1. CheckFlow — быстрый и бесплатный комплексный аудит внутреннего сетевого трафика с помощью Flowmon30.01.2020 10:38

sxtdpne0kzutfkqbcbzwvgn-ycs.png

Добро пожаловать на наш очередной мини курс. На этот раз мы поговорим о нашей новой услуге — CheckFlow. Что это такое? По сути, это просто маркетинговое название бесплатного аудита сетевого трафика (как внутреннего, так и внешнего). Сам аудит производится с помощью такого замечательного инструмента как Flowmon, которым может воспользоваться абсолютно любая компания, бесплатно, в течении 30 дней. Но, я уверяю, что уже после первых часов тестирования, вы начнете получать ценную информацию о своей сети. Причем эта информация будет ценной как для сетевых администраторов, так и для «безопасников». Что ж, давайте обсудим, что это за информация и в чем ее ценность (В конце статьи как обычно видеоурок).

Тут же, сделаем небольшое отступление. Просто уверен, что у многих сейчас мелькнула мысль: «А чем это отличается от Check Point Security CheckUP?». Наши подписчики наверняка знают, что это (мы потратили на это очень много сил) :) Не спешите с выводами, по ходу урока все встанет на свои места.

Что сможет проверить сетевой администратор с помощью данного аудита:


  • Аналитика сетевого трафика — чем загружены каналы, какие протоколы используются, какие сервера или пользователи потребляют наибольшее кол-во трафика.
  • Задержки и потери в сети — среднее время отклика ваших сервисов, наличие потерь на всех ваших каналах (возможность найти bottleneck).
  • Аналитика трафика пользователей — комплексный анализ трафика пользователей. Объемы трафика, используемые приложения, проблемы в работе с корпоративными сервисами.
  • Оценка работы приложений — выявление причины проблем в работе корпоративных приложений (сетевые задержки, время отклика сервисов, баз данных, приложений).
  • Мониторинг SLA — автоматически определяет и сообщает о критических задержках и потерях при использовании ваших публичных web-приложений на основе реального трафика.
  • Поиск сетевых аномалий — DNS/DHCP spoofing, петли, ложные DHCP-сервера, аномальный DNS/SMTP трафик и многое другое.
  • Проблемы с конфигурациями — обнаружение нелегитимного трафика пользователей или серверов, что может свидетельствовать о неверных настройках коммутаторов или межсетевых экранов.
  • Комплексный отчет — подробный отчет о состоянии вашей ИТ-инфраструктуры позволяющий спланировать работы или закупку дополнительного оборудования.


Что сможет проверить специалист по ИБ:


  • Вирусная активность — выявляет вирусный трафик внутри сети, в том числе неизвестных зловредов (0-day) на основе поведенческого анализа.
  • Распространение шифровальщиков — возможность детектировать шифровальщики, даже если распространение идет между соседними компьютерами не выходя из своего сегмента.
  • Аномальная активность — аномальный трафик пользователей, серверов, приложений, ICMP/DNS туннелирование. Выявление реальных или потенциальных угроз.
  • Сетевые атаки — сканирование портов, brut-force атаки, DoS, DDoS, перехват трафика (MITM).
  • Утечка корпоративных данных — обнаружение аномального скачивания (или выгрузки) корпоративных данных с файловых серверов компании.
  • Неавторизованные устройства — обнаружение нелегитимных устройств подключенных к корпоративной сети (определение производителя и операционной системы).
  • Нежелательные приложения — использование внутри сети запрещенных приложений (Bittorent, TeamViewer, VPN, Анонимайзеры и т.д.).
  • Криптомайнеры и Botnets — проверка сети на наличие зараженных устройств подключающихся к известным C&C серверам.


Отчетность


По результатам аудита вы сможете увидеть всю аналитику на дашбордах Flowmon, либо в PDF-отчетах. Ниже несколько примеров.

Общая аналитика трафика

ezohcr4tabkkvyqahd0xc4cw0gu.png

Кастомный дашборд

3uih4ybkoaegh5r0zqigkahz0_e.png

Аномальная активность

emv44erd3s-oyfcdk5bk4hr9bt4.png

Обнаруженные устройства

cdladyecrtjvok3sdvwesbbioio.png

Типовая схема тестирования


Сценарий №1 — один офис

a3xczajrqlzqnjf_tquktz6pezs.png

Ключевая особенность — вы можете анализировать как внешний, так и внутренний трафик, который не попадает под анализ устройствами защиты периметра сети (NGFW, IPS, DPI и т.д.).

Сценарий №2 — несколько офисов

rvnje0-myurfhq5mwuyq6abpc9c.png

Видеоурок


Резюме


Аудит CheckFlow это отличная возможность для ИТ/ИБ руководителей:

  1. Выявить актуальные и потенциальные проблемы в вашей ИТ-инфраструктуре;
  2. Обнаружить проблемы с информационной безопасностью и эффективностью существующих средств защиты;
  3. Определить ключевую проблему в работе бизнес-приложений (сетевая часть, серверная, программная) и ответственных за ее решение;
  4. Существенно уменьшить время устранения неполадок в ИТ-инфраструктуре;
  5. Обосновать необходимость расширения каналов, серверных мощностей или дополнительную закупку средств защиты.


Также рекомендую к прочтению нашу предыдущую статью — 9 типовых проблем в сети, которые можно обнаружить с помощью анализа NetFlow (на примере Flowmon).
Если вам интересна данная тема, то следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

© Habrahabr.ru