Главная » Блоги Экспертов И ИТ-Компаний » «Гарда Технологии» представила свою систему сетевой форензики на конференции BIS SUMMIT в Москве

«Гарда Технологии» представила свою систему сетевой форензики на конференции BIS SUMMIT в Москве

Руководитель центра внедрений компании «Гарда Технологии» (входит в экосистему «ИКС Холдинга») Дмитрий Горлянский выступил на конференции «Business Information Security Summit: Кибербезопасность в эпоху стратегической неопределенности. Как выжить в VUCA-мире» с докладом о системе сетевой форензики «Гарда Монитор».

В начале выступления Дмитрий рассказал о стандарте реагирования на инциденты в области компьютерной безопасности NIST SP 800-61 R2. Он содержит множество подробных инструкций: что и в каких случаях нужно делать, какие средства использовать. Так, согласно стандарту, процесс работы с инцидентами состоит из четырёх стадий:

  1. Подготовка;

  2. Обнаружение и анализ;

  3. Сдерживание, устранение, восстановление;

  4. Деятельность после инцидента.

Для второго и четвертого этапов необходимы различные средства мониторинга, в том числе сетевой активности, с возможностью записать её, сохранить и впоследствии предъявить для нужд расследования или в качестве доказательства в суде. Именно эти задачи максимально эффективно решает система «Гарда Монитор».

«Служба безопасности одного из наших клиентов — завода — установила, что в одном из их зданий занимаются майнингом криптовалют. Перед ними встала задача — выяснить, кто это делает, а также предоставить образцы трафика для дальнейшего расследования. На заводе уже стояла DLP-система, (Data Leak Prevention — технологии предотвращения утечек конфиденциальных данных из информационной системы вовне), однако с её помощью получить такие сведения невозможно, — рассказал Дмитрий Горлянский — В итоге безопасникам пришлось вручную проанализировать огромное количество логов — от прокси-серверов до различного сетевого оборудования. При этом существовал риск, что злоумышленник технически подкован и уже почистил записи. В этом случае так и произошло, потому что майнингом занимался сам системный администратор завода. С помощью «Гарда Монитор» подобную задачу удалось бы решить в автоматическом режиме в течение нескольких минут»

Использование «Гарда Монитора» позволяет, во-первых, анализировать сетевую активность при помощи протоколирования трафика или на основе статистики расширения для маршрутизаторов Netflow от Cisco. И быстро выявлять любой аномальный или паразитный трафик, например, необъяснимо большое количество почтовых сообщений с компьютера (спам-бот), DNS-запросов с одной машины (троян или ботнет для DDoS-атак), VPN- или даже darknet-трафик и т.д.

Во-вторых, — и это ключевое отличие — «Гарда Монитор» записывает и сохраняет весь трафик, чего не могут делать ни обычные файрволы, ни WAF-системы (Web Application Firewall — защитный экран, предназначенный для выявления и блокирования атак на веб-приложения), а также при необходимости может выгружать и представлять его для расследования.

Кроме того, все эти операции специалист по информационной безопасности может производить очень быстро. На создание отчётов и выгрузку образцов для анализа потребуются буквально считанные минуты. Во многом этому помогает очень удобный и продуманный интерфейс продукта.

Далее, «Гарда Монитор» автоматически производит сигнатурный анализ трафика и выявляет такие угрозы безопасности, как атаки на web-приложения, трояны и эксплойты. У компании есть собственная база данных уязвимостей и регулярно обновляемый экспертами репозиторий. Система самостоятельно связывается с ними и скачивает новейшие сигнатуры угроз.

Есть в «Гарда Мониторе» и модуль поведенческой аналитики. Как показала конференция — это один из самых «горячих» трендов в инфобезопасности сегодня. Система способна выявить на основе статистики по потокам, использованию протоколов и адресам их назначения стандартную модель поведения хостов и сетевых устройств, а значит моментально детектировать любые аномалии и нарушения.

Ну и наконец, «Гарда Монитор» позволяет засечь любые попытки сканирования сети, например, отдельных хостов. В системе огромное количество фильтров, она распознает около 350 протоколов и более 50 различных их параметров, что, впрочем, никак не сказывается на высокой скорости её работы.

Сейчас существуют три типовых сценария. Обычно после внедрения продукта просто запускается мониторинг всего входящего и исходящего трафика с выявлением в нём различных аномалий. Второй сценарий — критичная система выделенных DMZ (Demilitarized Zone — демилитаризованные зоны, или сегменты сети с общедоступными сервисами, отделяющие их от закрытых частных). Соответственно мониторится вход-выход и взаимодействие пользователей с этими DMZ. Третий сценарий применяется для компаний с разветвленной филиальной сетью. Широкое территориальное распределение делает экономически невыгодным такой стандартный метод, как зеркалирование трафика. В этом случае на подконтрольные серверы ставят легких агентов, — они записывают весь трафик на месте и периодически отправляют его копию для анализа в центр управления «Гарда Монитор». При этом агенты не оказывают существенного влияния на работу серверов и не нагружают сеть.

Как до, так и особенно после выступления Дмитрия Горлянского информационный стенд со справочными материалами обо всей линейке продуктов «Гарда Технологии» привлек внимание множества специалистов, выбирающих решение для обеспечения безопасности цифровой инфраструктуры на своих предприятиях.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
11 месяцев назад
Комментарии
Другие публикации
RU, Москва
pr-менеджер
Информационные технологии

«ИКС Холдинг» (https://x-holding.ru/) - многопрофильная ИТ-группа, занимающая ведущие позиции на рынке разработки технологий и ИТ-сервисов, входит в ТОП-10 крупнейших поставщиков оборудования для промышленного сектора. «ИКС Холдинг» признан одним из самых быстрорастущих ИТ-холдингов на российском рынке. Под управлением Холдинга находятся более 30 компаний, объединенных в пять субхолдингов, – YADRO, Nexign, «Цитадель», «Криптонит» и «Форпост».

Приоритетные направления деятельности компаний «ИКС Холдинга» – цифровая трансформация крупных предприятий, информационная безопасность, системы хранения данных, криптография и квантовые вычисления, машинное обучение и нейросети, технологии блокчейн и искусственный интеллект. География бизнеса группы охватывает все регионы России и ряд стран ближнего и дальнего зарубежья.

В компаниях «ИКС Холдинга» работают свыше 6000 сотрудников. В странах России и зарубежья реализовано более 120 глобальных проектов. Партнерская сеть Холдинга включает свыше 50 крупных предприятий в России и за ее пределами. 

15 сентября 2020 года «ИКС Холдинг» вошел в состав «ЮэСэМ Телеком».




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>