4 июля 2023

Анализ сетевого трафика: методы и инструменты

Количество успешных атак киберпреступников на объекты ИТ-инфраструктуры российских компаний и организаций в 2022 году увеличилось более, чем на 20%. Многослойный ИБ-рубеж не всегда гарантирует надежную защиту от атак – разбираемся, какую роль в «оборонительных редутах» играет анализ трафика.

Анализом – по сонму ИБ-угроз 

Исследователи фиксируют рост числа атак на веб-ресурсы организаций, особенно на сайты госучреждений России (их выявлено на 56% больше, чем в 2021 году), также наблюдается рост количества случаев применения шпионского ПО и активно эволюционирующих вирусов-шифровальщиков. Под угрозой находится не только госсектор. Хакеры проявляют интерес к транспортной сфере, финансовому рынку, ритейлу и другим отраслям.

В информационной безопасности используется множество инструментов, защищающих инфраструктуру предприятий и данные: антивирусные решения, межсетевые экраны, различные сканеры безопасности, SIEM-системы и т.д. Они помогают предотвратить атаку и выработать комплекс мер для того, чтобы справиться с ее последствиями и предотвратить развитие атаки и другие нападения. К примеру, SIEM-система позволяет детектировать инциденты, которые происходят на серверах и в конечных точках корпоративной сети, а также работу других ИБ-средств, которые их защищают.

Но для того, чтобы определить пути попадания зловредного ПО в периметр организации, необходимо их проанализировать. Вирус может проникнуть через файловое хранилище, почту, из глобального сегмента Сети или с помощью флешки.

Определение таких путей проникновения производится при помощи анализа сетевого трафика, который может выявить первоначальную точку проникновения и все следы, оставленные зловредом в инфраструктуре. Эта информация становится ценнейшим источником для анализа инцидентов и угроз, которым подвергается организация, а также и их устранения.

Роль специнструментов

Дело в том, что изначально сетевой трафик – это «слепое пятно». Неспециализированные средства не в состоянии проанализировать его. Серверы, сетевое оборудование и пользовательские устройства определяют такой трафик как легитимный.

ИБ-средства нацелены на определение анализа происходящих событий, пользовательского поведения, защиты периметра и от вредоносного ПО. А вот выявить в общем потоке данных, передающихся по сети, аномалии, активность вредоносного ПО или, следы компрометации инфраструктуры способны именно анализаторы трафика. Они позволяют определить, к примеру, такие признаки хакерской активности, как попытки перебора паролей, сетевую разведку, попытки эксплуатации уязвимостей и выполнение скриптов.

Также анализатор может использоваться не как ИБ решение, а как инструмент для стабилизации работы сети, поскольку видит ошибки трафика, резкое возрастание объема передаваемых данных или увеличенное время ожидания отклика и другие признаки сбоев в работе сетевой инфраструктуры организации.

Какие аномалии существуют в трафике

Аномалии трафика – это его отклонение от нормальных параметров. Они могут вызываться отказом оборудования (например, при поломке коммутатора), ошибками администраторов сети и даже пользователей и, наконец, действиями злоумышленников.

При помощи анализа трафика можно выявить целый комплекс категорий аномалий, свидетельствующий о признаках действий злоумышленников. Наличие вирусов выдает присутствие в трафике сигнатуры исполняемого файла, повышенный объем говорит о вероятности DDoS-атаки, активные ботнеты выдают себя соединениями с управляющими серверами, перебор паролей будет заметен благодаря числу попыток входа в пользовательский или административный аккаунт.

Также есть и аномалии, свидетельствующие о технических проблемах в сети: отказ канала (в этом случае значительное число соединений переправляются в резервный канал), перегрузка сервера или его неправильная конфигурация, аномальное поведение устройства.

Полный текст на сайте Cyber Media

 

 

 

 

 

 

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend