Закрыть и перейти на сайт ComNews.RU
Закрыть и перейти на сайт ComNews.RU
Новости Редколонка Точка зрения

Вт, 26.09.2017

Полная версия сайта   

 Поиск
USD 57.57 EUR 68.56
26 сентября 2017 года, Вт

Сетевой детектив

21.12.2016

Технические сбои, кибератаки, различные уязвимости, утечки данных и случаи фрода, – только малая часть инцидентов, с которыми приходится сталкиваться службе информационной безопасности оператора связи. Менеджер по разработке ООО "МФИ Софт" Антон Шкарин рассказал о том, как автоматизированные системы класса сетевой форензики помогают расследовать подобные инциденты.

В большой сетевой инфраструктуре с множеством терминальных узлов и каналов связи далеко не всегда удается вовремя заметить и предотвратить инцидент. Часто о происшествии становится известно постфактум, когда никаких следов уже нет, и данные для расследования собрать невозможно.

Ситуация кардинально меняется, когда весь сетевой трафик организации записывается, и его в любой момент можно воспроизвести. В этом случае служба информационной безопасности (ИБ) в режиме онлайн получает сигнал о нарушениях и проводит детальное расследование, имея на руках полную базу сетевого трафика компании. Автоматизированные системы класса сетевой форензики или сетевой криминалистики становятся все более востребованными у крупных предприятий и начинают появляться на российском рынке - например, решение "Гарда Монитор", разработанное компанией "МФИ Софт".

Поимка с поличным

В отчете системы сетевой форензики сотрудник подразделения ИБ оператора связи обнаружил аномальную активность внутреннего сервера компании. Значительно увеличилось количество его соединений с внешними серверами, и изменилась структура трафика. В то время как сервер был предназначен для проверки обновлений приложений и других внутренних системных задач, с него в большом количестве начали поступать запросы к ресурсам развлекательного характера: новостям, соцсетям и видеохостингам.

Сотруднику службы ИБ удалось выяснить, кто администрирует этот сервер, и начать расследование. Оказалось, что специалист ИТ-службы, отвечающий за высокоскоростной внутренний канал, решил заработать "на стороне". По договоренности с близлежащим кафе он за небольшую сумму выдал Wi-Fi-доступ к внутреннему безлимитному каналу связи, используя оборудование с антенной направленного действия. При этом, чтобы зайти в Интернет, в кафе достаточно было ввести логин и пароль, одинаковый для любого посетителя. То есть каждый гость кафе мог свободно заходить в Интернет с любого устройства и совершать любые действия, включая противоправные и мошеннические, без риска быть пойманным с поличным. Согласно постановлению правительства РФ №758 от 31 июля 2014 года "О внесении изменений в ФЗ "Об информационных технологиях и защите информации и законодательным актам об упорядочении обмена информацией с использованием телекоммуникационных сетей" - точки доступа в сеть Wi-Fi без процедур идентификации пользователей признаны нелегальными, а на их владельцев налагается штраф. Более того, точку доступа без регистрации могли использовать для координации террористических действий, так как найти того, кто ей воспользовался и покинул кафе, практически невозможно. При расследовании такого инцидента со стороны правоохранительных органов - главным подозреваемым стал бы оператор связи, так как с его оборудования совершались противоправные действия.

Инструментарий системы сетевой форензики позволил оперативно выявить нецелевое использование ресурсов оператора, закрыть нелегальную точку доступа в Интернет и избежать финансовых и репутационных рисков.

Широкие полномочия

Чтобы расследовать подобные инциденты сетевой безопасности, нужно классифицировать все пакеты и потоки данных уровня L2-L7, определить промежуток времени возникновения подозрительных событий и проанализировать перехваченные объекты, попадающие в этот интервал. В практике криминалистов на такие расследования уходят месяцы ручной работы. Автоматизированная система класса сетевой форензики сокращает срок расследования до нескольких часов и даже минут.

Тотальная запись всех информационных потоков сети дает возможность производить их детальный анализ вне зависимости от масштаба компании и ее территориальной распределенности, обнаруживать сетевые аномалии и производить ревизию сетевых ресурсов, вести архив сетевых коммуникаций, анализировать и расследовать инциденты в ретроспективе.

Принцип работы системы построен на сборе и анализе больших данных. Запись всего трафика предприятия и метаданных, а также его классификация по протоколам и определение географического положения источника и получателя данных дают возможность находить информацию любого формата уже в момент передачи пакета. Аномальная активность отобразится в виде всплеска на графике, а с помощью статистических срезов многоуровневой отчетности за разные периоды времени можно выявить локализацию и источник инцидента. Кроме того, в "Гарде Монитор" предустановлено 14 шаблонов по сетевым аномалиям, которые помогут выявить даже неочевидные для большинства специалистов риски.

Ретроспективный анализ сетевых инцидентов - действенный способ закрыть пробелы в ИБ, с помощью которых злоумышленники обошли системы защиты. Воспроизведение всей ситуации в сети за любой нужный период помогает выявить инициатора инцидента, оценить ущерб и увидеть, как произошел взлом, заражение или инсайд.

Возможность выгрузки декодированных данных по всем актуальным протоколам в SIEM-систему (Security Information and Event Management) позволяет увидеть корреляцию сетевых инцидентов с другими нарушениями ИБ в компании.

Точка зрения

При использовании материалов ссылка на ComNews обязательна.

Свидетельство о регистрации СМИ от 8 декабря 2006 г.
Эл № ФC 77-26395

Новости

Рейтинг@Mail.ru Rambler's Top100