Что мы нашли в трафике крупных компаний с помощью Network Traffic Analysis

18 Мая 13:44
Успех кибератаки на компанию напрямую зависит от уровня безопасности ее корпоративной инфраструктуры. В IT-инфраструктуре современной компании ежедневно генерируются большие объемы сетевого трафика. Отслеживать уязвимые места в сетевых взаимодействиях между устройствами по мере разрастания инфраструктуры становится сложнее. Киберпреступники регулярно пополняют арсенал техник для сокрытия своего присутствия в скомпрометированной инфраструктуре, маскируют генерируемый вредоносный трафик под легитимный.

 Информации об адресах, сетевых портах и протоколах, по которым устанавливаются соединения, уже недостаточно для своевременного выявления угроз и реагирования на них. Необходим глубокий анализ трафика — с разбором протоколов до уровня приложений (L7). С этой задачей успешно справляются решения класса network traffic analysis (NTA).

Что такое NTA

Решения класса NTA отслеживают трафик внутри корпоративной сети и применяют различные техники поведенческого анализа, машинного обучения, чтобы быстро обнаружить скрытые угрозы. NTA может применяться в сетях любого масштаба.

Три ключевых отличия NTA-систем от других решений, работающих с трафиком:

  1. NTA-системы анализируют трафик и на периметре, и в инфраструктуре. Как правило, другие системы, работающие с трафиком (IDS/IPS, межсетевые экраны), стоят на периметре. Поэтому, когда злоумышленники проникают в сеть, их действия остаются незамеченными.
  2. NTA-системы выявляют атаки с помощью комбинации способов. Машинное обучение, поведенческий анализ, правила детектирования, индикаторы компрометации, ретроспективный анализ позволяют обнаруживать атаки и на ранних стадиях, и когда злоумышленник уже проник в инфраструктуру.
  3. Применение NTA помогает в расследовании инцидентов при threat hunting, проактивном поиске угроз, которые не обнаруживают традиционные средства безопасности. NTA-системы хранят информацию о сетевых взаимодействиях, а некоторые из них — еще и запись сырого трафика. Такие данные становятся полезными источниками знаний при раскрутке цепочки атаки и ее локализации, а также при проверке гипотез в рамках threat hunting.

Аналитическое агентство Gartner отмечает, что ряд организаций используют NTA-решения в составе центров мониторинга и реагирования на угрозы информационной безопасности (security operations centers, SOCs) наряду с решениями для защиты конечных пользователей и системами мониторинга.

ЧИТАТЬ МАТЕРИАЛ

Комментарии:

НОВЫЕ СТАТЬИ

Wi-fi и безопасность данных
По материалам InfoTel Group 27 Мая 09:51
Открой меня
Обратите внимание: ×