Maligayang pagdating sa aming susunod na mini course. Sa pagkakataong ito ay pag-uusapan natin ang tungkol sa ating bagong serbisyo - . Ano ito? Sa katunayan, ito ay pangalan lamang ng marketing para sa isang libreng pag-audit ng trapiko sa network (parehong panloob at panlabas). Ang pag-audit mismo ay isinasagawa gamit ang napakagandang tool gaya ng , na talagang magagamit ng anumang kumpanya, nang walang bayad, sa loob ng 30 araw. Ngunit, tinitiyak ko sa iyo na pagkatapos ng mga unang oras ng pagsubok, magsisimula kang makatanggap ng mahalagang impormasyon tungkol sa iyong network. Bukod dito, ang impormasyong ito ay magiging mahalaga bilang para sa mga administrator ng networkAt para sa mga security guard. Buweno, talakayin natin kung ano ang impormasyong ito at kung ano ang halaga nito (Sa dulo ng artikulo, gaya ng dati, mayroong isang video tutorial).
Dito, gumawa tayo ng isang maliit na digression. Sigurado ako na maraming tao ang nag-iisip ngayon: "Paano ito naiiba sa ? Ang aming mga subscriber ay malamang na alam kung ano ito (kami ay gumugol ng maraming pagsisikap para dito) :) Huwag magmadali sa mga konklusyon, habang umuusad ang aralin, lahat ay mahuhulog sa lugar.
Ano ang maaaring suriin ng administrator ng network gamit ang audit na ito:
- Analytics ng trapiko sa network β kung paano nilo-load ang mga channel, anong mga protocol ang ginagamit, kung aling mga server o user ang kumukonsumo ng pinakamalaking dami ng trapiko.
- Mga pagkaantala at pagkalugi sa network β average na oras ng pagtugon ng iyong mga serbisyo, ang pagkakaroon ng mga pagkalugi sa lahat ng iyong channel (ang kakayahang makahanap ng bottleneck).
- Analytics ng trapiko ng gumagamit β komprehensibong pagsusuri ng trapiko ng gumagamit. Dami ng trapiko, mga application na ginamit, mga problema sa pagtatrabaho sa mga serbisyo ng korporasyon.
- Pagsusuri sa pagganap ng aplikasyon β pagkilala sa sanhi ng mga problema sa pagpapatakbo ng mga aplikasyon ng korporasyon (mga pagkaantala sa network, oras ng pagtugon ng mga serbisyo, mga database, mga aplikasyon).
- Pagsubaybay sa SLA β awtomatikong nakakakita at nag-uulat ng mga kritikal na pagkaantala at pagkalugi kapag ginagamit ang iyong mga pampublikong web application batay sa totoong trapiko.
- Maghanap ng mga anomalya sa network β DNS/DHCP spoofing, loops, false DHCP server, anomalyang DNS/SMTP traffic at marami pang iba.
- Mga problema sa mga pagsasaayos β pagtuklas ng trapiko ng hindi lehitimong user o server, na maaaring magpahiwatig ng mga maling setting ng mga switch o firewall.
- Komprehensibong ulat β isang detalyadong ulat sa estado ng iyong imprastraktura ng IT, na nagbibigay-daan sa iyong magplano ng trabaho o bumili ng karagdagang kagamitan.
Ano ang maaaring suriin ng isang espesyalista sa seguridad ng impormasyon:
- Viral na aktibidad β nakakakita ng viral na trapiko sa loob ng network, kabilang ang hindi kilalang malware (0-araw) batay sa pagsusuri sa pag-uugali.
- Pamamahagi ng ransomware β ang kakayahang makakita ng ransomware, kahit na kumalat ito sa pagitan ng mga kalapit na computer nang hindi umaalis sa sarili nitong segment.
- Abnormal na Aktibidad β abnormal na trapiko ng mga user, server, application, ICMP/DNS tunneling. Pagkilala sa totoo o potensyal na banta.
- Mga pag-atake sa network β port scanning, brute-force attacks, DoS, DDoS, traffic interception (MITM).
- Pag-leak ng corporate data β pagtuklas ng abnormal na pag-download (o pag-upload) ng corporate data mula sa mga file server ng kumpanya.
- Mga hindi awtorisadong device β pagtuklas ng mga hindi lehitimong device na konektado sa corporate network (pagtukoy sa tagagawa at operating system).
- Mga hindi gustong aplikasyon β paggamit ng mga ipinagbabawal na application sa loob ng network (Bittorent, TeamViewer, VPN, Anonymizers, atbp.).
- Mga Cryptominer at Botnet β pagsuri sa network para sa mga nahawaang device na kumokonekta sa mga kilalang C&C server.
Pag-uulat
Batay sa mga resulta ng pag-audit, makikita mo ang lahat ng analytics sa mga dashboard ng Flowmon o sa mga PDF na ulat. Nasa ibaba ang ilang halimbawa.
Pangkalahatang pagsusuri sa trapiko
Custom na dashboard
Abnormal na Aktibidad
Mga natukoy na device
Karaniwang pamamaraan ng pagsubok
Sitwasyon #1 - isang opisina
Ang pangunahing tampok ay maaari mong suriin ang parehong panlabas at panloob na trapiko na hindi sinusuri ng mga aparatong proteksyon sa perimeter ng network (NGFW, IPS, DPI, atbp.).
Sitwasyon #2 - ilang mga opisina
Video tutorial
Buod
Ang pag-audit ng CheckFlow ay isang magandang pagkakataon para sa mga tagapamahala ng IT/IS:
- Tukuyin ang kasalukuyan at potensyal na mga problema sa iyong imprastraktura ng IT;
- Tuklasin ang mga problema sa seguridad ng impormasyon at ang pagiging epektibo ng mga kasalukuyang hakbang sa seguridad;
- Tukuyin ang pangunahing problema sa pagpapatakbo ng mga aplikasyon ng negosyo (bahagi ng network, bahagi ng server, software) at ang mga responsable sa paglutas nito;
- Makabuluhang bawasan ang oras upang i-troubleshoot ang mga problema sa imprastraktura ng IT;
- Bigyang-katwiran ang pangangailangang palawakin ang mga channel, kapasidad ng server o karagdagang pagbili ng kagamitan sa proteksyon.
Inirerekumenda ko rin na basahin ang aming nakaraang artikulo - .
Kung interesado ka sa paksang ito, manatiling nakatutok (, , , , .
Ang mga rehistradong user lamang ang maaaring lumahok sa survey. , pakiusap
Gumagamit ka ba ng mga tagasuri ng NetFlow/sFlow/jFlow/IPFIX?
-
55,6%Oo5
-
11,1%Hindi, ngunit plano kong gamitin1
-
33,3%No3
9 na user ang bumoto. 1 user ang umiwas.
Pinagmulan: www.habr.com