+7 (343) 222-13-32 - Екатеринбург | order@xrm.ru | +7 (978) 214-29-87 - Севастополь

Укажите номер телефона и мы перезвоним

Или можете позвонить нам сами по номеру

+7 (343)222-13-32

Нажимая на кнопку "Заказать звонок", вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

АНАЛИЗ СЕТЕВОГО ТРАФИКА

Главная
/
Услуги
/
Безопасность IT-инфраструктуры
/
Анализ сетевого трафика

Для чего проводить анализ сетевого трафика?

Анализ IT-инфраструктуры нужно проводить для того, чтобы подготовиться к защите от злоумышленников. Знания большинства специалистов ИТ в современном мире не достаточны для гарантии сохранности конфиденциальной информации. Не будем приводить стандартные фразы о том, какую опасность представляют угрозы внутри сети или на периметре организации, лучше расскажем о примерах уязвимостей на собственном опыте.

ИСТОРИЯ №1 - УЯЗВИМОСТИ ВНУТРИ СЕТИ.
Мы проводили аудит безопасности IT-инфраструктуры у нашего клиента. На одном из этапов тестировали сегмент защиты: сервер управления антивирусом, сервер управления средствами защиты виртуализации и др. В момент анализа сетевого трафика мы обнаружили активность программного обеспечения удаленного доступа "аммиадмин". Использование средств удаленного доступа для российских компаний стало нормой, поэтому специалисты ИБ клиента не обращали на это особого внимания. Однако, мы заметили, что программное обеспечение связывалось не с общедоступными серверами, а с конкретным сервером и доменным именем. Мы проверили и выяснили, что этот сервер - личный ресурс одного из сотрудников клиента, который администрирует этот защищенный сегмент. Итог: служба ИБ клиента выстроила систему защиты, а один из сотрудников оставил себе лазейку, чтобы в обход всех процедур получать доступ к инфраструктуре. Это недопустимо при организации защиты IT-инфраструктуры.

Уязвимость обнаружена

с помощью PT Network Attack Discovery

ИСТОРИЯ №2 - ОТКРЫТЫЕ ДАННЫЕ УЧЕТНЫХ ЗАПИСЕЙ.

Случай, который произошел в рамках пилотного проекта по анализу сетевого трафика. Специалисты клиента использовали для авторизации в своих информационных системах доменные учетные записи - active directory. При анализе сетевого трафика мы выяснили, что служебные системы для проверки учетных данных администраторов отправляли на контроллер домена логин и пароль в открытом виде - использовался LDAP, а не зашифрованный LDAPS. Контроллер домена в топологии сети был расположен таким образом, что очень много сегментов в организации, где злоумышленник мог подключиться "сниффером" - анализатором трафика, и собрать все логины и пароли. Мы обнаружили не только факт передачи учетных данных в открытом виде, но и информацию об успешной авторизации с этими учетными данными. Кроме небезопасных протоколов, позволявших получить учетные данные, в сети передавались учетные записи с высокими привилегиями - уровня администратора домена. Такая политика безопасности - рай для злоумышленников.

Уязвимость обнаружена

с помощью PT Network Attack Discovery

ИСТОРИЯ №3 - НЕСТАНДАРТНЫЕ ПОРТЫ.

Мы регулярно рассказываем клиентам о важности глубокого анализа трафика и умения определять в нем приложения. Еще одна ситуация в рамках пилотного проекта: заказчик установил у себя систему от утечки информации DLP. На межсетевом экране был ограничен доступ, были лишь оставлены определенные порты и протоколы для внутреннего взаимодействия. При анализе трафика мы определили, что по одному из разрешенных портов есть активность. Вроде бы ничего страшного, что на разрешенном на межсетевом экране порту tcp:23122 используется протокол RDP (remote desktop protocol). Однако порт 23122 был разрешен для работы только определенного приложения. А RDP по умолчанию использует порт tcp:3389. Получается активность RDP проходит на нестандартном порту. В результате расследования оказалось, что один из сотрудников не желал "светить" свою активность для DLP, потому принес с собой из дома ноутбук. Он подключался к своему домашнему компьютеру по RDP и выполнял личные операции на домашнем ПК. Нет гарантии, что сотрудник не выгрузил рабочие файлы таким образом, ведь таким образом он обходил DLP.

Уязвимость обнаружена

с помощью PT Network Attack Discovery

НАЗНАЧЕНИЕ PT NETWORK ATTACK DISCOVERY

КОНТРОЛЬ СЕТИ
PT NAD покажет полную картину IT-инфраструктуры, выявит теневую инфраструктуру, покажет некорпоративное ПО и средства дистанционного администрирования.
ОБНАРУЖЕНИЕ АТАК
Используя PT NAD, вы сможете обнаружить присутствие злоумышленника в инфраструктуре или информацию о попытках проникнуть в нее.
РАССЛЕДОВАНИЕ СОБЫТИЙ
Инструментарий PT NAD позволит восстановить хронологию атаки, выявить самые слабые места в IT-инфраструктуре и выработать компенсирующие меры для предотвращения подобных атак.

ПРЕИМУЩЕСТВА ИНСТРУМЕНТАРИЯ PT NAD

ШИФРОВАННЫЙ ТРАФИК
PT NAD может выявлять скрытое в самописных протоколах или TLS вредоносное ПО.
РЕТРОСПЕКТИВНЫЙ АНАЛИЗ
За счет сохранения сырого и необработанного трафика PT NAD может проводить анализ прошлого трафика на новые уязвимости.
НЕ ТОЛЬКО ПЕРИМЕТР
Защита периметра - важно, но контроль злоумышленника внутри сети важно не меньше. PT NAD разбирает весь поданный на него трафик без исключения, ведь злоумышленник может уже давно внутри сети.
ТРЕНДОВЫЕ УЯЗВИМОСТИ
По трендовым уязвимостям PT NAD подскажет какие активы сейчас критически уязвимы.
ГЛУБОКИЙ
АНАЛИЗ
Аналитика PT NAD действительно глубокая: поведенческий анализ, статистический анализ, машинное обучение и ретроспективный анализ позволяют разбирать трафик до уровня приложений.
ПРОСТАЯ ИНТЕГРАЦИЯ
Для дополнительной защиты используйте интеграцию PT NAD и PT Sandbox. PT NAD отправит подозрительный файл в песочницу, которая в свою очередь имитирует запуск в безопасной среде и сообщает вердикт обратно.

ЗАКАЗАТЬ КОНСУЛЬТАЦИЮ ПО
PT NETWORK ATTACK DISCOVERY

Заполните поля формы, нажмите отправить и ожидайте. Менеджер свяжется с Вами для согласования аудита.

Нажимая «Отправить», я даю согласие на обработку моих персональных данных, а также соглашаюсь с условиями Политики конфиденциальности

АНАЛИЗ СЕТЕВОГО ТРАФИКА

Для чего проводить анализ сетевого трафика?

НАЗНАЧЕНИЕ PT NETWORK ATTACK DISCOVERY

ПРЕИМУЩЕСТВА ИНСТРУМЕНТАРИЯ PT NAD

ЗАКАЗАТЬ КОНСУЛЬТАЦИЮ ПОPT NETWORK ATTACK DISCOVERY

ЗАКАЗАТЬ КОНСУЛЬТАЦИЮ ПО
PT NETWORK ATTACK DISCOVERY