Анализ сетевого трафика

Анализ сетевого трафика: что это и когда он нужен?

Анализ сетевого трафика — это процесс исследования данных, передаваемых по сети, позволяющий изучать и анализировать информацию о пакетах данных, для различных целей, таких как поиск уязвимостей, обеспечение безопасности, выявление аномалий.

Необходимость анализа сетевого трафика обусловлена усложнением сетевых атак, скоростью появления новых атак, реагированием и расследованием инцидентов ИБ для обеспечения безопасности информационных систем и защиты от киберугроз.

Эта услуга может быть полезна в следующих случаях:

1. Когда необходимо обнаружение и исследование взлома, в этом случае анализом сетевого трафика возможно установить аномальное поведение пользователей, был ли получен несанкционированный доступ, степень компрометации учетных записей
2. Выявление несанкционированной передачи конфиденциальной информации или утечки данных из сети
3. Анализ малвари
   Проводится в случае заражения вредоносным ПО и заключается в обнаружении каким образом вредоносные программы были доставлены на отдельные хосты, какую полезную нагрузку имел тот или иной пакет.
4. Когда требуется восстановить хронологию событий инцидента, определить источники атаки и выявить какие уязвимости были проэксплуатированы

Классификация сетевого трафика

Классификация сетевого трафика является важным этапом анализа, который позволяет определить тип сетевого трафика.

Сетевой трафик может быть классифицирован на основе различных параметров, таких как:

• Направление (входящий, исходящий, внутренний)
• Тип протокола (TCP, UDP, ICMP)
• Порт назначения (80 (HTTP), 445 (SMB), 3389 (RDP)) и другие

Это позволяет разделить трафик на различные категории, например, веб-трафик, электронная почта, IP-телефония (VoIP), потоковое видео и т. д.

Данные сетевого трафика могут быть проанализированы в разных представлениях:

• Различные кодировки
  ASCII, Unicode, Base64.
• Сжатие данных для уменьшения загруженности каналов передачи данных
  Например, использование gzip.
• Шифрование данных для обеспечения безопасности
  Использование криптографических алгоритмов RC4 и AES в протоколах SSL/TLS.

С развитием компьютерных сетей развиваются и средства анализа сетевого трафика:

1. С одной стороны — это применяемые алгоритмы и подходы к анализу
2. С другой — программно-аппаратные средства анализа данных, общей областью интересов которых является защита сетевых ресурсов

Как проходит процесс анализа сетевого трафика

Услуга анализа сетевого трафика включает в себя следующие этапы:

1. Консультация
   Обсуждение возможных причин инцидента с Заказчиком (желательно присутствие системного администратора или сетевого инженера), при котором устанавливаются дата, время и описание подозрительной активности.
2. Сбор данных
   На исследование может быть передан дамп сетевого трафика, либо экспертами осуществляется захват сетевых пакетов с использованием программного обеспечения – снифферов, таких как tcpdump, Wireshark, NetworkMiner, Burp Suite и др.
   В зависимости от условий, а также потребностей Заказчика перехватываться может не весь сетевой трафик, а только часть пакетов.
3. Анализ данных
   Далее в зависимости от способов анализа сетевого трафика подбираются инструменты для анализа. С помощью тех же программ – анализаторов сетевого трафика могут просматриваться статистические данные о потоке, а также проводится детальный анализ захваченных пакетов с целью выявления подозрительной активности, вектора атаки, степени компрометации внутренних систем, оценки масштабов потенциальной утечки и т.д.
4. Визуализация и отчетность
   На данном этапе интерпретируются результаты анализа для определения причин инцидента, а также разрабатываются рекомендации по устранению уязвимостей и повышению уровня безопасности сетевого трафика.

По итогам проведенного исследования составляется отчёт о результатах анализа с подробным описанием выявленных угроз и рекомендаций по их устранению.

RTM Group – преимущества для Вас

• Профиль деятельности нашей экспертной организации сосредоточен в направлении компьютерно-технической экспертизы.
• Наши эксперты обладают большим подтвержденным опытом проведения судебных экспертиз (сведения об опыте и подготовке обязательно указываются в информационном письме для суда).
• Наши эксперты имеют собственные научно пробированные методики проведения компьютерных экспертиз.
• Эксперты RTM Group проходят регулярные обучения, обладают российскими и международными сертификатами по широкому перечню значимых для производства компьютерно-технической экспертизы областей знаний:
  • Сети и сетевая безопасность
  • Операционные системы
  • Прикладное программное обеспечение
  • Вредоносное ПО (признаки вредоносности)
  • Системы автоматизации бизнес-процессов (1С, SAP и пр.)
  • Системы безопасности
  • Системы автоматизации производства (АСУ ТП)
  • Отечественное регулирование в IT
  • и пр.

В соответствии со статьей 41 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» судебная экспертиза может производиться не только в государственных судебно-экспертных учреждениях, но и в негосударственных.

Ключевым моментом является поручение производства экспертизы лицам, обладающим специальными знаниями. Данное положение законодательства является необходимым для эффективной работы судебной системы. Дело в том, что государственные судебно-экспертные учреждения не могут выполнять весь объем и все многообразие судебных экспертиз, равно как не могут соответствовать всем профильным требованиям к подготовке экспертов и обладать необходимыми статусами и лицензиями.

В частности, при назначении многих судебных КТЭ судом проверяется наличие у экспертной организации отдельных лицензий, в частности:

• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
• Лицензия ФСБ России на работу со средствами криптозащиты