Выберите страну
  • Latin America
  • Central & Eastern Europe
  • Middle East & Africa
  • Asia
Latin America
Central & Eastern Europe
Middle East & Africa
Asia
Выберите город
Выберите язык
+994 (12) 504-22-74
azerbaijan@noventiq.com
+994 (12) 504-22-74
azerbaijan@noventiq.com
Поиск

Главная О компании Новости Топ 3 сценария использования NTA

Топ 3 сценария использования NTA

Топ 3 сценария использования NTA
Системы анализа трафика (Network Traffic Analysis, NTA) выявляют угрозы информационной безопасности, исследуя события на уровне сети. Они позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовать угрозы и контролировать соблюдение регламентов ИБ. В этой статье мы расскажем про три самых популярных случая, когда без NTA-системы не обойтись.

Кому нужны NTA-системы

В инфраструктуру каждой второй компании можно проникнуть всего за один шаг. При этом, когда злоумышленники попадают во внутреннюю сеть, все их действия становятся незаметными для периметровых средств защиты. Получив такой доступ к системе, можно очень долго оставаться невидимкой. Рекорд, зафиксированный специалистами PT Expert Security Center, составил более 8 лет.

Чтобы не дать злоумышленникам развить атаку внутри инфраструктуры, важно отслеживать безопасность сети. В этом помогает анализ трафика с помощью NTA-систем.

Три ключевых отличия NTA-систем от других решений, работающих с трафиком:

  1. Анализ трафика и на периметре, и в инфраструктуре. Другие системы, работающие с трафиком (IDS/IPS, межсетевые экраны), как правило, стоят только на периметре. Поэтому, когда злоумышленники проникают в сеть, их действия становятся незаметными.
  2. Выявление атак с помощью комбинации способов. Машинное обучение, поведенческий анализ, правила детектирования, индикаторы компрометации, ретроспективный анализ позволяют обнаруживать атаки и на ранних стадиях, и когда злоумышленник уже проник в инфраструктуру.
  3. Применение NTA помогает в расследовании инцидентов и в threat hunting, проактивном поиске угроз, которые не обнаруживаются традиционными средствами безопасности. NTA-системы хранят информацию о сетевых взаимодействиях, а некоторые из них — еще и запись сырого трафика. Такие данные становятся полезными источниками знаний при раскрутке цепочки атаки и ее локализации, а также при проверке гипотез в рамках threat hunting.

Первый сценарий: сетевой комплаенс

В 9 из 10 организаций, независимо от их размера и сферы деятельности, пароли передаются в открытом виде, встречаются ошибки конфигурирования сети, используются утилиты для удаленного доступа и инструменты сокрытия активности. Все это серьезно увеличивает шансы злоумышленников на взлом и развитие атаки. PT NAD позволяет выявить нарушения регламентов безопасности.

По результатам пилотных внедрений PT NAD в 2020 году, одно из часто выявляемых нарушений регламентов ИБ ― использование ПО для удаленного доступа. В большинстве компаний (59%) применяется TeamViewer, в 21% компаний ― Ammyy Admin. Также были замечены LightManager, Remote Manipulator System (RMS), Dameware Remote Control (DWRC), AnyDesk и другие.

Почти в половине компаний, которые используют ПО для удаленного доступа, установлено одновременно несколько разных программ. Так, например, в одной государственной организации было выявлено сразу пять решений: Ammy Admin, RMS, AeroAdmin, LiteManager, TeamViewer.

69% компаний используют устаревшие протоколы LLMNR и NetBios. Этот недостаток конфигурации злоумышленники могут использовать для перехвата значений NetNTLMv2 challenge-response, передаваемых по сети, и дальнейшего подбора учетных данных.

Переход компаний на удаленную работу повлиял и на сетевую активность ― выросла доля подключений во внешнюю сеть по протоколу удаленного доступа RDP: в 2019 году она составляла 3%, в 2020 году – достигла 18%. Очевидно, что такие подключения должны тщательно контролироваться.

Второй сценарий: выявление атак на периметре и внутри сети

Встроенные глубокая аналитика, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют PT NAD определять атаки как на самых ранних стадиях, так и когда злоумышленник уже проник в инфраструктуру.

Третий сценарий: расследование атак

PT NAD – это обязательный инструмент для ИБ-специалиста, который занимается расследованием инцидентов. Решение сохраняет копии всего сетевого трафика, в том числе данные, от которых злоумышленники впоследствии избавляются, пытаясь скрыть следы своего пребывания. Также правила обнаружения угроз и индикаторов компрометации совершенствуются, но изменения вступают в силу лишь на текущий момент, а что делать с атаками, которые произошли намного раньше? Из этого обстоятельства вытекает необходимость проверки трафика не только в режиме реального времени, но и в виде ретроспективного анализа, учитывающего новую информацию. Сохранение копий трафика позволяет провести детальное расследование и обнаружить действия злоумышленника даже для тех событий, которые произошли раньше.

Заключение

В связи с переходом многих компаний на удаленную работу злоумышленникам стало намного проще проникать в инфраструктуру. Использование только периметровых средств защиты уже недостаточно. Необходимо мониторить то, что происходит внутри сети и оперативно выявлять присутствие злоумышленников.

Компания Softline будет рада помочь вам в этом. 
Нужна консультация или хотите запросить пилот?
Пишите нам: Info.AZ@softline.com

Будьте в курсе

Подпишитесь на рассылки с информацией о новинках, скидках и акциях

Узнавайте первыми!

Этот сайт защищен reCAPTCHA, и применяются Политика конфиденциальности и Условия использования Google
Уникальные IT-практики, кейсы, обзоры
и экспертные мнения.

Ошибка

Что-то пошло не так. Обновите страницу и попробуйте еще раз.
Перезапустить
Подписка на почтовую рассылку
Закрыть