Анализ сетевого трафика
Обнаружение сложных атак продвинутых кибергруппировок
Обнаружение утечек данных и нарушения политик безопасности
Проверка гипотез Threat Hunting и скрытых угроз
Сбор и хранение сетевого трафика для анализа и расследования

Описание
Сервис анализа сетевого трафика обеспечивает тщательную проверку всех сетевых соединений, а также хранение информации для расследований и ретроспективного анализа. Благодаря анализу как периметрового, так и внутреннего трафика сервис позволяет выявлять сложные атаки злоумышленников высокого уровня квалификации — например, во время горизонтального перемещения. Для инцидентов, при которых конечная точка или сервер не могут быть в случае компрометации заблокированы или изолированы от сети, сервис предоставляет дополнительные возможности для реагирования.
Сервис эксплуатируется специалистами Solar JSOC — крупнейшего в России коммерческого центра противодействия кибератакам*. Глубокая экспертиза, собственная база знаний тактик, техник и процедур атакующих, а также методов реагирования на новейшие векторы атаки лежат в основе эффективности сервиса.
Решаемые задачи
Для кого
Сервис подходит организациям со зрелыми процессами в области информационной безопасности, которые подписаны на услуги Solar JSOC по мониторингу и реагированию на инциденты ИБ и стремятся:
- устранить «слепые зоны» в защите и охватить комплексным мониторингом всю инфраструктуру
- выявлять атаки профессиональных кибергруппировок высокого уровня
- хранить детальную информацию о событиях ИБ для анализа угроз
Возможности сервиса
Сбор и хранение информации для расследования инцидентов
Злоумышленники подчищают логи и удаляют следы своего присутствия в инфраструктуре, затрудняя расследование кибератак. Сервис сохраняет копию всего сетевого трафика, в том числе данные, от которых злоумышленники впоследствии избавляются. Информация может храниться как на мощностях клиента, так и на выделенных мощностях компании ПАО «Ростелеком» и передаваться по защищенному каналу связи.
Выявление сетевых аномалий
NTA позволяет оперативно обнаруживать подозрительную активность внутри корпоративной сети, которую не детектируют SIEM-системы, антивирусы и системы защиты конечных точек. Лежащее в основе сервиса решение анализирует трафик, передаваемый по защищенным протоколам, в том числе нестандартным, и с высокой точностью выявляет в нем вредоносную активность.
Поиск скрытых каналов взаимодействия с управляющими серверами злоумышленников
Сервис обнаруживает DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, коммуникации с командным сервером и маскировки своей активности.
Адаптация к новым угрозам и методам атак
Применение глубокой экспертизы специалистов Solar JSOC и оперативной адаптации контента позволяет сервису быстро адаптироваться к меняющемуся ландшафту угроз и выявлять новейшие атаки злоумышленников самого высокого уровня квалификации.
Контроль соблюдения политики безопасности сотрудниками
Анализ сетевого трафика выявляет передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, TOR, утилит для удаленного доступа, прокси, мессенджеров — всего того, что, как правило, запрещено политиками ИБ в крупных компаниях. Также сервис помогает обнаружить ошибки в конфигурациях информационных систем.
Преимущества
Эффективное выявление атак
- Оперативное выявление угроз, не детектируемых СЗИ уровня ОС
- Определение модифицированного или бесфайлового вредоносного ПО
- Выявление угроз в зашифрованном трафике
Помощь в анализе и расследовании
- Возможность найти атаку в прошлом
- Возможность понять контекст атаки
- Значительное расширение возможностей Threat Hunting и ретроспективного анализа по индикаторам компрометации
Экономическая выгода и удобство
- Снижение расходов на закупку лицензий и оборудования, управление платформой и ее настройку
- Бесшовная интеграция с SIEM и другими СЗИ
- Уведомление только о верифицированных с помощью комбинации ручных и автоматизированных методов обнаружения угрозах
Почему Solar JSOC
- Применение опыта крупнейшего SOC в России в противодействии передовым киберугрозам
- Разработка и регулярное пополнение базы сценариев выявления новых атак центром технического расследования инцидентов Solar JSOC CERT
- Привлечение экспертов по реагированию для решения нетиповых инцидентов и оперативное предоставление рекомендаций по блокированию атаки
- Круглосуточный мониторинг благодаря 6 филиалам в разных часовых поясах, где в любое время суток доступен бизнес-аналитик для решения сложных вопросов
- Все необходимые лицензии и сертификаты (ФСТЭК России, PCI DSS, ФСБ России)
Схема работы
Захват сетевого трафика происходит на периметре и в инфраструктуре, что позволяет выявлять активность злоумышленника как при попытках проникновения в сеть, так и при развитии атаки внутри нее, например во время горизонтального перемещения (lateral movement). Обработка данных проходит в несколько этапов: проверка трафика по заданным правилам (свыше 5 тысяч), анализ и ручная верификация силами аналитиков Solar JSOC. Управление сервисом, обмен сообщениями по инцидентам, модернизация и обогащение контента, проведение расследований и предоставление рекомендаций по реагированию осуществляются экспертами Solar JSOC.
Варианты подключения
При выборе схемы подключения возможно как использование имеющегося оборудования и лицензий NTA клиента, так и полное или частичное предоставление необходимых опций или мощностей.

Актуальность
Корпоративная инфраструктура сегодня включает не только офисные компьютеры и серверы, но и личные устройства сотрудников, а рабочие данные хранятся как локально, так и у поставщиков услуг. Но чем сложнее и запутаннее инфраструктура, тем труднее защитить ее от проникновения извне и тем дольше атакующие могут оставаться в сети незамеченными. При этом после закрепления злоумышленника на пораженной рабочей станции выявлять дальнейшее распространение атаки по сети становится все более затратно.
Для комплексной инфраструктуры с размытым периметром недостаточно решений, защищающих рабочие места и шлюзы. Из киберинцидентов, выявленных Solar JSOC в 2020 году, почти половина оказалась «невидимой» для базовых средств защиты.
-
51%рост числа инцидентов
в 2020 году
по сравнению с 2019 годомПо данным Positive Technologies, 2021 г.
-
49,2%инцидентов
не выявляются
с помощью базовых СЗИПо данным Solar JSOC,
2021 г.
-
207днейсреднее время
обнаружения инцидента
По данным Ponemon Institute,
2020 г.
-
86%атакующих шифруют вредоносное ПО
По данным Positive Technologies,
2020 г.
Клиенты:
Другие сервисы кибербезопасности
- Защита от сетевых угроз (UTM)
- Защита веб-приложений (WAF)
- Защита электронной почты (SEG)
- Защита от DDoS-атак (Anti-DDoS)
- Сервис защиты от продвинутых угроз (Sandbox)
- Шифрование каналов связи (ГОСТ VPN)
- Управление навыками кибербезопасности (SA)
- Сервис контроля уязвимостей (VM)
- Регистрация и анализ событий ИБ (ERA)
Первыми получайте новости о наших продуктах на свой e-mail.