Анализ сетевого трафика

Сбор и хранение данных для выявления сложных атак и расследования инцидентов с решением класса Network traffic analysis (NTA)

Обнаружение сложных атак продвинутых кибергруппировок

Обнаружение утечек данных и нарушения политик безопасности

Проверка гипотез Threat Hunting и скрытых угроз

Сбор и хранение сетевого трафика для анализа и расследования
Solar JSOC

Описание

Сервис анализа сетевого трафика обеспечивает тщательную проверку всех сетевых соединений, а также хранение информации для расследований и ретроспективного анализа. Благодаря анализу как периметрового, так и внутреннего трафика сервис позволяет выявлять сложные атаки злоумышленников высокого уровня квалификации — например, во время горизонтального перемещения. Для инцидентов, при которых конечная точка или сервер не могут быть в случае компрометации заблокированы или изолированы от сети, сервис предоставляет дополнительные возможности для реагирования.


Сервис эксплуатируется специалистами Solar JSOC — крупнейшего в России коммерческого центра мониторинга и реагирования на киберинциденты*. Глубокая экспертиза, собственная база знаний тактик, техник и процедур атакующих, а также методов реагирования на новейшие векторы атаки лежат в основе эффективности сервиса.

* Anti-Malware. Сравнение услуг коммерческих SOC (Security Operations Center). Часть 1. 2019 г.


Решаемые задачи

Расширение возможностей по выявлению сложных атак
Сбор и хранение всего сетевого трафика для расследования атак и восстановления их хронологии
Проверка гипотез Threat Hunting и выявление скрытых угроз
Обнаружение утечек данных и нарушения политик безопасности

Для кого

Сервис подходит организациям со зрелыми процессами в области информационной безопасности, которые подписаны на услуги Solar JSOC по мониторингу и реагированию на инциденты ИБ и стремятся:

  • устранить «слепые зоны» в защите и охватить комплексным мониторингом всю инфраструктуру
  • выявлять атаки профессиональных кибергруппировок высокого уровня
  • хранить детальную информацию о событиях ИБ для анализа угроз


Возможности сервиса

Сбор и хранение информации для расследования инцидентов

Злоумышленники подчищают логи и удаляют следы своего присутствия в инфраструктуре, затрудняя расследование кибератак. Сервис сохраняет копию всего сетевого трафика, в том числе данные, от которых злоумышленники впоследствии избавляются. Информация может храниться как на мощностях клиента, так и на выделенных мощностях компании ПАО «Ростелеком» и передаваться по защищенному каналу связи.

Выявление сетевых аномалий

NTA позволяет оперативно обнаруживать подозрительную активность внутри корпоративной сети, которую не детектируют SIEM-системы, антивирусы и системы защиты конечных точек. Лежащее в основе сервиса решение анализирует трафик, передаваемый по защищенным протоколам, в том числе нестандартным, и с высокой точностью выявляет в нем вредоносную активность.

Поиск скрытых каналов взаимодействия с управляющими серверами злоумышленников

Сервис обнаруживает DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, коммуникации с командным сервером и маскировки своей активности.

Адаптация к новым угрозам и методам атак

Применение глубокой экспертизы специалистов Solar JSOC и оперативной адаптации контента позволяет сервису быстро адаптироваться к меняющемуся ландшафту угроз и выявлять новейшие атаки злоумышленников самого высокого уровня квалификации.

Контроль соблюдения политики безопасности сотрудниками

Анализ сетевого трафика выявляет передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, TOR, утилит для удаленного доступа, прокси, мессенджеров — всего того, что, как правило, запрещено политиками ИБ в крупных компаниях. Также сервис помогает обнаружить ошибки в конфигурациях информационных систем.

Преимущества

Эффективное выявление атак

source_analysis.png

  • Оперативное выявление угроз, не детектируемых СЗИ уровня ОС
  • Определение модифицированного или бесфайлового вредоносного ПО
  • Выявление угроз в зашифрованном трафике

Помощь в анализе и расследовании

source_analysis.png

  • Возможность найти атаку в прошлом
  • Возможность понять контекст атаки
  • Значительное расширение возможностей Threat Hunting и ретроспективного анализа по индикаторам компрометации

Экономическая выгода и удобство

source_analysis.png

  • Снижение расходов на закупку лицензий и оборудования, управление платформой и ее настройку
  • Бесшовная интеграция с SIEM и другими СЗИ
  • Уведомление только о верифицированных с помощью комбинации ручных и автоматизированных методов обнаружения угрозах

Почему Solar JSOC

  • Применение опыта крупнейшего SOC в России в противодействии передовым киберугрозам
  • Разработка и регулярное пополнение базы сценариев выявления новых атак центром технического расследования инцидентов Solar JSOC CERT
  • Привлечение экспертов по реагированию для решения нетиповых инцидентов и оперативное предоставление рекомендаций по блокированию атаки
  • Круглосуточный мониторинг благодаря 5 филиалам в разных часовых поясах, где в любое время суток доступен бизнес-аналитик для решения сложных вопросов
  • Все необходимые лицензии и сертификаты (ФСТЭК России, PCI DSS, ФСБ России)


Схема работы

Захват сетевого трафика происходит на периметре и в инфраструктуре, что позволяет выявлять активность злоумышленника как при попытках проникновения в сеть, так и при развитии атаки внутри нее, например во время горизонтального перемещения (lateral movement). Обработка данных проходит в несколько этапов: проверка трафика по заданным правилам (свыше 5 тысяч), анализ и ручная верификация силами аналитиков Solar JSOC. Управление сервисом, обмен сообщениями по инцидентам, модернизация и обогащение контента, проведение расследований и предоставление рекомендаций по реагированию осуществляются экспертами Solar JSOC.


Варианты подключения

При выборе схемы подключения возможно как использование имеющегося оборудования и лицензий NTA клиента, так и полное или частичное предоставление необходимых опций или мощностей.

Актуальность

Корпоративная инфраструктура сегодня включает не только офисные компьютеры и серверы, но и личные устройства сотрудников, а рабочие данные хранятся как локально, так и у поставщиков услуг. Но чем сложнее и запутаннее инфраструктура, тем труднее защитить ее от проникновения извне и тем дольше атакующие могут оставаться в сети незамеченными. При этом после закрепления злоумышленника на пораженной рабочей станции выявлять дальнейшее распространение атаки по сети становится все более затратно.

Для комплексной инфраструктуры с размытым периметром недостаточно решений, защищающих рабочие места и шлюзы. Из киберинцидентов, выявленных Solar JSOC в 2019 году, почти половина оказалась «невидимой» для базовых средств защиты.


  • 19%
    рост числа инцидентов
    в 2019 году
    по сравнению с 2018 годом
    По данным Positive Technologies, 2020 г.

  • 45,4%
    инцидентов
    не выявляются
    с помощью базовых СЗИ
    По данным Solar JSOC,
    2019 г.

  • 207дней
    среднее время
    обнаружения инцидента

    По данным Ponemon Institute,
    2020 г.

  • 86%
    атакующих шифруют вредоносное ПО

    По данным Positive Technologies,
    2020 г.

Хочу, чтобы со мной
связались

Отправить

Другие сервисы кибербезопасности


Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах