1. CheckFlow - Flowmon ашиглан дотоод сүлжээний урсгалыг хурдан бөгөөд үнэ төлбөргүй иж бүрэн аудит хийх

Манай дараагийн мини сургалтанд тавтай морилно уу. Энэ удаад бид шинэ үйлчилгээнийхээ талаар ярих болно— CheckFlowЭнэ юу вэ? Үндсэндээ энэ нь сүлжээний хөдөлгөөний үнэ төлбөргүй аудит хийх (дотоод болон гадаад аль аль нь) маркетингийн нэр юм. Аудит нь өөрөө хэмээх гайхалтай хэрэгсэл ашиглан хийгддэг Флоумон, ямар ч компани 30 хоногийн турш үнэ төлбөргүй ашиглах боломжтой. Гэхдээ туршилтын эхний хэдэн цагийн дараа та сүлжээнийхээ талаар үнэ цэнэтэй мэдээллийг хүлээн авах болно гэдгийг би баталж байна. Мөн энэ мэдээлэл хоёулаа үнэ цэнэтэй байх болно сүлжээний администраторуудад зориулсанТэгээд "аюулгүй байдлын ажилтнууд"За, энэ мэдээлэл нь юу болох, яагаад үнэ цэнэтэй болохыг ярилцъя (Ердийнх шиг, нийтлэлийн төгсгөлд видео заавар байдаг).

Эндээс жижиг ухралт хийцгээе. Одоо та нарын олонхи нь: "Энэ юугаараа ялгаатай вэ Check Point Security CheckUP?". Манай захиалагчид энэ юу болохыг мэддэг байх (бид үүнд маш их хүчин чармайлт гаргасан) 🙂 Дүгнэлт хийх гэж бүү яар, хичээл ахих тусам бүх зүйл хэвийн болно.

Сүлжээний администратор энэ аудитаар юуг шалгаж болох вэ:

• Сүлжээний хөдөлгөөний дүн шинжилгээ — сувгууд юугаар ачаалагдсан, ямар протокол ашигладаг, аль сервер эсвэл хэрэглэгчид хамгийн их траффик хэрэглэдэг.
• Сүлжээний саатал, алдагдал - таны үйлчилгээний дундаж хугацаа, таны бүх суваг дээр алдагдал байгаа эсэх (гацаа олох чадвар).
• Хэрэглэгчийн хөдөлгөөний аналитик — хэрэглэгчийн урсгалын иж бүрэн дүн шинжилгээ. Траффикийн хэмжээ, ашигласан програмууд болон корпорацийн үйлчилгээтэй холбоотой асуудлууд.
• Хэрэглээний гүйцэтгэлийн үнэлгээ - корпорацийн програмуудын үйл ажиллагаанд гарсан асуудлын шалтгааныг тодорхойлох (сүлжээний саатал, үйлчилгээний хариу өгөх хугацаа, мэдээллийн сан, програмууд).
• SLA мониторинг — Таны нийтийн вэб программыг ашиглах үед ноцтой саатал, алдагдлыг автоматаар илрүүлж мэдээлдэг.
• Сүлжээний хэвийн бус байдлыг хайх — DNS/DHCP хууран мэхлэлт, гогцоо, хуурамч DHCP сервер, хэвийн бус DNS/SMTP урсгал болон бусад олон.
• Тохиргооны асуудал — буруу шилжүүлэгч эсвэл галт ханын тохиргоог илтгэж болох хууль бус хэрэглэгч эсвэл серверийн урсгалыг илрүүлэх.
• Иж бүрэн тайлан — Мэдээллийн технологийн дэд бүтцийн төлөв байдлын талаарх нарийвчилсан тайлан нь ажил төлөвлөх эсвэл нэмэлт тоног төхөөрөмж худалдан авах боломжийг танд олгоно.

Мэдээллийн аюулгүй байдлын мэргэжилтэн юуг шалгаж болох вэ:

• Вирусын үйл ажиллагаа — зан үйлийн шинжилгээнд үндэслэн сүлжээ доторх вирусын урсгалыг илрүүлдэг, үүнд үл мэдэгдэх хортой программ (0 өдөр) орно.
• Ransomware түгээлт - өөрийн сегментээс гаралгүйгээр хөрш зэргэлдээ компьютеруудын хооронд тархсан байсан ч ransomware илрүүлэх чадвар.
• Аномаль үйл ажиллагаа - хэвийн бус хэрэглэгч, сервер, програмын урсгал, ICMP/DNS туннел. Бодит эсвэл болзошгүй аюулыг илрүүлэх.
• Сүлжээний халдлага — порт скан хийх, харгис хүчний халдлага, DoS, DDoS, замын хөдөлгөөнийг таслан зогсоох (MITM).
• Байгууллагын мэдээлэл алдагдсан - компанийн файлын серверээс компанийн өгөгдлийг хэвийн бус татаж авах (эсвэл байршуулах) илрүүлэх.
• Зөвшөөрөлгүй төхөөрөмжүүд — корпорацийн сүлжээнд холбогдсон хууль бус төхөөрөмжүүдийг илрүүлэх (үйлдвэрлэгч ба үйлдлийн системийг тодорхойлох).
• Хүсээгүй програмууд — сүлжээнд хориотой програмуудыг ашиглах (Bittorent, TeamViewer, VPN, Anonymizers гэх мэт).
• Криптоминер ба ботнетууд - мэдэгдэж байгаа C&C серверүүдтэй холбогдож байгаа халдвартай төхөөрөмжүүдийн сүлжээг шалгах.

Тайлагнах

Аудитын үр дүнд үндэслэн та бүх аналитикийг Flowmon хяналтын самбар эсвэл PDF тайлангаас үзэх боломжтой болно. Зарим жишээг доор харуулав.

Замын хөдөлгөөний ерөнхий дүн шинжилгээ

Тусгай хяналтын самбар

Аномаль үйл ажиллагаа

Илэрсэн төхөөрөмжүүд

Туршилтын ердийн схем

Хувилбар №1 - нэг оффис

Гол онцлог нь та сүлжээний периметрийн хамгаалалтын төхөөрөмжүүдэд (NGFW, IPS, DPI гэх мэт) хамрагдаагүй гадаад болон дотоод урсгалыг шинжлэх боломжтой юм.

Хувилбар №2 - хэд хэдэн оффис

Видео заавар

Хураангуй

CheckFlow аудит нь IT/IS менежерүүдэд маш сайн боломж юм:

1. Мэдээллийн технологийн дэд бүтцэд байгаа одоогийн болон болзошгүй асуудлуудыг тодорхойлох;
2. Мэдээллийн аюулгүй байдал, одоо байгаа хамгаалалтын хэрэгслийн үр дүнтэй холбоотой асуудлуудыг тодорхойлох;
3. Бизнесийн хэрэглээний програмууд (сүлжээ, сервер, програм хангамж) болон түүнийг шийдвэрлэх үүрэгтэй хүмүүсийг тодорхойлох;
4. Мэдээллийн технологийн дэд бүтцийн асуудлыг шийдвэрлэхэд шаардагдах хугацааг эрс багасгах;
5. Суваг, серверийн багтаамжийг өргөжүүлэх эсвэл нэмэлт хамгаалалтын тоног төхөөрөмж худалдан авах хэрэгцээг зөвтгөх.

Би бас бидний өмнөх нийтлэлийг уншихыг зөвлөж байна - NetFlow шинжилгээгээр илрүүлж болох сүлжээний нийтлэг 9 асуудал (Flowmon ашиглах).
Хэрэв та энэ сэдвийг сонирхож байгаа бол хамт байгаарай (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог, Yandex.Zen).

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Та NetFlow/sFlow/jFlow/IPFIX анализатор ашигладаг уу?

• 55,6%Тийм 5

• 11,1%Үгүй ээ, гэхдээ би үүнийг ашиглахаар төлөвлөж байна.

• 33,3%Үгүй 3

9 хэрэглэгч санал өгсөн. 1 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com