ИКС
X-logo
О холдинге Миссия Проекты Новости Карьера Контакты Игра
Теги
Новости Холдинга
Гарда Технологии

«Гарда Технологии» представила свою систему сетевой форензики на конференции BIS SUMMIT в Москве

«Гарда Технологии» представила свою систему сетевой форензики на конференции BIS SUMMIT в Москве

Руководитель центра внедрений компании «Гарда Технологии» (входит в экосистему «ИКС Холдинга») Дмитрий Горлянский выступил на конференции «Business Information Security Summit: Кибербезопасность в эпоху стратегической неопределенности. Как выжить в VUCA-мире» с докладом о системе сетевой форензики «Гарда Монитор».

В начале выступления Дмитрий рассказал о стандарте реагирования на инциденты в области компьютерной безопасности NIST SP 800-61 R2. Он содержит множество подробных инструкций: что и в каких случаях нужно делать, какие средства использовать. Так, согласно стандарту, процесс работы с инцидентами состоит из четырёх стадий:

  • Подготовка;
  • Обнаружение и анализ;
  • Сдерживание, устранение, восстановление;
  • Деятельность после инцидента.

Для второго и четвертого этапов необходимы различные средства мониторинга, в том числе сетевой активности, с возможностью записать её, сохранить и впоследствии предъявить для нужд расследования или в качестве доказательства в суде. Именно эти задачи максимально эффективно решает система «Гарда Монитор».

Служба безопасности одного из наших клиентов — завода — установила, что в одном из их зданий занимаются майнингом криптовалют. Перед ними встала задача — выяснить, кто это делает, а также предоставить образцы трафика для дальнейшего расследования. На заводе уже стояла DLP-система, (Data Leak Prevention — технологии предотвращения утечек конфиденциальных данных из информационной системы вовне), однако с её помощью получить такие сведения невозможно. В итоге безопасникам пришлось вручную проанализировать огромное количество логов — от прокси-серверов до различного сетевого оборудования. При этом существовал риск, что злоумышленник технически подкован и уже почистил записи. В этом случае так и произошло, потому что майнингом занимался сам системный администратор завода. С помощью «Гарда Монитор» подобную задачу удалось бы решить в автоматическом режиме в течение нескольких минут.

Дмитрий Горлянский, руководитель центра внедрений компании «Гарда Технологии»


Использование «Гарда Монитора» позволяет, во-первых, анализировать сетевую активность при помощи протоколирования трафика или на основе статистики расширения для маршрутизаторов Netflow от Cisco. И быстро выявлять любой аномальный или паразитный трафик, например, необъяснимо большое количество почтовых сообщений с компьютера (спам-бот), DNS-запросов с одной машины (троян или ботнет для DDoS-атак), VPN- или даже darknet-трафик и т.д.

Во-вторых, — и это ключевое отличие — «Гарда Монитор» записывает и сохраняет весь трафик, чего не могут делать ни обычные файрволы, ни WAF-системы (Web Application Firewall — защитный экран, предназначенный для выявления и блокирования атак на веб-приложения), а также при необходимости может выгружать и представлять его для расследования.

Кроме того, все эти операции специалист по информационной безопасности может производить очень быстро. На создание отчётов и выгрузку образцов для анализа потребуются буквально считанные минуты. Во многом этому помогает очень удобный и продуманный интерфейс продукта.

Далее, «Гарда Монитор» автоматически производит сигнатурный анализ трафика и выявляет такие угрозы безопасности, как атаки на web-приложения, трояны и эксплойты. У компании есть собственная база данных уязвимостей и регулярно обновляемый экспертами репозиторий. Система самостоятельно связывается с ними и скачивает новейшие сигнатуры угроз.

Есть в «Гарда Мониторе» и модуль поведенческой аналитики. Как показала конференция — это один из самых «горячих» трендов в инфобезопасности сегодня. Система способна выявить на основе статистики по потокам, использованию протоколов и адресам их назначения стандартную модель поведения хостов и сетевых устройств, а значит моментально детектировать любые аномалии и нарушения.

Ну и наконец, «Гарда Монитор» позволяет засечь любые попытки сканирования сети, например, отдельных хостов. В системе огромное количество фильтров, она распознает около 350 протоколов и более 50 различных их параметров, что, впрочем, никак не сказывается на высокой скорости её работы.



Сейчас существуют три типовых сценария. Обычно после внедрения продукта просто запускается мониторинг всего входящего и исходящего трафика с выявлением в нём различных аномалий. Второй сценарий — критичная система выделенных DMZ (Demilitarized Zone — демилитаризованные зоны, или сегменты сети с общедоступными сервисами, отделяющие их от закрытых частных). Соответственно мониторится вход-выход и взаимодействие пользователей с этими DMZ. Третий сценарий применяется для компаний с разветвленной филиальной сетью. Широкое территориальное распределение делает экономически невыгодным такой стандартный метод, как зеркалирование трафика. В этом случае на подконтрольные серверы ставят легких агентов, — они записывают весь трафик на месте и периодически отправляют его копию для анализа в центр управления «Гарда Монитор». При этом агенты не оказывают существенного влияния на работу серверов и не нагружают сеть.

Как до, так и особенно после выступления Дмитрия Горлянского информационный стенд со справочными материалами обо всей линейке продуктов «Гарда Технологии» привлек внимание множества специалистов, выбирающих решение для обеспечения безопасности цифровой инфраструктуры на своих предприятиях.

другие новости