Võrguliikluse analüüsimine

Kuidas võrku analüüsida, kuidas see käib?

Peale (igat) passiivset vaatlusperioodi koostame raporti. Analüüsides võrgu liiklust tuvastame võimalikud nõrkused võrgus. Suudame näidata, millised võrgu protokollid, millised lahendused ja tarkvarad on puudulikud ning milliseid meetmeid peaks ette võtma. Soovitame tutvuda ka aktiivse võrgu nõrkuste skänneeringuga!

Enne võrgu skänneeringut ei soovita teha mingeid suuri võrgu muudatusi. Enne vaatlust on oluline edastada võrgu informatsioon ja spetsiifika (millised võrgud, millised VLAN’id, millised piirangud, jne) on kasutuses.

Teenus võimaldab võrgu küberturvalisust paremini hinnata, kaitsta ja parandada. Samal ajal võimaldab lahendus paremini maandada võimalikke riske, hoida ära andmelekkeid ning tõsta lõppkasutaja usaldust.

Meie võrguvaatluslahendus mitte ainult ei paranda Teie ettevõtte turvalisust, vaid ka teadlikkust.

1. Täielik võrguülevaade: seirelahendus annab üksikasjalikku teavet kogu ruuterit ja kommutaatorit läbiva liikluse kohta, tõstes põhjaliku ja mitmekülgse analüüsi kaudu ohtude teadlikkust ja seeläbi turva taset.

2. Reaalajas jälgimine: teenus jälgib ja dokumenteerib asjakohast liiklust reaalajas, aidates ohte ennetavalt tuvastada ja hallata, enne kui need nende süsteemidesse jõuavad.

3. Lihtsus juurutada: teenuse juurutamine ei nõua keerulisi võrgumuudatusi.

4. Üksikasjalikud aruanded: pärast iga vaatlusperioodi esitame üksikasjalikud aruanded, mis kajastavad võrguliikluse andmeid ja nõrkusi. Nii on võimalik tuvastada ja leida asukoht, millised võrguprotokollid võivad olla mõjutatud ja milliseid parandusmeetmeid tuleb võtta.

5. Turvalisuse parandamine: Ülevaade võimalikest nõrkustest ja lahenduse järjepidev toimimine tõstab ettevõtte küberturvalisuse taset ning aitab vähendada riske, ennetada andmelekkeid ja tõsta kasutajate kindlustunnet.

6. Teadlikkus ja kontroll: Lisaks turvalisuse parandamisele suurendab teenus organisatsioonide teadlikkust ja kontrolli oma võrkude üle.

7. Kohandatavus: Meie lahendusi saab kohandada vastavalt ärivajadustele, pakkudes paindlikkust ja lisandväärtust.

Kas PCAP failiformaadist saab minu andmed kätte?

PCAP (Packet CAPture) on failiformaat, mida kasutatakse võrgus liikuvate andmepakettide salvestamiseks analüüsi ja tõrkeotsingu eesmärgil. PCAP-faili võib ette kujutada kui jälitussalvestust kõigest, mis teie võrgus toimub – millised seadmed omavahel suhtlevad, millist tüüpi andmeid nad edastavad, millised protokollid nad kasutavad jne.

PCAP-failidest päris andmete taastamine võib olla keeruline ja need vajavad spetsiaalseid teadmisi ja tööriistu. Kuid, tuleb mainida, et asjakohase kogemuse ja oskustega spetsialist suudab sageli tuvastada, milliseid andmeid on omavahel suhtlevad seadmed vahetanud. Samuti võib olla võimalik näha, milliseid saite kasutajad külastavad, milliseid rakendusi nad kasutavad jne.

Selleks kasutatakse selliseid tööriistu nagu Wireshark, Tcpdump, tshark, jne, mida kasutatakse laialdaselt võrguanalüüsi, tõrkeotsingu ja turbeanalüüsi otstarbel.

Siiski, see pole nii, et keegi saaks lihtsalt avada PCAP-faili ja näha kõiki salvestatud teavet selge, lihtsasti loetava vorminguna. Andmete salvestamise ja uurimise nüansid võivad olla väga keerulised. Näiteks krüpteeritud liikluse korral ei pruugi olla võimalik taastada sisu ilma vastava dekrüpteerimisvõtmeta.

Seega, jah – PCAP-failidest on teoreetiliselt võimalik palju informatsiooni taastada, kuid selleks on vaja asjakohaseid tehnilisi oskusi ja tööriistu.

Kuidas tõlgendada tulemusi?

Esmalt vaadeldakse, milliseid protokolle ja porte kasutatakse, näiteks HTTP (port 80) või HTTPS (port 443). See aitab aru saada, milliseid teenuseid ja rakendusi kasutatakse. Samuti analüüsitakse, millised IP aadressid suhtlevad omavahel – see aitab tuvastada, kes on serverid ja kes on kliendid. Kahtlased IP aadressid võivad viidata pahatahtlikule tegevusele. Kahtlased ja ebaturvalised võrgu protokollid tuuakse eraldi välja. Lisaks jälgitakse liikluse mahtu: ootamatu suur liiklus võib tähendada, et keegi proovib rünnata või on võrgu üleküllus.

Võrgu skänni käigus otsitakse turvaintsidente, nagu näiteks sagedased ebaõnnestunud sisselogimiskatsed või kahtlased andmeedastused. Need võivad viidata rünnakukatsetele. Samuti kontrollitakse, kas tundlikud andmed liiguvad võrgus krüpteeritult. Krüpteerimata andmed on turvarisk ja võivad viia andmeleketeni. Lisaks vaatleme, kas võrgu segmenteerimine on korralikult tehtud – näiteks, kas sisevõrk on eraldatud avalikust võrgust, et vältida tundliku info lekkimist. Andmetest näeb ära ka selle millised tarkvarasid ja lahendusi võrgus kasutatakse (näiteks: uuendamata Linux, turvaaukudega SSH, ebaturuvaline Windows Serveri teenus, jne).

Analüüsi kokkuvõttes peab eristama, mis on normaalne tegevus võrgu jaoks ja mis on anomaalia. Näiteks, regulaarne varundamine on normaalne, kuid ootamatu suur andmeedastus võib viidata andmevargusele. Riskitaseme hindamine on oluline: probleemide lahendamine vastavalt tõsidusele ja võimalikele mõjudele. Raport annab ülevaate sellest missuguste küsimustega saab ja peab kohe tegelema.

Tõlgendamisel on oluline teada võrgu olemasolevat arhitektuuri, samuti ka seda milliseid turvameetmeid rakendatakse (targad tulemüürid, kasutajate piiramine, IP ja mac piirangud, honeybot’id, jne). Oluline on andmeid koguda kõikidest tähtsatest võrgu sõlmpunktidest (tähsamad ruuterid, switchid ja serverid).’