Более пристальный взгляд на то , как киберугрозы расследуются на сетевом уровне . Если недавний взлом сети SolarWinds чему - то нас научил , так это тому , что любой может стать жертвой кибератаки .
Фактически , 2020 год был самым загруженным годом за всю историю: компании столкнулись с на 20 % больше угроз кибербезопасности по сравнению с 2019 годом . В третьем квартале 2020 года количество атак программ - вымогателей увеличилось на 80 % , количество атак на веб - приложения увеличилось на 800 %. в первом полугодии .
Что такое кибертерроризм ?
Готовы ли мы к кибервойне ?
Что такое прыжки по островам ?
Хотя прошлогодний массовый переход на удаленную работу определенно сыграл свою роль в росте инцидентов , это не означает , что предприятиям не следует делать все возможное , чтобы попытаться уменьшить эти угрозы и их последствия . Однако вместо того , чтобы инвестировать только в инструменты безопасности и надеяться на лучшее , советник по безопасности SolarWinds и бывший руководитель службы безопасности Facebook Алекс Стамос недавно посоветовал предприятиям « принять неизбежность » того , что они тоже могут быть взломаны .
Выступая на веб - трансляции в начале этого месяца , Стамос рекомендовал принимать во внимание стратегии и инструменты обнаружения , мониторинга , оповещения и реагирования на каждом этапе цепочки кибер - преступлений .
Это прекрасно согласуется с понятием сетевой криминалистики , которая фокусируется на расследовании причин нарушения и использовании знаний для создания более надежной безопасности , которая не только поможет предотвратить будущие атаки , но и создаст стратегию реагирования , успешную в смягчении последствий потенциальной угрозы . взломать .
Хотя ни одно предприятие не хочет делиться опытом кибератак SolarWinds , определенно можно извлечь уроки из этого опыта , используя сетевую экспертизу . Поскольку компания находится в процессе « создания новой высокозащищенной среды на основе новейших практик », вы также можете оценить безопасность своей сети , чтобы выявить потенциальные недостатки и исправить их до того , как они будут использованы .
Что такое сетевая криминалистика ?
По сути , сетевая криминалистика - это подотрасль практики цифровой криминалистики , которая сама по себе является отраслью судебной экспертизы , при которой эксперты и правоохранительные органы изучают технологии или данные , которые могут содержать доказательства преступления или приписывать доказательства подозреваемым , делать перекрестные ссылки или проверить алиби .
Неудивительно , что сетевая криминалистика относится к расследованию и анализу всего трафика , проходящего через сеть , подозреваемого в использовании в киберпреступности , например , для распространения вредоносных программ для кражи данных или анализа кибератак .
Правоохранительные органы будут использовать сетевую криминалистику для анализа данных сетевого трафика , полученных из сети , подозреваемой в использовании в преступной деятельности или кибератаке . Аналитики будут искать данные , которые указывают , например , на человеческое общение , манипулирование файлами и использование определенных ключевых слов .
С помощью сетевой криминалистики правоохранительные органы и следователи киберпреступлений могут отслеживать сообщения и устанавливать временные рамки на основе сетевых событий , регистрируемых системами управления сетью .
Помимо уголовных расследований , сетевая криминалистика обычно используется для анализа сетевых событий , чтобы отследить источник хакерских атак и других инцидентов , связанных с безопасностью .
Это может включать просмотр подозрительных областей сети , сбор информации об аномалиях и сетевых артефактах , а также выявление случаев несанкционированного доступа к сети .
Существует два метода всеобъемлющей сетевой криминалистики , первый из которых - метод « поймай , как сможешь », который включает в себя захват всего сетевого трафика для анализа , что может быть длительным процессом и требует много места для хранения .
Второй метод - это метод « остановить , посмотреть и прослушать », который включает анализ каждого пакета данных , проходящего по сети , и захват только того , что считается подозрительным и заслуживающим дополнительного анализа ; этот подход может потребовать большой вычислительной мощности , но не требует много места для хранения .
В отличие от цифровой криминалистики , сетевую криминалистику проводить сложнее , поскольку данные часто передаются по сети , а затем теряются ; в компьютерной криминалистике данные чаще хранятся на дисках или твердотельных накопителях , что упрощает их получение .
Стоит отметить , что законы о конфиденциальности и защите данных ограничивают некоторое активное отслеживание и анализ сетевого трафика без явного разрешения , поэтому , если вы планируете применять инструменты сетевой криминалистики , имейте в виду , что вы должны соблюдать законы о конфиденциальности .
Сетевая криминалистика также может использоваться в упреждающем режиме для выявления недостатков в сетях и ИТ - инфраструктуре , что дает ИТ - администраторам и сотрудникам службы информационной безопасности возможность укрепить свою защиту от будущих кибератак .