В последние десять лет системы безопасности в основном фокусируются на просмотре входящего интернет-трафика, что позволяет обнаруживать широкий ряд событий, нарушающих безопасность, таких как спам, фишинг, DDoS, SQL injection и переполнение буфера. За последние пару лет исследования, проведенные такими организациями, как Verizon, Symantec Research, Gartner, Mandiant, привели к тому, что стало понятно, что контролировать надо и выходящий трафик. Это позволяет обнаруживать соединения с ботнетами, серверами типа command-and-control, утечки данных и нарушения политик безопасности.

Что касается мониторинга "перпендикулярного" (скажем, подсеть-подсеть) трафика, то об этом почему-то забывают, хотя эти исследования могут помочь определить влияние атаки.

Проблема в том, чтобы нормально осуществлять такой мониторинг, необходимо множество зондов (пробов). Технологии типа NetFlow или IPFIX упрощают эту проблему, поскольку в качестве таких зондов можно использовать уже существующие в сети маршрутизаторы и коммутаторы. При этом подобные технологии оказывают минимальное влияние на полосу пропускания.

Рассмотрим пример, связанный с утечкой данных. Ниже мы можем видеть нарушение условия, вероятно связанное с утечкой информации, которая уходит из сети через компьютер пользователя Берон (Beron). Этот факт обнаружен системой мониторинга выходящего трафика с использованием Lancope StealthWatch. В этом примере NetFlow используется для обнаружения события, но в этом не  ничего особенного, другие системы мониторинга этот факт тоже способны обнаружить.

 

Если посмотреть на запись потока поближе, то можно понять, что дамп базы данных выгружается на FTP-сервер в восточной Европе.

 

Это также можно обнаружить при контроле выходящих потоков, но следующий пункт расследования требует посмотреть "поперек". Машина Берона - это компьютер на базе Windows, расположенный в Чикаго. Необходимо понять, откуда этот пользователь получил SQL-дамп. Исследуя внутренние коммуникации с помощью NetFlow, можно легко обнаружить, что Берон получил данные с очень важного сервера баз данных в Чикаго задолго до обнаружения угрозы. 

Временной график всех коммуникаций, внутренних и внешних, позволяет быстро получить картину событий, связанных с атакой.

 

 

Хотя мониторинг выходящего трафика и является сегодня необходимым компонентом для обнаружения современных угроз, это только часть эффективной системы сетевого расследования. Для определения влияния атаки и создания точной картины во времени очень важно использовать и мониторинг "поперечного" трафика.