CZEN
> Služby
Úvod > Služby > Služby v oblasti informační (ICT) bezpečnosti > Bezpečnostní analýza síťového provozu

Bezpečnostní analýza síťového provozu

Z analýzy síťového provozu je možné dohledat velké množství informací, které pomohou při optimalizaci sítě, úpravě bezpečnostních politik a identifikaci rizik. Analýza může probíhat na více úrovních. Jedním z přístupů je analýza Netflow dat, tedy metadat o síťovém provozu. Další možností je vytvářet analýzu na základě tzv. Deep Packet Inspection (DPI).

DPI zkoumá obsah každého paketu a datového toku a je tedy schopna odhalit i události, které mohou zůstat analýzám založeným na Netflow utajeny (např. opakované pokusy o přihlášení k webové aplikaci, stažení trojského koně z webové stránky apod.). Taková analýza je velmi náročná na výpočetní sílu zařízení, které musí kontrolovat každý paket a zároveň vyžaduje kvalitní analytické nástroje, aby byl výstup srozumitelný a dále použitelný.

Služba, kterou nabízíme, kombinuje metody analýzy Netflow a Deep Packet Inspection a její výstup poskytuje kvalitní podklady pro plánování a optimalizaci bezpečnostních opatření a architektury sítě.

Co je možné odhalit?

  • Pokusy o zneužití zranitelností
    Informace o útocích a případně vyhodnocení jejich úspěšnosti. Útoky mohou být vedeny nejen na vzdálené služby, ale i na lokální aplikace.
  • Malware a jeho přenášení po síti
    Přenosy škodlivého kódu po emailu a webu sonda kontroluje několika detekčními mechanismy a může odhalit opomíjené cesty, kterými se malware může do sítě dostávat.
  • Denial of Service (DoS/DDoS)
    Útoky na služby vystavené do Internetu a výrazné nárůsty provozu, včetně neúmyslných zahlcení služeb
  • Porušování bezpečnostní politiky
    Používání nepovolených nebo nebezpečných aplikací. Kromě odhalení komunikátorů a p2p aplikací najdeme i aplikace pro vytváření tunelů, které uživatelé často používají pro napojení do své domácí sítě.
  • Průzkumné aktivity
    Skenování a identifikace služeb. Tento provoz může být cílen na interní stroje z Internetu, ale také ho mohou generovat infikované stroje v interní síti.
  • Infikované stroje v síti
    Antivirus nemusí vždy správně fungovat, případně nemusí být všude nainstalovaný, síťová komunikace je častý prostředek k odhalení infikovaných strojů.

Průběh bezpečnostní analýzy síťového provozu

  1. Příprava – Zařízení připravíme v našich prostorách tak, abychom na místě řešili již pouze fyzickou instalaci. Součástí přípravy bude seznam sítí, které budou zahrnuty do analýzy, a jejich jednoduchý popis. Údaje o tom, k čemu sítě slouží, použije analytik pro přesnější zacílení závěrečného reportu.
  2. Nasazení – Instalace sondy on-site proběhne přibližně za půl člověkodne včetně krátkého představení managementu sondy a možností analýzy. Appliance není nutné montovat do racků, stačí je pro účely analýzy položit (montáž je možná, pokud bude vyžadována). Během nasazení nedojde k žádnému přerušení síťového provozu nebo jiným omezením služeb, vzhledem k uživatelům a službám je analýza plně transparentní.
  3. Monitorování – Po dobu analýzy se budou naši specialisté pravidelně připojovat k managementu celého řešení, provádět průběžné vyhodnocování a případně upravovat politiky tak, aby výsledné reporty byly co nejpřesnější. V případě identifikace problémů budeme zákazníka informovat již v průběhu testování, aby byl schopen zakročit a  předejít problémovým situacím.
  4. Vyhodnocení – Po ukončení testování připraví analytik závěrečný report. Pro jeho přípravu použije reportovací funkce použité technologie a doplní informacemi ze zkušeností z jiných sítí a analýz. Cílem je vyzdvihnout podstatné a potenciálně rizikové jevy v síti a naopak upozadit jevy nevýznamné. Součástí reportu jsou i analýzy nejčastějších incidentů, přenesených dat podle jejich kategorie, případně konkrétní aplikace. Z identifikovaných incidentů vybere analytik ty podstatné a dodá detailní informace o jejich průběhu, možných následcích a navržených protiopatřeních. Výsledky je možné prezentovat i formou workshopu spojeného s konzultací možných protiopatření a návrhů na úpravy politiky nebo nasazení technických nástrojů, které povedou ke snížení míry rizika plynoucího z výskytu identifikovaných hrozeb a incidentů.

 

DALŠÍ INFORMACE



 
Linkedin Twitter Facebook YouTube