Сетевая форензика – расследование инцидентов в сети предприятия


Самое утомительное в работе с инцидентами в сети крупной компании – не их поиск, а длительное и масштабное расследование для предотвращения последствий и повторения подобных ситуаций в будущем. Каждый, кто впервые сталкивается с подобной задачей, задумывается об автоматической фиксации всех сетевых процессов, чтобы, как при внешнем видеонаблюдении, иметь возможность целостно отсмотреть все события в сети, определить уязвимости, причины системного сбоя или мошеннические действия. Такой класс решений в сфере информационной безопасности уже существует и называется “сетевая форензика".

Основы сетевой форензики

Сетевая форензика (от англ. Network Foresics) – термин, означающий "криминалистика", а именно комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компании.

Назначение сетевой форензики:

Сетевая форензика (от англ. Network Foresics) – термин, означающий "криминалистика", а именно комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компании.

детальное исследование сетевой инфраструктуры, работы различных программ, в том числе вирусной активности;
мониторинг сетевых инцидентов, оставляемых следов, инструментов совершения мошеннических действий;
сбор доказательств для ведения расследования в компьютерной криминалистике;
восстановление скрытой или уничтоженной информации;
отслеживание источников сетевых атак.

Автоматизированная система класса сетевой форензики обеспечивает прозрачность сетевой инфраструктуры с помощью тотального контроля трафика сети компании в режиме реального времени, выявляет аномалии и помогает в расследовании инцидентов.

Какие задачи решает сетевая форензика?

Применение сетевой форензики помогает крупным, в том числе территориально распределенным компаниям контролировать сетевую инфраструктуру вне зависимости от каналов связи на уровне протоколов.

Открытые порты доступа, уязвимости системы, технические сбои, утечки, хакерские атаки, вирусные заражения – вся информация от локализации проблемного участка сети до конкретного процесса записывается в реальном времени и может воспроизводиться заново при расследовании инцидентов.

По данным исследовательского центра МФИ Софт (рис. 1), решения класса сетевой форензики применяются:

24% – в целях обеспечения информационной безопасности сети предприятия;
33% – для мониторинга сетевых уязвимостей и целостности инфраструктуры;
27% – для контроля установки, запуска и работы Web-приложений;
16% – для непрерывного анализа транзакций в режиме 24/7.

Потребители систем мониторинга трафика компьютерных сетей

Сетевая форензика необходима крупным предприятиям для мониторинга сетевой активности, применяется специализированными центрами мониторинга и реагирования на инциденты, а также компьютерными криминалистами в расследовании сетевых аномалий.

В настоящий момент наиболее востребованы решения класса сетевой форензики в территориально распределенных компаниях, заинтересованных в своевременном выявлении внутрикорпоративных мошенничеств. Непрерывный мониторинг и запись всего трафика компании помогают криминалистам собрать исчерпывающую доказательную базу для предъявления в суде.

Интеллектуальное решение для расследования инцидентов в сети

На сегодняшний день существуют как зарубежные, так и российские аппаратно-программные комплексы для расследования сетевых инцидентов, контроля и анализа всех информационных потоков предприятия с возможностью записи всего трафика, его индексации и быстрого поиска данных и воспроизведения событий за любой период времени.

Практика применения сетевой форензики

В интерфейсе системы сетевой форензики отобразился резкий всплеск почтового трафика с одного IP-адреса сервера. Оказалось, автоматизированная хакерская система подобрала пароль к серверу и разместила ПО для запуска рассылки спама. Результатом действий вредоносной программы стала большая перегрузка в сети организации, был блокирован доступ сотрудников в Интернет.
Оперативно были приняты меры по отключению сервера от сети, восстановлению сетевой инфраструктуры и возобновлению доступа в Интернет. С помощью ретроспективного анализа удалось отследить попытки подбора пароля с вычисленного IP из Новой Зеландии. IP был добавлен в черный список, об инциденте сообщили поставщику связи
.

Решения подобного класса поддерживают все актуальные протоколы и их постоянное обновление, интегрируются с SIEM-системами, обладают высокопроизводительным хранилищем данных и скоростью обработки трафика 10 Гбит/с.

Принцип действия систем сетевой форензики строится на сборе и анализе больших объемов неструктурированных данных. Благодаря чему можно выявлять инциденты в реальном времени, находить информацию любого формата в момент передачи пакета.

С помощью технологии сетевой форензики у ИT-специалистов и офицеров информационной безопасности появляется возможность наглядно рассмотреть всю сетевую инфраструктуру компании вне зависимости от ее размера, отобразить действия всех пользователей, обнаружить подозрительную аномальную активность в сети, включая кибератаки различной мощности, и при получении оповещения от системы оперативно на них реагировать.

Благодаря воспроизведению записи трафика и ретроспективному анализу детально расследовать сетевые инциденты, устранять уязвимости инфраструктуры можно еще до появления разрушительных и критических последствий, а также собрать исчерпывающую доказательную базу для защиты интересов компании от внутренних и внешних угроз.

Cтатья опубликована в сентябрьском номере журнала Information Security

Автор: Антон Шкарин, Менеджер по разработке, “МФИ Софт"

Клиенты

Подпишитесь
на дайджест «МФИ Софт»

Получите pdf с рекомендациями
по формированию политик безопасности.