Свяжитесь с нами
Если остались вопросы или необходима консультация
Обычно мы отвечаем в течении 24 часов.
Почему важно мониторить трафик в разрыве?
Дата: 24.03.2024
Автор: Вячеслав Слинкин
Автор: Вячеслав Слинкин
Введение
Статья описывает преимущества использования DPI, развёрнутого не на конечных устройствах. Важно заметить, что несмотря на название статьи, описанные ситуации также применимы к ассиметричной схеме включения и к схеме с зеркалированием трафика.
Статья описывает преимущества использования DPI, развёрнутого не на конечных устройствах. Важно заметить, что несмотря на название статьи, описанные ситуации также применимы к ассиметричной схеме включения и к схеме с зеркалированием трафика.
Атака на узлы внутри сети
В сфере информационной безопасности никого не удивляют ситуации, когда злоумышленник получает доступ к какому-либо устройству внутри сети. Подобные случаи могут дорого стоить компании. Более того, если атакующий продолжает вторжение и инфицирует другие устройства внутри сети, то это может привести к критическим последствиям.
Рекомендованная последовательность действий для такого сценария:
DPI помогает обнаружить и предотвратить дальнейшее распространение заражения (или другой злонамеренной активности) внутри сети. Также DPI предоставляет журналы сетевой активности, которые имеют важное значение при анализе инцидента.
В сфере информационной безопасности никого не удивляют ситуации, когда злоумышленник получает доступ к какому-либо устройству внутри сети. Подобные случаи могут дорого стоить компании. Более того, если атакующий продолжает вторжение и инфицирует другие устройства внутри сети, то это может привести к критическим последствиям.
Рекомендованная последовательность действий для такого сценария:
- Обнаружить вторжение
- Изолировать зараженный узел
- Собрать важные данные с инфицированного устройства и удалить вредоносное ПО
- Проанализировать инцидент
DPI помогает обнаружить и предотвратить дальнейшее распространение заражения (или другой злонамеренной активности) внутри сети. Также DPI предоставляет журналы сетевой активности, которые имеют важное значение при анализе инцидента.
Преимущества использования DPI внутри сети:
- Обнаружить подозрительную активность в одном сетевом журнале гораздо проще, чем анализировать множество журналов с разных устройств под управлением разных ОС.
- Если злоумышленник получает root-овые права, то у него есть возможность замести следы на инфицированном компьютере. Например, скрыть логи об активных соединениях и переданных данных, удалить записи из журналов о login сессиях и так далее.
- Если злоумышленник предпринимает попытки сканировать сеть или производит spoofing атаку, то такую активность можно своевременно заметить с помощью DPI. На конечных устройствах подобная активность может остаться незамеченной.
Аппаратные ограничения endpoint устройств
В наши дни существует множество IoT-устройств которые расположены внутри локальных сетей. Главный их недостаток — это аппаратное обеспечение. Они созданы, чтобы выполнять одну конкретную задачу и не более. Это абсолютно другая история по сравнению с персональными компьютерами или ноутбуками. IoT-устройства, в большинстве случаев, не могут быть модернизированы.
В наши дни существует множество IoT-устройств которые расположены внутри локальных сетей. Главный их недостаток — это аппаратное обеспечение. Они созданы, чтобы выполнять одну конкретную задачу и не более. Это абсолютно другая история по сравнению с персональными компьютерами или ноутбуками. IoT-устройства, в большинстве случаев, не могут быть модернизированы.
Если DPI установлен внутри сети на отдельном узле и занимается анализом трафика, то необходимость в установке защитных программ на таких устройствах отпадает. DPI собирает данные о сетевой активности, и сетевые инженеры могут в любой момент к ним обратиться, отфильтровав информацию по интересующему устройству.
Контроль агентов
Другой важный момент в сборе логов — это количество агентов. Если сеть достаточно большая и содержит устройства с разным аппаратным обеспечением под управлением разных ОС, то управлять ими становится довольно сложно. Гораздо легче собирать сетевые данные, когда количество агентов не превосходит нескольких инстансов.
Другой важный момент в сборе логов — это количество агентов. Если сеть достаточно большая и содержит устройства с разным аппаратным обеспечением под управлением разных ОС, то управлять ими становится довольно сложно. Гораздо легче собирать сетевые данные, когда количество агентов не превосходит нескольких инстансов.
В подобных случаях DPI является более надёжным механизмом сбора логов для всей сети или по крайней мере для отдельных её кластеров. Такой подход значительно снизит количество затраченного времени на отладку сетевых решений, установленных на конечных устройствах.
Программные ограничения endpoint-устройств
IoT-устройства функционируют во множестве современных компаний. Ими трудно управлять, не говоря уже о сложности установить что-либо на них (в некоторых ситуациях это просто невозможно). Как бы то ни было, эти устройства также нуждаются в защите, потому что, как и любое устройство внутри сети, они являются достижимыми и потенциально уязвимыми.
IoT-устройства функционируют во множестве современных компаний. Ими трудно управлять, не говоря уже о сложности установить что-либо на них (в некоторых ситуациях это просто невозможно). Как бы то ни было, эти устройства также нуждаются в защите, потому что, как и любое устройство внутри сети, они являются достижимыми и потенциально уязвимыми.
Для подобных случаев DPI решает проблему так же, как во всех вышеописанных случаях, посредством анализа трафика на отдельном сетевом узле.
Заключение
Бесспорно, очень важно иметь на борту специализированное ПО для обеспечения информационной безопасности. Тем не менее гораздо лучше иметь решение класса DPI в вашей локальной сети в дополнение к другому инфобезному решению, так как совместно они дадут наилучший результат. DPI играет важную роль не только в сфере информационной безопасности. Он также собирает важную информацию о сетевой активности, которая может быть использована для отладки работы сети или построения отчётов о её загрузке.
Бесспорно, очень важно иметь на борту специализированное ПО для обеспечения информационной безопасности. Тем не менее гораздо лучше иметь решение класса DPI в вашей локальной сети в дополнение к другому инфобезному решению, так как совместно они дадут наилучший результат. DPI играет важную роль не только в сфере информационной безопасности. Он также собирает важную информацию о сетевой активности, которая может быть использована для отладки работы сети или построения отчётов о её загрузке.
Если вы нашли ошибку в статье, пожалуйста, сообщите нам - edit@slinkin.tech.