С каждого устройства, подключенного к сети, регулярно происходит множество действий: посещение веб-ресурсов, использование приложений, обмен пакетами данных и сообщениями. Все это объединяется одним понятием — сетевая активность пользователей. Очень важно контролировать ее, чтобы вовремя выявлять проблемы сети и попытки атак на информационную инфраструктуру организации. Разберемся, какая активность считается подозрительной, как оперативно ее распознать и предотвратить последствия. 

Что такое сетевая активность 

Сетевая активность — процессы передачи данных между устройствами компьютерной сети, коммуникация пользователей и другие действия, подразумевающие использование интернета. 

Примеры:

  • Загрузка и скачивание различных файлов.
  • Просмотр видеоконтента.
  • Обмен сообщениями через социальные сети, мессенджеры, электронную почту.
  • Использование веб-сервисов и приложений. 
  • Аутентификация и авторизация на различных ресурсах. 

Сетевая активность далеко не всегда безобидна, поскольку в некоторых случаях инициирована злоумышленниками. Какие процессы можно отнести к подозрительным:

  • Множественные неуспешные попытки аутентификации.
  • Сокрытие трафика.
  • Попытки подключиться к внешним сетям или удаленно запустить приложения.
  • Передача данных в непривычно больших объемах.
  • Копирование данных без соответствующего запроса.
  • Сканирование внутренних сетей и т.д.

Подобные процессы происходят, если злоумышленники завладели учетными записями или внедрили на пользовательские устройства вредоносное программное обеспечение, в частности, шпионское или рекламное ПО, трояны, шифровальщики и т.д. 

Свойства сетевой активности, которые помогут распознать подозрительные действия

Активность различается по целям, типам, характеру. Рассмотрим основные свойства, проанализировав которые, можно сделать вывод о потенциальных проблемах безопасности:

  • Интенсивность — свойство, отражающее количество событий, происходящих за определенный период времени. Аномально высокая интенсивность может свидетельствовать о наличии вредоносного ПО, слишком низкая — о проблемах сети. 
  • Продолжительность отражает временной период, в течение которого происходят события в сети. Это свойство помогает распознать длительные атаки. Их главный признак — непрерывная активность. 
  • Тип активности помогает определить, какие конкретно действия происходят в сети. В процессе анализа этого свойства можно предположить, являются ли выявленные манипуляции подозрительными. 
  • Направление активности демонстрирует, на что ориентированы события и действия. Например, активность может быть направлена к сети или из нее. Изучение данной характеристики позволяет понять, какие устройства взаимодействуют, и где в этой цепочке скрыты уязвимости.

Также в процессе мониторинга активности выявляют ее источник — пользователя, который инициировал действия и используемое устройство. Если владеть этой информацией, в случае инцидента будет намного проще проводить расследование. 

подозрительная сетевая активность

Какая сетевая активность пользователей возможна с рабочих компьютеров

Сотрудники компаний регулярно выходят в интернет и используют различные веб-ресурсы для выполнения текущих задач. Однако нередки случаи, когда работники эксплуатируют служебные устройства для посещения социальных сетей, различных форумов, интернет-магазинов и других «посторонних» сайтов. Подобные действия сильно повышают риски угроз информационной безопасности компании. 

Например, можно попасть на фишинговый ресурс, перейдя по ссылке из электронного письма или мессенджера. Или случайно скомпрометировать служебные учетные записи и другие критически важные данные. Это практически неминуемо приведет к утечке. 

Как предотвратить вредоносную сетевую активность

Что предпринять, чтобы защитить данные:

  • Установить антивирусное программное обеспечение.
  • Усложнить пароли для учетных записей.
  • Отказаться от использования общедоступных Wi-Fi для отправки конфиденциальных сведений.
  • Не открывать сомнительные ссылки и файлы из электронных писем. 
  • Предусмотреть разграничение доступа к сайтам
  • Внедрить инструменты для контроля доступа к веб-ресурсам, например, Solar webProxy

Обязательные меры — мониторинг и анализ сетевой активности. Они помогают понять, какие ресурсы используются, кто и какие данные передает, как именно это происходит. Чем быстрее будут обнаружены подозрительные действия, тем больше шансов предотвратить несанкционированный доступ и кражу конфиденциальной информации. 

Как защитить данные с помощью Solar webProxy

Для контроля передаваемых данных и используемых каналов взаимодействия целесообразно применять специализированное ПО с механизмами фильтрации трафика и контроля доступа к веб-ресурсам. Наш продукт Solar webProxy — комплексное решение, в котором реализованы важные для безопасности модули. Например:

  • Межсетевой экран с NAT, позволяющий блокировать передачу нежелательных данных, управлять трафиком и скрывать IP-адреса объектов корпоративных сетей.
  • Встроенный антивирус, в реальном времени сканирующий трафик и выявляющий вредоносное ПО. Также он способен автоматически анализировать файлы и оценивать безопасность сайтов. 
  • Категоризатор, запрещающий доступ к зараженным, подозрительным и запрещенным законом сайтам.

Решение помогает закрыть сразу две задачи — защитить компанию от различных кибератак и организовать контроль доступа к интернет-ресурсам, тем самым снизив риски намеренной или случайной утечки конфиденциальных данных. 

Заключение

Сетевая активность может быть как легитимной, так и подозрительной. Последнюю очень важно выявить, поскольку она часто является признаком готовящейся или уже инициированной атаки. Также в целях профилактики инцидентов ИБ следует предусмотреть контроль доступа сотрудников к различным веб-ресурсам. В этом поможет многофункциональный инструмент Solar webProxy с категоризатором, позволяющим ограничивать использование сомнительных и запрещенных сайтов.