Информация, особенно конфиденциального вида представляет повышенный интерес для злоумышленников. Для того чтобы избежать случайных утечек, предотвратить направленные атаки на информационные ресурсы прибегают к анализу сетевого трафика. Для этих целей все чаще используют решения класса Network Traffic Analysis (NTA).

Какие решения используют для анализа трафика сети?

До недавнего времени для оценки уровня безопасности информационных систем, превентивного выявления угроз преимущественно использовали SIEM, EDR-системы. Первые собирали огромные журналы событий из всевозможных источников для анализа, вторые отвечали за защиту важных конечных точек информационной инфраструктуры. Такой подход был далеко не идеален и оставлял массу «слепых зон», которые могли использовать злоумышленники. Решить эту проблему возможно путем использования программы для анализа трафика сети или NTA-инструментов. Программы не всегда способны закрыть всю инфраструктуру организации и бывают наделены ограниченным функционалом, поэтому их использование скорее оправдано для небольших информационных систем, где требуется периодический мониторинг. Средства класса NTA отличаются рядом сильных сторон и преимуществ:

  1. Анализ сетевого трафика осуществляется не только в периметре сети, но и по всей инфраструктуре. В связи с этим обеспечивается двойной уровень защиты одновременно. Даже если злоумышленники проникли внутрь их можно будет обнаружить.

  2. Комплексный подход к выявлению угроз и вторжений. Используются машинное обучение, анализ поведения пользователей, ретроспективный анализ, идентификаторы компрометации. Это способствует обнаружению попыток проникновения в инфраструктуру на ранних стадиях.

  3. Подходят при проведении расследований и обнаружении проактивных угроз. За счет того, что NTA-инструменты собирают и накапливают информацию о сетевых контактах, «сыром» трафике, открываются дополнительные возможности и удобства для проведения детального расследования инцидента и обнаружения места начала атаки, ее локализации и распространении.

Контроль и анализ сетевого трафика компании дает повышенную безопасность и хорошо дополняет тандем SIEM, EDR-инструментов. Синергия различных решений помогает подойти к обеспечению информационной безопасности полно и разносторонне, закрыть всю инфраструктуру компании, что значительно снижает шансы злоумышленников на успех.

система анализа сетевого трафика

Как используется система анализа сетевого трафика на практике?

Помимо прямого выявления атак и угроз на информационную инфраструктуру организации анализ сетевого трафика полезен для:

  • Раскручивания цепочки атаки. Это необходимо для того, чтобы понять хронологию событий, обнаружить входную точку атаки, локализовать ее распространение, провести компенсационные меры. В качестве отправных точек для изучения атаки используют подозрительную сетевую активность, попытки подключения пользователей минуя авторизацию, изучение последних параметров сессии. Практически любая атака имеет предпосылки и закономерные действия, по которым возможно установить источник, уровень угрозы.

  • Проверка сети на компрометацию. Помогает проводить превентивные меры, направленные на обнаружение потенциальных злоумышленников в рабочей сети. Например, за счет проверки сетевой активности доменной инфраструктуры можно выявить аномальные действия – запросы по протоколу LDAP. Это указывает на угрозу и становится объектом проведения расследования.

  • Контроль за исполнением регламентов информационной безопасности. Анализ трафика сети достоверно и точно указывает на конкретные ошибки в конфигурации систем, случаях нарушения внутреннего регламента безопасности пользователями. Типичными примерами здесь являются передача паролей в открытом виде, неправильно настроенная конфигурация рабочей сети, использование нерегламентированного ПО для удаленного доступа, присутствие утилит, скрывающих сетевую активность. Чем больше нарушений регламента информационной безопасности наблюдается, тем проще злоумышленникам использовать ситуацию в свою пользу.

Анализ сетевого трафика стал неотъемлемой частью информационной безопасности компаний. Использование автоматизированных инструментов позволяет своевременно находить угрозы и ликвидировать их. Как правило, подобный функционал реализован в продуктах, фильтрующих трафик на границе сети. Это могут быть системы классов NGFW или SWG, включающие в себя современный межсетевой экран. В качестве одного их инструментов для контроля доступа и расследования атак можно использовать Solar webProxy. Это шлюз безопасности, который управляет аутентификацией и авторизацией пользователей, защищает от вредоносного ПО, фишинга и формирует досье действий пользователей во внутренней и внешней сети.