Количество успешных атак киберпреступников на объекты ИТ-инфраструктуры российских компаний и организаций в 2022 году увеличилось более, чем на 20%. Многослойный ИБ-рубеж не всегда гарантирует надежную защиту от атак – разбираемся, какую роль в «оборонительных редутах» играет анализ трафика.

Анализом – по сонму ИБ-угроз 

Исследователи фиксируют рост числа атак на веб-ресурсы организаций, особенно на сайты госучреждений России (их выявлено на 56% больше, чем в 2021 году), также наблюдается рост количества случаев применения шпионского ПО и активно эволюционирующих вирусов-шифровальщиков. Под угрозой находится не только госсектор. Хакеры проявляют интерес к транспортной сфере, финансовому рынку, ритейлу и другим отраслям.

В информационной безопасности используется множество инструментов, защищающих инфраструктуру предприятий и данные: антивирусные решения, межсетевые экраны, различные сканеры безопасности, SIEM-системы и т.д. Они помогают предотвратить атаку и выработать комплекс мер для того, чтобы справиться с ее последствиями и предотвратить развитие атаки и другие нападения. К примеру, SIEM-система позволяет детектировать инциденты, которые происходят на серверах и в конечных точках корпоративной сети, а также работу других ИБ-средств, которые их защищают.

Но для того, чтобы определить пути попадания зловредного ПО в периметр организации, необходимо их проанализировать. Вирус может проникнуть через файловое хранилище, почту, из глобального сегмента Сети или с помощью флешки.

Определение таких путей проникновения производится при помощи анализа сетевого трафика, который может выявить первоначальную точку проникновения и все следы, оставленные зловредом в инфраструктуре. Эта информация становится ценнейшим источником для анализа инцидентов и угроз, которым подвергается организация, а также и их устранения.

Роль специнструментов

Дело в том, что изначально сетевой трафик – это «слепое пятно». Неспециализированные средства не в состоянии проанализировать его. Серверы, сетевое оборудование и пользовательские устройства определяют такой трафик как легитимный.

ИБ-средства нацелены на определение анализа происходящих событий, пользовательского поведения, защиты периметра и от вредоносного ПО. А вот выявить в общем потоке данных, передающихся по сети, аномалии, активность вредоносного ПО или, следы компрометации инфраструктуры способны именно анализаторы трафика. Они позволяют определить, к примеру, такие признаки хакерской активности, как попытки перебора паролей, сетевую разведку, попытки эксплуатации уязвимостей и выполнение скриптов.

Также анализатор может использоваться не как ИБ решение, а как инструмент для стабилизации работы сети, поскольку видит ошибки трафика, резкое возрастание объема передаваемых данных или увеличенное время ожидания отклика и другие признаки сбоев в работе сетевой инфраструктуры организации.

Какие аномалии существуют в трафике

Аномалии трафика – это его отклонение от нормальных параметров. Они могут вызываться отказом оборудования (например, при поломке коммутатора), ошибками администраторов сети и даже пользователей и, наконец, действиями злоумышленников.

При помощи анализа трафика можно выявить целый комплекс категорий аномалий, свидетельствующий о признаках действий злоумышленников. Наличие вирусов выдает присутствие в трафике сигнатуры исполняемого файла, повышенный объем говорит о вероятности DDoS-атаки, активные ботнеты выдают себя соединениями с управляющими серверами, перебор паролей будет заметен благодаря числу попыток входа в пользовательский или административный аккаунт.

Также есть и аномалии, свидетельствующие о технических проблемах в сети: отказ канала (в этом случае значительное число соединений переправляются в резервный канал), перегрузка сервера или его неправильная конфигурация, аномальное поведение устройства.

Полный текст на сайте Cyber Media