Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сетевая форензика – расследование инцидентов в сети предприятия

Сетевая форензика – расследование инцидентов в сети предприятия

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Сетевая форензика – расследование инцидентов в сети предприятия

Самое утомительное в работе с инцидентами в сети крупной компании – не их поиск, а длительное и масштабное расследование для предотвращения последствий и повторения подобных ситуаций в будущем. Каждый, кто впервые сталкивается с подобной задачей, задумывается об автоматической фиксации всех сетевых процессов, чтобы, как при внешнем видеонаблюдении, иметь возможность целостно отсмотреть все события в сети, определить уязвимости, причины системного сбоя или мошеннические действия. Такой класс решений в сфере информационной безопасности уже существует и называется “сетевая форензика".
Антон Шкарин
Менеджер по разработке, “МФИ Софт"

Основы сетевой форензики

Сетевая форензика (от англ. Network Foresics) – термин, означающий "криминалистика", а именно комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компании.

Назначение сетевой форензики:

Сетевая форензика (от англ. Network Foresics) – термин, означающий "криминалистика", а именно комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компании.
  • детальное исследование сетевой инфраструктуры, работы различных программ, в том числе вирусной активности;
  • мониторинг сетевых инцидентов, оставляемых следов, инструментов совершения мошеннических действий;
  • сбор доказательств для ведения расследования в компьютерной криминалистике;
  • восстановление скрытой или уничтоженной информации;
  • отслеживание источников сетевых атак.

Автоматизированная система класса сетевой форензики обеспечивает прозрачность сетевой инфраструктуры с помощью тотального контроля трафика сети компании в режиме реального времени, выявляет аномалии и помогает в расследовании инцидентов.

Какие задачи решает сетевая форензика?

Применение сетевой форензики помогает крупным, в том числе территориально распределенным компаниям контролировать сетевую инфраструктуру вне зависимости от каналов связи на уровне протоколов.

Открытые порты доступа, уязвимости системы, технические сбои, утечки, хакерские атаки, вирусные заражения – вся информация от локализации проблемного участка сети до конкретного процесса записывается в реальном времени и может воспроизводиться заново при расследовании инцидентов.


По данным исследовательского центра МФИ Софт (рис. 1), решения класса сетевой форензики применяются:

  • 24% – в целях обеспечения информационной безопасности сети предприятия;
  • 33% – для мониторинга сетевых уязвимостей и целостности инфраструктуры;
  • 27% – для контроля установки, запуска и работы Web-приложений;
  • 16% – для непрерывного анализа транзакций в режиме 24/7.

Потребители систем мониторинга трафика компьютерных сетей

Сетевая форензика необходима крупным предприятиям для мониторинга сетевой активности, применяется специализированными центрами мониторинга и реагирования на инциденты, а также компьютерными криминалистами в расследовании сетевых аномалий.


В настоящий момент наиболее востребованы решения класса сетевой форензики в территориально распределенных компаниях, заинтересованных в своевременном выявлении внутрикорпоративных мошенничеств. Непрерывный мониторинг и запись всего трафика компании помогают криминалистам собрать исчерпывающую доказательную базу для предъявления в суде.

Интеллектуальное решение для расследования инцидентов в сети

На сегодняшний день существуют как зарубежные, так и российские аппаратно-программные комплексы для расследования сетевых инцидентов, контроля и анализа всех информационных потоков предприятия с возможностью записи всего трафика, его индексации и быстрого поиска данных и воспроизведения событий за любой период времени.

Практика применения сетевой форензики В интерфейсе системы сетевой форензики отобразился резкий всплеск почтового трафика с одного IP-адреса сервера (рис. 3). Оказалось, автоматизированная хакерская система подобрала пароль к серверу и разместила ПО для запуска рассылки спама. Результатом действий вредоносной программы стала большая перегрузка в сети организации, был блокирован доступ сотрудников в Интернет.
Оперативно были приняты меры по отключению сервера от сети, восстановлению сетевой инфраструктуры и возобновлению доступа в Интернет. С помощью ретроспективного анализа удалось отследить попытки подбора пароля с вычисленного IP из Новой Зеландии. IP был добавлен в черный список, об инциденте сообщили поставщику связи.

Решения подобного класса поддерживают все актуальные протоколы и их постоянное обновление, интегрируются с SIEM-системами, обладают высокопроизводительным хранилищем данных и скоростью обработки трафика 10 Гбит/с.


По данным исследовательского центра МФИ Софт, решения класса сетевой форензики применяются:
24% – в целях обеспечения информационной безопасности сети предприятия;
33% – для мониторинга сетевых уязвимостей и целостности инфраструктуры;
27% – для контроля установки, запуска и работы Web-приложений;
16% – для непрерывного анализа транзакций в режиме 24/7

Принцип действия систем сетевой форензики строится на сборе и анализе больших объемов неструктурированных данных. Благодаря чему можно выявлять инциденты в реальном времени, находить информацию любого формата в момент передачи пакета.

С помощью технологии сетевой форензики у ИT-специалистов и офицеров информационной безопасности появляется возможность наглядно рассмотреть всю сетевую инфраструктуру компании вне зависимости от ее размера, отобразить действия всех пользователей, обнаружить подозрительную аномальную активность в сети, включая кибератаки различной мощности, и при получении оповещения от системы оперативно на них реагировать.

Благодаря воспроизведению записи трафика и ретроспективному анализу детально расследовать сетевые инциденты, устранять уязвимости инфраструктуры можно еще до появления разрушительных и критических последствий, а также собрать исчерпывающую доказательную базу для защиты интересов компании от внутренних и внешних угроз.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"