Програмний модуль моніторингу Інтернет-трафіку користувачів

Abstract

В IT-інфраструктурі сучасної компанії щодня генеруються великі обсяги мережевого трафіку. Відстежувати вразливі місця в мережевих взаємодіях між пристроями та користувачами в міру розростання інфраструктури і впровадження нових технологій стає складніше. У свою чергу, кіберзлочинці володіють цілим арсеналом технік для приховування своєї присутності в скомпрометованої інфраструктурі і маскування генерується шкідливого трафіку під легітимний. Інформації про мережеві адреси, порти і протоколи, за якими встановлюються з'єднання, вже недостатньо для своєчасного виявлення загроз і реагування на них. Необхідний глибокий аналіз трафіку - з розбором протоколів до рівня додатків включно(L7). З цим завданням успішно справляються рішення класу network traffic analysis (NTA). У NTA-системах застосовуються алгоритми машинного навчання, поведінковий аналіз, правила детектування, а також є можливість ретроспективного аналізу. Це дозволяє виявляти підозрілу мережеву активність, активність шкідливого ПО, спроби експлуатації вразливостей як на периметрі, так і всередині мережі, порушення регламентів ІБ і інші загрози. Аналітичне агентство Gartner відзначає, що ряд організацій використовують NTA-рішення в складі центрів моніторингу і реагування на загрози інформаційної безпеки (security operations centers, SOC) поряд з рішеннями для захисту кінцевих користувачів і SIEM-системами.