Точка зрения / декабрь 2016

Сетевой детектив

Стандарт
21.12.2016

Технические сбои, кибератаки, различные уязвимости, утечки данных и случаи фрода, – только малая часть инцидентов, с которыми приходится сталкиваться службе информационной безопасности оператора связи. Менеджер по разработке ООО "МФИ Софт" Антон Шкарин рассказал о том, как автоматизированные системы класса сетевой форензики помогают расследовать подобные инциденты.

В большой сетевой инфраструктуре с множеством терминальных узлов и каналов связи далеко не всегда удается вовремя заметить и предотвратить инцидент. Часто о происшествии становится известно постфактум, когда никаких следов уже нет, и данные для расследования собрать невозможно.

Ситуация кардинально меняется, когда весь сетевой трафик организации записывается, и его в любой момент можно воспроизвести. В этом случае служба информационной безопасности (ИБ) в режиме онлайн получает сигнал о нарушениях и проводит детальное расследование, имея на руках полную базу сетевого трафика компании. Автоматизированные системы класса сетевой форензики или сетевой криминалистики становятся все более востребованными у крупных предприятий и начинают появляться на российском рынке - например, решение "Гарда Монитор", разработанное компанией "МФИ Софт".

Поимка с поличным

В отчете системы сетевой форензики сотрудник подразделения ИБ оператора связи обнаружил аномальную активность внутреннего сервера компании. Значительно увеличилось количество его соединений с внешними серверами, и изменилась структура трафика. В то время как сервер был предназначен для проверки обновлений приложений и других внутренних системных задач, с него в большом количестве начали поступать запросы к ресурсам развлекательного характера: новостям, соцсетям и видеохостингам.

Сотруднику службы ИБ удалось выяснить, кто администрирует этот сервер, и начать расследование. Оказалось, что специалист ИТ-службы, отвечающий за высокоскоростной внутренний канал, решил заработать "на стороне". По договоренности с близлежащим кафе он за небольшую сумму выдал Wi-Fi-доступ к внутреннему безлимитному каналу связи, используя оборудование с антенной направленного действия. При этом, чтобы зайти в Интернет, в кафе достаточно было ввести логин и пароль, одинаковый для любого посетителя. То есть каждый гость кафе мог свободно заходить в Интернет с любого устройства и совершать любые действия, включая противоправные и мошеннические, без риска быть пойманным с поличным. Согласно постановлению правительства РФ №758 от 31 июля 2014 года "О внесении изменений в ФЗ "Об информационных технологиях и защите информации и законодательным актам об упорядочении обмена информацией с использованием телекоммуникационных сетей" - точки доступа в сеть Wi-Fi без процедур идентификации пользователей признаны нелегальными, а на их владельцев налагается штраф. Более того, точку доступа без регистрации могли использовать для координации террористических действий, так как найти того, кто ей воспользовался и покинул кафе, практически невозможно. При расследовании такого инцидента со стороны правоохранительных органов - главным подозреваемым стал бы оператор связи, так как с его оборудования совершались противоправные действия.

Инструментарий системы сетевой форензики позволил оперативно выявить нецелевое использование ресурсов оператора, закрыть нелегальную точку доступа в Интернет и избежать финансовых и репутационных рисков.

Широкие полномочия

Чтобы расследовать подобные инциденты сетевой безопасности, нужно классифицировать все пакеты и потоки данных уровня L2-L7, определить промежуток времени возникновения подозрительных событий и проанализировать перехваченные объекты, попадающие в этот интервал. В практике криминалистов на такие расследования уходят месяцы ручной работы. Автоматизированная система класса сетевой форензики сокращает срок расследования до нескольких часов и даже минут.

Тотальная запись всех информационных потоков сети дает возможность производить их детальный анализ вне зависимости от масштаба компании и ее территориальной распределенности, обнаруживать сетевые аномалии и производить ревизию сетевых ресурсов, вести архив сетевых коммуникаций, анализировать и расследовать инциденты в ретроспективе.

Принцип работы системы построен на сборе и анализе больших данных. Запись всего трафика предприятия и метаданных, а также его классификация по протоколам и определение географического положения источника и получателя данных дают возможность находить информацию любого формата уже в момент передачи пакета. Аномальная активность отобразится в виде всплеска на графике, а с помощью статистических срезов многоуровневой отчетности за разные периоды времени можно выявить локализацию и источник инцидента. Кроме того, в "Гарде Монитор" предустановлено 14 шаблонов по сетевым аномалиям, которые помогут выявить даже неочевидные для большинства специалистов риски.

Ретроспективный анализ сетевых инцидентов - действенный способ закрыть пробелы в ИБ, с помощью которых злоумышленники обошли системы защиты. Воспроизведение всей ситуации в сети за любой нужный период помогает выявить инициатора инцидента, оценить ущерб и увидеть, как произошел взлом, заражение или инсайд.

Возможность выгрузки декодированных данных по всем актуальным протоколам в SIEM-систему (Security Information and Event Management) позволяет увидеть корреляцию сетевых инцидентов с другими нарушениями ИБ в компании.