Системы сетевой криминалистики

Средства для мониторинга и сбора сетевых доказательств (Network Forensics)

Вопрос
Задать вопрос

Описание и назначение

Сетевая криминалистика (Network Forensics) — это мониторинг и анализ трафика компьютерной сети для сбора информации, юридических доказательств или обнаружения вторжений. Системы мониторинга и анализа трафика осуществляют защиту от широкого спектра угроз, таких как man in the middle, атаки по подбору пароля, атаки с помощью вредоносных программ или с использованием уязвимостей программ.

Системы, используемые для сбора сетевых данных для применения в судебной экспертизе, обычно бывают двух форм:

  • Метод полного перебора, «поймай как сможешь» (catch it as you can) — здесь все пакеты, проходящие через определенную точку трафика, захватываются и записываются в хранилище с последующим анализом в пакетном режиме. Такой подход требует больших объемов хранения.
  • Интеллектуальный метод «остановись, смотри и слушай» (stop, look, listen) — здесь каждый пакет анализируется рудиментарно в памяти, и только определенная информация сохраняется для будущего анализа. Этот подход требует, чтобы более быстрый процессор не отставал от входящего трафика.
  • Варианты применения:
  • TCP/IP — каждый промежуточный маршрутизатор должен иметь таблицу маршрутизации, чтобы знать, куда отправить следующий пакет. Эти таблицы маршрутизации являются одним из лучших источников информации при расследовании цифрового преступления и попытке выследить злоумышленника. Для этого необходимо следить за пакетами злоумышленника, отменить маршрут отправки и найти компьютер, из которого пришел пакет.
  • Ethernet — применение криминалистических методов на уровне Ethernet осуществляется путем прослушивания бит-потоков с помощью инструментов, называемых инструментами мониторинга, или снифферами. Различные инструменты собирают все данные на этом уровне и позволяют пользователю фильтровать разные события. С помощью этих инструментов страницы веб-сайта, вложения электронной почты и другой сетевой трафик могут быть восстановлены только в том случае, если они переданы или получены незашифрованными. Преимущество этого метода состоит в том, что он напрямую связан с хостом. Если, например, известен IP-адрес или MAC-адрес хоста в определенное время.
  • Интернет — может использоваться для выяснения того, кто использует конкретный компьютер, путем извлечения информации учетной записи пользователя из сетевого трафика.

Смежным направлением с сетевой криминалистикой является компьютерная криминалистика. Данные отрасли значительно отличаются друг от друга за счет некоторых особенностей систем мониторинга и анализа трафика:

  • Сетевой исследователь и злоумышленник зачастую имеют схожий уровень навыков.
  • Для расследования инцидента и для его свершения обе стороны используют, как правило, одни и те же инструменты и приложения, например, программы для получения информации о сетевых конфигурациях.
  • В случае, когда в организации перед атакой не использовались межсетевые экраны, системы обнаружения вторжений или фильтры пакетов, сетевому исследователю невозможно получить достаточное количество информации для проведения расследования.

Список средств защиты

Microolap
0
0 отзывов
EtherSensor – программная платформа для анализа сетевого трафика в режиме реального времени
Гарда Технологии
0
0 отзывов
Гарда Монитор – используется для осуществления контроля за данными передаваемыми по сети. Благодаря имеющемуся функционалу может проводится мониторинг IP-трафика и обнаружение попыток нарушения безопасности.
Positive Technologies
0
0 отзывов
PT Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети