips-ndr-nta): здесь — функции и критерии замены, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с функциями под замену — переходите к сравнению поставщиков: **[рейтинг IDS, IPS, NDR и NTA →](/rating/ids-ips-ndr-nta)**. Полезно прочитать рядом: [рейтинг российских NDR и NTA 2026](/research/reyting-rossiyskih-ndr-nta-2026), [чем отличаются IDS, IPS, NDR и NTA](/research/ids-ips-ndr-nta-otlichiya) и [требования ФСТЭК к СОВ для КИИ и ГосСОПКА](/research/sov-dlya-kii-gossopka-trebovaniya).