Найти тему
TS Solution

SPANCheck – проверка безопасности сетевого трафика на уровне ядра (или почему NGFW недостаточно?)

Когда речь заходит о безопасности сетевого трафика, большинство сразу вспоминает про решения класса NGFW (Check Point, UserGate, Fortinet, Континент и т. д.).

Это логично: защита периметра сети — одна из ключевых задач «безопасника». Мы регулярно публикуем бесплатные обучающие курсы по таким решениям и делимся различными результатами тестирования в нашем телеграм‑канале. Однако стоит понимать, что NGFW на периметре проверяет именно интернет трафик, или, как еще принято его называть, «Север‑Юг».

Но типовая сеть компании состоит не только из периметра. Практически всегда есть ядро сети или большой сегмент внутренних серверов, где объемы трафика значительно выше. Этот тип трафика принято называть «Запад‑Восток» и весьма часто он вообще никак НЕ контролируется и НЕ проверяется.

Но как быть, если злоумышленник все же проник в сеть? Если он начинает горизонтальное распространение внутри сети и этот трафик вообще никак не регистрируется на NGFW, т.к. просто не доходит туда? Специально для этой задачи существует отдельный класс решений — NTA/NDR.

Этот тип решения способен на обнаружение следующих вещей:

  • наличие признаков проведения сетевых атак и компрометации сети;
  • наличие в сети криптомайнеров;
  • использование неучтенных службой IT-устройств в сети организации;
  • использование утилит удаленного администрирования, построение различных туннелей (ICMP, HTTP, SMTP и др. — популярная у злоумышленников техника эксфильтрации данных);
  • и т. д.

Решением, которое поможет в поиске вышеупомянутых проблем и оценке эффективности работы NGFW, может стать SPANcheck.

Что такое SPANcheck и как он работает?

SPANcheck — это бесплатный инструмент для проверки безопасности сетевой инфраструктуры, который позволяет обнаружить уязвимости и слабые места в защите сети. Он основан на использовании системы глубокого анализа сетевого трафика PT Network Attack Discovery (PT NAD), обеспечивающей точность и полноту анализа.

С помощью SPANcheck можно:

  • Провести анализ сетевого трафика и выявить аномалии и подозрительные активности, которые могут указывать на наличие киберугроз;
  • Оценить эффективность работы вашего NGFW (Next Generation Firewall) и определить возможные уязвимости, связанные с его настройками;
  • Получить отчет о результатах проверки с рекомендациями от инженеров TS Solution по улучшению безопасности вашей сетевой инфраструктуры.

Проверка проходит в три этапа:

  1. Инсталляция в инфраструктуру заказчика и заведение копии сетевого трафика;
  2. Накопление информации о трафике (неделя и более);
  3. Анализ сработок PT NAD и составление отчета и подробных рекомендаций по ним.

По итогу вы получите рекомендации по защите сети и полноценный отчёт, в который входят:

  • Статистика по трафику
  • Нарушения регламентов ИБ
  • Выявленная вредоносная активность (попытки эксплуатации уязвимостей, активность ВПО, сетевые атаки, сканирование портов, подбор паролей, передача вирусных файлов и т.д)
  • Выявленные учетные записи пользователей
  • Подбор оптимального решения

Изучить пример отчета вы можете здесь

Зачем здесь нужен PT NAD?

Защита на уровне периметра сети (NGFW) и на уровне рабочих станций (Anti‑Virus) не дает 100% гарантии защищенности. Нужен инструмент, который позволит вовремя обнаружить вредоносную активность внутри сети.

Этим инструментом и становится PT NAD — средство защиты информации класса NTA (Network traffic analysis — анализ сетевого трафика).

В отличие от других средств защиты информации, так или иначе направленных на поиск угроз в сетевом трафике, NTA обрабатывает не только пакеты, проходящие через периметр организации, но и трафик внутри локальной сети. Это позволяет обнаружить присутствие злоумышленника в сети, даже если момент проникновения не был предотвращен и/или зарегистрирован периметровыми средствами защиты.

PT NAD получает для анализа копию сетевого трафика и не стоит «в разрыв» (т.е не ставится на пути следования рабочего трафика). Поэтому он может обнаруживать атаки благодаря глубокому анализу сетевых пакетов, но не может самостоятельно их предотвращать.

Типовая схема подключения PT NAD
Типовая схема подключения PT NAD

Преимущества инструмента

Основным преимуществом SPANcheck является возможность увидеть те уязвимости, которые может пропустить ваш NGFW. Благодаря использованию системы PT NAD можно получить детальный анализ сетевого трафика и обнаружить скрытые угрозы, которые могут проникнуть в сеть через несанкционированные каналы. Это позволяет оперативно принять меры по устранению уязвимостей и защитить корпоративные данные от потенциальных атак.

Кроме того, SPANcheck предоставляет возможность оценить работу и эффективность их текущих систем защиты. С помощью детального анализа трафика и выявления слабых мест в инфраструктуре компании вы сможете улучшить защитные механизмы и сделать сеть более надежной и устойчивой к киберугрозам.

Оставить заявку на проведение проверки SPANchek вы можете тут
Делимся нашим новым бесплатным курсом по решению PT NAD, на котором можно научиться установке и работе с системой, а также получить сертификат.

С подпиской рекламы не будет

Подключите Дзен Про за 159 ₽ в месяц