Full Packet Capture – krok dalej w informatyce śledczej

Home / Aktualności / Full Packet Capture – krok dalej w informatyce śledczej

W związku z wprowadzeniem do swojego portfolio rozwiązania dedykowanego stricte informatyce śledczej i „wyciąganiu” informacji z ruchu sieciowego – postanowiliśmy przybliżyć Wam nieco naszą motywację. Full Packet Capture  to najbardziej dokładna i kompletna reprezentacja danych sieciowych, jaką można zebrać. Jednak użyteczność tego rozwiązania jest jeszcze większa, gdy tylko weźmie się pod uwagę, fakt że można z niego wyprowadzić również wiele typów danych.

Przypomnijmy do czego najczęściej wykorzystywane jest monitorowanie pakietów ruchu sieciowego:
  • Identyfikacja zagrożeń bezpieczeństwa
  • Rozwiązywanie problemów z niepożądanymi zachowaniami sieci
  • Identyfikacja zatorów w sieci
  • Identyfikacja utraty danych/pakietów
  • Analiza retrospektywna w ramach informatyki śledczej


Obecnie większość monitoringu ruchu sieciowego realizowana jest w trybie monitoringu NetFlow przez rozwiązania klasy Next Generation Firewall, Network Detection & Reponse czy Intrusion Detection System. Dlaczego więc rozszerzyć zdolność przechwytywania ruchu sieciowego do Full Packet Capture?


Większość narzędzi bezpieczeństwa sieci opiera się na negatywnym modelu bezpieczeństwa. Wykrywaniu znanego złośliwego ruchu, zwykle na podstawie określonych sygnatur. Negatywny model bezpieczeństwa jest problematyczny w przypadku exploitów typu zero-day, nowego złośliwego oprogramowania lub ataków, które po prostu nie mają istniejącej sygnatury.


Full Packet Capture umożliwia analitykowi bezpieczeństwa przegląd całej komunikacji systemu której inne narzędzia bezpieczeństwa mogą nie wykryć.


Narzędzia do przechwytywania pełnego pakietu umożliwiają inżynierom bezpieczeństwa nagrywanie i odtwarzanie całego ruchu w sieci. Również odtworzenie starego ruchu z wykorzystaniem nowych sygnatur detekcji. Retrospekcja może posłużyć do określenia, czy wykorzystanie miało miejsce przed wykryciem zagrożenia lub przed wydaniem poprawki.


Planując wdrożenie pełnego przechwytywania pakietów, należy podjąć kilka decyzji które wpłyną na planowanie pojemności:
  • Gdzie umieścić pełne monitorowanie z przechwytywaniem pakietów?
  • Co monitorować?
  • Jakie są wymagania dotyczące przechowywania danych?
  • Czy istnieją wymagania dotyczące nadmiarowości lub skalowania?


Pomyślne wdrożenie opiera się na trzech czynniki. Po pierwsze, planowanie pod kątem wymagań specyficznych dla organizacji, w tym minimalnej retencji i przechwytywania ruch sieciowego. Po drugie, dostarczanie niezmienionego ruchu do systemu przechwytywania pakietów. Po trzecie, rozmiar przestrzeni do zapisywania przechwyconych pakietów do celów retrospekcji.


Biorąc pod uwagę coraz bardziej złożone zapytania, które otrzymują nasi klienci od organów nadzorczych – z pewnością każda organizacja powinna mieć narzędzie do monitorowania ruchu i przechowywać efekty tych analiz. Jeżeli jednak Twoje zasoby są cenne i zależy Ci na dokładnym dochodzeniu w przypadku wycieku – porozmawiaj z nami o Full Packet Capture.



NIKSUN_FULL_PACKET_CAPTUREPobierz

Powiązane artykuły

STINET 2021. Jakie będą trendy bezpieczeństwa IT
SOAR – nieocenione wsparcie zespołu Incident Reponse
Przedstawiamy Honeypot czyli cyber-garniec z miodem w Twojej sieci!
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji