Новые технологии
безопасности

Сетевая криминалистика и анализ данных


Благодаря анализу сетевых пакетов и метаданных организации могут ускорить процесс выявления вредоносного ПО и устранения последствий его воздействия

По результатам исследования компании ESG[1] за последние два года 49% предприятий подверглись «успешным атакам»[2] вредоносного программного обеспечения, а 20% из этих предприятий были атакованы более 10 раз. Очевидно, что вредоносное программное обеспечение обходит существующие меры безопасности, а система управления информационной безопасности их не обнаруживает. Что делать для усовершенствования процесса обнаружения вредоносного программного обеспечения?

Большинство компаний нашли выход в применении средств сетевой криминалистики. Согласно Википедии, сетевая криминалистика – это подотрасль цифровой криминалистики, связанная с мониторингом и анализом трафика в компьютерной сети в целях сбора информации и надлежащих доказательств, которые могут быть представлены в суде, и обнаружения фактов проникновения.

Сетевая криминалистика появилась давно, и специалисты по анализу безопасности уже много лет пользуются Ethereal, Wireshark и другими анализаторами трафика. Так в чем же разница?

Во-первых, пользователи стали активнее прибегать к инструментам сетевой криминалистики в целях максимально быстрого обнаружения подозрительных действий. Во-вторых, разработчики систем безопасности создали специализированные решения по обнаружению таких подозрительных действий.

И, наконец, доступные инструменты сетевой криминалистики предлагают различные аналитические модули для обнаружения инцидентов. Инструменты сетевой криминалистики собирают большое количество данных, некоторые из них собирают пакеты в полном объеме (т.е. копируют все пакеты, проходящие по сети), например, E-Detective компании DECISION GROUP INC. Другие инструменты собирают и анализируют только метаданные. Нужны ли эти инструменты? Возможно, они не пригодятся небольшим организациям, однако, крупные организации, имеющие филиалы, определенно заинтересуются сетевой криминалистикой.

Посмотрите на последние события в вашей системе безопасности и подумайте, можно ли было с помощью сетевой криминалистики ускорить процесс их обнаружения и устранения. Подумайте также о том, могли бы вы использовать информацию, полученную с помощью сетевой криминалистики, в целях проведения официального расследования.

В скором времени сетевая криминалистика произведет революцию на рынке безопасности. Действительно, согласно результатам этого же исследования компании ESG около половины из опрошенных организаций планируют осуществлять сбор и анализ данных за последние два года. Большая часть этих данных будет циркулировать в сети и анализироваться средствами сетевой криминалистики.


[1] Source: ESG Research Report, Advanced Malware Detection and Prevention Trends, September 2013

[2] Выражение «успешная атака» означает, что ИТ-актив был скомпрометирован вредоносным ПО, что привело к каким-либо последствиям, например, изменению отображения системы, краже данных, простою и т.д.