1. CheckFlow — быстрый и бесплатный комплексный аудит внутреннего сетевого трафика с помощью Flowmon

Добро пожаловать на наш очередной мини курс. На этот раз мы поговорим о нашей новой услуге — CheckFlow. Что это такое? По сути, это просто маркетинговое название бесплатного аудита сетевого трафика (как внутреннего, так и внешнего). Сам аудит производится с помощью такого замечательного инструмента как Flowmon, которым может воспользоваться абсолютно любая компания, бесплатно, в течении 30 дней. Но, я уверяю, что уже после первых часов тестирования, вы начнете получать ценную информацию о своей сети. Причем эта информация будет ценной как для сетевых администраторов, так и для «безопасников». Что ж, давайте обсудим, что это за информация и в чем ее ценность (В конце статьи как обычно видеоурок).

Тут же, сделаем небольшое отступление. Просто уверен, что у многих сейчас мелькнула мысль: “А чем это отличается от Check Point Security CheckUP?”. Наши подписчики наверняка знают, что это (мы потратили на это очень много сил) :) Не спешите с выводами, по ходу урока все встанет на свои места.

Что сможет проверить сетевой администратор с помощью данного аудита:

• Аналитика сетевого трафика — чем загружены каналы, какие протоколы используются, какие сервера или пользователи потребляют наибольшее кол-во трафика.
• Задержки и потери в сети — среднее время отклика ваших сервисов, наличие потерь на всех ваших каналах (возможность найти bottleneck).
• Аналитика трафика пользователей — комплексный анализ трафика пользователей. Объемы трафика, используемые приложения, проблемы в работе с корпоративными сервисами.
• Оценка работы приложений — выявление причины проблем в работе корпоративных приложений (сетевые задержки, время отклика сервисов, баз данных, приложений).
• Мониторинг SLA — автоматически определяет и сообщает о критических задержках и потерях при использовании ваших публичных web-приложений на основе реального трафика.
• Поиск сетевых аномалий — DNS/DHCP spoofing, петли, ложные DHCP-сервера, аномальный DNS/SMTP трафик и многое другое.
• Проблемы с конфигурациями — обнаружение нелегитимного трафика пользователей или серверов, что может свидетельствовать о неверных настройках коммутаторов или межсетевых экранов.
• Комплексный отчет — подробный отчет о состоянии вашей ИТ-инфраструктуры позволяющий спланировать работы или закупку дополнительного оборудования.

Что сможет проверить специалист по ИБ:

• Вирусная активность — выявляет вирусный трафик внутри сети, в том числе неизвестных зловредов (0-day) на основе поведенческого анализа.
• Распространение шифровальщиков — возможность детектировать шифровальщики, даже если распространение идет между соседними компьютерами не выходя из своего сегмента.
• Аномальная активность — аномальный трафик пользователей, серверов, приложений, ICMP/DNS туннелирование. Выявление реальных или потенциальных угроз.
• Сетевые атаки — сканирование портов, brut-force атаки, DoS, DDoS, перехват трафика (MITM).
• Утечка корпоративных данных — обнаружение аномального скачивания (или выгрузки) корпоративных данных с файловых серверов компании.
• Неавторизованные устройства — обнаружение нелегитимных устройств подключенных к корпоративной сети (определение производителя и операционной системы).
• Нежелательные приложения — использование внутри сети запрещенных приложений (Bittorent, TeamViewer, VPN, Анонимайзеры и т.д.).
• Криптомайнеры и Botnets — проверка сети на наличие зараженных устройств подключающихся к известным C&C серверам.

Отчетность

По результатам аудита вы сможете увидеть всю аналитику на дашбордах Flowmon, либо в PDF-отчетах. Ниже несколько примеров.

Общая аналитика трафика



Кастомный дашборд



Аномальная активность



Обнаруженные устройства

Типовая схема тестирования

Сценарий №1 — один офис



Ключевая особенность — вы можете анализировать как внешний, так и внутренний трафик, который не попадает под анализ устройствами защиты периметра сети (NGFW, IPS, DPI и т.д.).

Сценарий №2 — несколько офисов

Видеоурок

Резюме

Аудит CheckFlow это отличная возможность для ИТ/ИБ руководителей:

1. Выявить актуальные и потенциальные проблемы в вашей ИТ-инфраструктуре;
2. Обнаружить проблемы с информационной безопасностью и эффективностью существующих средств защиты;
3. Определить ключевую проблему в работе бизнес-приложений (сетевая часть, серверная, программная) и ответственных за ее решение;
4. Существенно уменьшить время устранения неполадок в ИТ-инфраструктуре;
5. Обосновать необходимость расширения каналов, серверных мощностей или дополнительную закупку средств защиты.

Также рекомендую к прочтению нашу предыдущую статью — 9 типовых проблем в сети, которые можно обнаружить с помощью анализа NetFlow (на примере Flowmon).
Если вам интересна данная тема, то следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).