Բարի գալուստ մեր հաջորդ մինի դասընթաց: Այս անգամ կխոսենք մեր նոր ծառայության մասին՝
Այստեղ մի փոքր շեղում անենք. Ես պարզապես վստահ եմ, որ շատերն այժմ մտածում են. «Ինչո՞վ է սա տարբերվում
Ինչ կարող է ստուգել ցանցի ադմինիստրատորը՝ օգտագործելով այս աուդիտը.
- Ցանցային տրաֆիկի վերլուծություն — ինչպես են բեռնվում ալիքները, ինչ արձանագրություններ են օգտագործվում, որ սերվերները կամ օգտվողներն են սպառում ամենաշատ տրաֆիկը:
- Ցանցի ուշացումներ և կորուստներ — Ձեր ծառայությունների միջին արձագանքման ժամանակը, ձեր բոլոր ալիքների վրա կորուստների առկայությունը (խոչընդոտ գտնելու ունակություն):
- Օգտագործողի տրաֆիկի վերլուծություն - օգտագործողների տրաֆիկի համապարփակ վերլուծություն: Երթևեկության ծավալներ, օգտագործվող հավելվածներ, կորպորատիվ ծառայությունների հետ աշխատելու խնդիրներ։
- Оценка работы приложений — բացահայտել կորպորատիվ հավելվածների շահագործման հետ կապված խնդիրների պատճառները (ցանցային ուշացումներ, ծառայությունների արձագանքման ժամանակ, տվյալների բազաներ, հավելվածներ):
- SLA մոնիտորինգ — ավտոմատ կերպով հայտնաբերում և հայտնում է կարևոր ուշացումներ և կորուստներ, երբ օգտագործում եք ձեր հանրային վեբ հավելվածները՝ հիմնված իրական տրաֆիկի վրա:
- Ցանցի անոմալիաների որոնում — DNS/DHCP կեղծում, հանգույցներ, կեղծ DHCP սերվերներ, անոմալ DNS/SMTP տրաֆիկ և շատ ավելին:
- Խնդիրներ կոնֆիգուրացիաների հետ — ապօրինի օգտագործողի կամ սերվերի տրաֆիկի հայտնաբերում, որը կարող է ցույց տալ անջատիչների կամ firewalls-ի սխալ կարգավորումները:
- Համապարփակ զեկույց — մանրամասն հաշվետվություն ձեր ՏՏ ենթակառուցվածքի վիճակի մասին, որը թույլ է տալիս պլանավորել աշխատանքը կամ ձեռք բերել լրացուցիչ սարքավորումներ:
Ինչ կարող է ստուգել տեղեկատվական անվտանգության մասնագետը.
- Վիրուսային ակտիվություն — выявляет вирусный трафик внутри сети, в том числе неизвестных зловредов (0-day) на основе поведенческого анализа.
- Փրկագինների բաշխում — փրկագին հայտնաբերելու ունակություն, նույնիսկ եթե այն տարածվում է հարևան համակարգիչների միջև՝ առանց իր հատվածից դուրս գալու:
- Աննորմալ գործունեություն — օգտագործողների, սերվերների, հավելվածների աննորմալ տրաֆիկ, ICMP/DNS թունելավորում: Իրական կամ հնարավոր սպառնալիքների բացահայտում:
- Ցանցային հարձակումներ — նավահանգիստների սկանավորում, բիրտ ուժային հարձակումներ, DoS, DDoS, երթևեկության խափանում (MITM):
- Կորպորատիվ տվյալների արտահոսք — ընկերության ֆայլերի սերվերներից կորպորատիվ տվյալների աննորմալ ներբեռնման (կամ վերբեռնման) հայտնաբերում:
- Չթույլատրված սարքեր — կորպորատիվ ցանցին միացված անօրինական սարքերի հայտնաբերում (արտադրողի և օպերացիոն համակարգի որոշում):
- Անցանկալի հավելվածներ — ցանցի ներսում արգելված հավելվածների օգտագործումը (Bittorent, TeamViewer, VPN, Anonymizers և այլն):
- Cryptominers և Botnets — ցանցի ստուգում վարակված սարքերի համար, որոնք միանում են հայտնի C&C սերվերներին:
Հաշվետվություն
Ելնելով աուդիտի արդյունքներից՝ դուք կկարողանաք տեսնել բոլոր վերլուծությունները Flowmon-ի վահանակների վրա կամ PDF հաշվետվություններում: Ստորև բերված են մի քանի օրինակներ:
Ընդհանուր տրաֆիկի վերլուծություն
Պատվերով վահանակ
Աննորմալ գործունեություն
Հայտնաբերված սարքեր
Տիպիկ փորձարկման սխեմա
Սցենար թիվ 1 - մեկ գրասենյակ
Հիմնական առանձնահատկությունն այն է, որ դուք կարող եք վերլուծել ինչպես արտաքին, այնպես էլ ներքին երթևեկությունը, որը չի վերլուծվում ցանցի պարագծի պաշտպանության սարքերի կողմից (NGFW, IPS, DPI և այլն):
Սցենար թիվ 2 - մի քանի գրասենյակներ
Վիդեո ձեռնարկ
Ամփոփում
CheckFlow աուդիտը հիանալի հնարավորություն է IT/IS մենեջերների համար.
- Բացահայտեք ձեր ՏՏ ենթակառուցվածքում առկա և հնարավոր խնդիրները.
- Հայտնաբերել տեղեկատվական անվտանգության հետ կապված խնդիրները և առկա անվտանգության միջոցառումների արդյունավետությունը.
- Բացահայտել բիզնես հավելվածների շահագործման հիմնական խնդիրը (ցանցային մաս, սերվերի մաս, ծրագրակազմ) և դրա լուծման համար պատասխանատուներին.
- Զգալիորեն կրճատել ՏՏ ենթակառուցվածքում խնդիրների վերացման ժամանակը.
- Հիմնավորել ալիքների, սերվերի հզորության կամ պաշտպանական սարքավորումների լրացուցիչ գնման անհրաժեշտությունը:
Ես նաև խորհուրդ եմ տալիս կարդալ մեր նախորդ հոդվածը.
Եթե ձեզ հետաքրքրում է այս թեման, ապա հետևեք (
Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։
Օգտագործո՞ւմ եք NetFlow/sFlow/jFlow/IPFIX անալիզատորներ:
-
55,6%Այո 5
-
11,1%Ոչ, բայց ես նախատեսում եմ օգտագործել 1
-
33,3%No3
Քվեարկել է 9 օգտատեր։ 1 օգտատեր ձեռնպահ է մնացել։
Source: www.habr.com