Как администраторы и хакеры могут использовать приложения для отслеживания трафика

Принцип работы

Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Перехват трафика может осуществляться:

  • обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
  • подключением сниффера в разрыв канала;
  • ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер (Network tap);
  • через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
  • через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

Принцип работы

Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Перехват трафика может осуществляться:

  • обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
  • подключением сниффера в разрыв канала;
  • ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер (Network tap);
  • через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
  • через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

Принцип работы

Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Перехват трафика может осуществляться:

  • обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
  • подключением сниффера в разрыв канала;
  • ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер (Network tap);
  • через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
  • через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

NTA в SOC

Когда начали появляться центры обеспечения безопасности (security operations centers, SOC), стало понятно, что данных, необходимых для мониторинга и выявления угроз, не хватает. SIEM-системы, собирающие журналы даже из большого количества источников, ограничены в выявлении атак анализом событий, антивирусы просто обмануть, а системы защиты конечных точек (EDR) сложно установить на всю инфраструктуру. Остаются «слепые зоны», которые можно покрыть анализом трафика.


Аналитическое агентство Gartner включило NTA — вместе с системами SIEM и EDR — в триаду средств для SOC, которые в синергии значительно снижают шансы атакующих на достижение целей в инфраструктуре жертвы. Злоумышленники могут скрыть применение своих инструментов от EDR- или SIEM-системы, но их активность будет видна в NTA-системе, как только они подключатся к любой другой системе в сети.

Польза NTA-систем подтверждается отзывами заказчиков и исследованиями. В исследовании Gartner, посвященном таким системам, отмечается, что NTA-инструменты позволили многим клиентам обнаружить подозрительную активность в трафике, пропущенную периметровыми средствами безопасности. Институт SANS выяснил, что решения NTA входят в топ технологий для выявления угроз, работой которых довольны в SOC по всему миру.

Как предотвратить атаки сетевых перехватчиков

Если вы обеспокоены тем, что программное обеспечение для слежения за сетью отслеживает сетевой трафик, исходящий от вашего компьютера, есть способы защитить себя.

Существуют этические причины, по которым кому-то может понадобиться использовать сетевой сниффер, например, когда сетевой администратор отслеживает поток сетевого трафика.

Когда сетевые администраторы обеспокоены злонамеренным использованием этих инструментов в своей сети, они используют анти-снифф-сканирование для защиты от атак сниффера. Это означает, что корпоративные сети обычно безопасны.

Тем не менее, легко получить и использовать сетевой сниффер со злыми намерениями, что делает его незаконное использование в вашем домашнем интернете поводом для беспокойства. Для кого-то может быть легко подключить такое программное обеспечение даже к корпоративной компьютерной сети.

Если вы хотите защитить себя от того, кто шпионит за вашим интернет-трафиком, используйте VPN, который шифрует ваш интернет-трафик.

Применение

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

Снифферы применяются как в деструктивных, так и в благих целях. Анализ прошедшего через сниффер трафика позволяет:

  • Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
  • Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).
  • Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
  • Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)

Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

Где работать

Мы уже сотрудничаем с несколькими компаниями, которым очень нужны наши специалисты. Например, это Аналитический центр при Правительстве РФ, которому не хватает подготовленных кадров именно по этому направлению. Им очень не хватает людей, которые понимают, как поставить исследовательский вопрос, как определить исследовательское поле, как собрать данные, как эти данные проанализировать и представить их в том виде, в котором они будут полезны. Аналитический центр уже привлекает в свои прикладные проекты наших стажеров-исследователей — студентов-бакалавров 3-го курса. Я уже упоминала компанию Delloitte, и мы будем продолжать развивать партнерские отношения с компаниями, чтобы трудоустраивать наших студентов еще до выпуска. На российском рынке категорически не хватает кадров, готовых ставить вопрос к задаче, собирать правильные данные, анализировать их, представлять в виде отчетов. Кстати, академическая карьера также открыта для наших студентов. Один из вариантов применения программы — подготовка к PHD и аспирантуре.

Студенты могут работать над исследовательскими проектами нашей лаборатории в самых разных направлениях. Если кому-то интересна политика, то у нас есть проект по изучению взаимного формирования политических взглядов и социальных отношений студентов, влияния политических протестов на изменения в обществе, или построения имиджа определенной политической персоны в онлайн-сообществах и СМИ. Есть группа, изучающая сети взаимодействия рок-музыкантов, в частности,  исследуются условия, которые влияют на успешность рок-музыкантов в борьбе за признание. У нас есть и интересный крупномасштабный проект — «Социологические исследования в России: структура научного сообщества». Он нацелен на оценку современного состояния социлогических исследований в российском научном пространстве посредством анализа выпускаемых в периодических русскоязычных журналах публикаций, посвященных социальной проблематике. Есть еще целый ряд проектов, но уже очевидно, что тематика — самая разнообразная.

Мы принимаем все сертификаты, подтверждающие владение английским языком; более того, стажировки за рубежом на английском языке являются достаточным подтверждением необходимого уровня

По примеру Университета Индианы мы открываем на базе программы свой Центр статистического консалтинга, где смогут работать наши студенты и выпускники.

Так, первым проектом нашего Центра стало исследование «Особенности внутренних коммуникаций сотрудников организации и их влияние на взаимодействие и выполнение командной работы» под руководством Ивана Кузнецова. Исследование является новым инструментом для менеджмента организаций, направленным на мониторинг внутренних, реальных коммуникационных каналов, которые вкупе с изучением характеристик организационной среды позволяют существенно повысить уровень информированности у руководства о характере реально протекающей работы и качестве взаимодействия сотрудников, что в свою очередь позволяет повысить эффективность работы организаций. Особенность этого проекта в том, что за свою консалтинговую работу лаборатория получает деньги, и эти возможности будут открыты для наших студентов.

Но в целом, повторюсь, сейчас спрос на специалистов сетевого анализа настолько большой, что мы можем предоставить нашим студентам разнообразные проекты и стажировки на выбор.

Что такое сетевой сниффер

Сетевые анализаторы делают моментальные копии данных, передаваемых по сети, без перенаправления или изменения. Некоторые анализаторы работают только с пакетами TCP/IP, но более сложные инструменты работают со многими другими сетевыми протоколами и на более низких уровнях, включая Ethernet.

Несколько лет назад анализаторы были инструментами, которые использовались исключительно профессиональными сетевыми инженерами. В настоящее время такое программное обеспечение доступно бесплатно в сети, они также популярны среди интернет-хакеров и людей, которые интересуются сетевыми технологиями.

Сетевые анализаторы иногда называют сетевыми датчиками, беспроводными анализаторами, анализаторами Ethernet, анализаторами пакетов, анализаторами пакетов или просто инструментами отслеживания.

Фиксируем показатели в таблице


Откройте сайт Similarweb — для экспресс-анализа хватит его бесплатной версии.

Введите название своего сайта в строку поиска. В разделе Traffic Overview сервис покажет данные для первых четырех строк таблицы:

  • total visits — общее количество посещений;
  • average visit duration — среднюю продолжительность посещения;
  • pages per visit — среднее количество открытых страниц;
  • bounce rate — показатель отказов: процент пользователей, которые открыли только первую страницу и ушли.

Перейдите далее в раздел Traffic Sources и посмотрите источники трафика — откуда приходят пользователи:

Direct, или прямые заходы — количество переходов, когда пользователь ввел адрес сайта в поисковую строку или скопировал ссылку на него и перешел на сайт.

Реферальный трафик — количество переходов с других сайтов: по ссылкам на форумах, в каталогах, в статьях на других тематических сайтах. В этом разделе можно посмотреть основные сайты, с которых пришли пользователи.

Поисковой трафик — количество переходов из поиска. Сервис показывает платный трафик из контекстной рекламы и органический трафик — когда пользователь искал что-то в поисковике и перешел на сайт. Здесь же можно посмотреть ключевые слова, по которым приходят посетители.

Трафик из соцсетей — количество переходов из ВКонтакте и Facebook, каналов на YouTube и других соцсетей.

Mail — количество переходов из электронных писем.

Аналогично проверьте конкурентов и заполните таблицу.

Как работает сетевой сниффинг

Анализатор пакетов, подключенный к любой сети, перехватывает все данные, передаваемые по этой сети.

В локальной сети (LAN) компьютеры обычно обмениваются данными напрямую с другими компьютерами или устройствами в сети. Всё, что связано с этой сетью, подвергается воздействию всего этого трафика. Компьютеры запрограммированы на игнорирование всего сетевого трафика, не предназначенного для этого.


Программное обеспечение для прослушивания сети открывает доступ ко всему трафику, открывая сетевую карту компьютера (NIC) для прослушивания этого трафика. Программное обеспечение считывает эти данные и выполняет их анализ или извлечение данных.

После получения сетевых данных программное обеспечение выполняет следующие действия:

  • Содержимое или отдельные пакеты (разделы сетевых данных) записываются.
  • Некоторое программное обеспечение записывает только раздел заголовка пакетов данных для экономии места.
  • Захваченные данные сети декодируются и форматируются, чтобы пользователь мог просматривать информацию.
  • Анализаторы пакетов анализируют ошибки в сетевом взаимодействии, устраняют неполадки сетевых подключений и восстанавливают цельность потоков данных, предназначенных для других компьютеров.
  • Некоторое программное обеспечение для поиска в сети извлекает конфиденциальную информацию, такую как пароли, PIN-коды и личную информацию.

Из каких географических регионов ваша аудитория

Если вы таргетируетесь на несколько географических регионов, покупательская активность может сильно различаться в них. Поэтому без этого отчета не обойтись.   В отчете «Директ – расходы» выберите группировки «Кампания Яндекс.Директа» и «Город» и добавьте метрики:  

  • Визиты
  • Посетители
  • Клики
  • Стоимость кликов
  • Отказы
  • Конверсия по любой цели, если все цели ведут к покупке / заказу, или Достижение конкретной цели, если есть цели, связанные с промежуточными этапами воронки продаж.

Использование статистики

Анализом компьютерной сети называют процесс обработки собранных данных, касающихся функционирования системы

Администратору важно знать слабые места, выявлять вовремя неисправности. Иногда средства контроля стоят обособленно, отдельным программным пакетом

В других случаях лишние денежные траты нецелесообразны. Поэтому набор методик анализа сильно варьируется. Процедура контроля образована двумя этапами:

  1. Мониторинг – сбор информации.
  2. Анализ – обработка сведений.

Этап мониторинга требует сбора информации, по большей части проходит автоматически. Проблема решается использованием датчиков, программного обеспечения. Анализ производит человек, используя опыт, обобщённый экспертами. Наработанные решения упрощают процесс анализа. Например, эксперты предлагают несколько критериев сбора статистики:

  1. Число ошибок.
  2. Уровень коллизий.
  3. Укороченные (меньше 64 байт)/удлинённые (свыше 1518 байт) кадры.
  4. Ошибки контрольной суммы. Несовпадение является следствием некачественных контактов, помех, неисправных портов, поломанного оборудования.
  5. «Призраки», сформированные наводками.

Очевидно, характер ошибок тесно связан с топологией, протоколами. Приведённые сопровождают сети Ethernet. Соотношение групп дефектов иногда помогает выявить характер неисправности. Типичный процент ошибочных кадров ниже 0,01%. Наличие битых пакетов становится причиной снижения пропускной способности. Местонахождение неполадок выявляют, оценивая количество, тип коллизий:

  1. Локальная выступает результатом одновременной передачи пакетов несколькими сетевыми картами сегмента. Высокий показатель часто сопутствует повреждённому кабелю.
  2. Удалённая проникает извне контролируемого сегмента. В сетях Ethernet, сформированных многоповторными повторителями, 100% коллизий относится к данному типу.
  3. Поздняя (терминология Ethernet) обнаруживается после передачи 64 байт. Чаще позволяет локализовать неисправность, неработоспособность сетевого адаптера. Иногда причиной становится превышение длины кабельной системы, числа промежуточных повторителей.

Число коллизий нормально ниже 5%. Помимо указанных статистических цифр оборудование часто даёт:

  • Соотношение протоколов сетевого уровня. Наличие избытка ICMP сопровождает сигнализацию маршрутизаторов об ошибках.
  • Основные отправители/получатели.
  • Адреса генерации широковещательного трафика.

ВЕРСИИ: ОБЫЧНАЯ И PRO

Функции \ Программы

10-Страйк: Мониторинг Сети

10-Strike LANState Pro

Обычная

Pro

Графическая схема сети + +
Сканирование топологии сети +
Фоновая работа в режиме службы + +
Мониторинг распределенных сетей +
Проверки хостов за роутером без форвардинга портов через NAT +
Хранение результатов и настроек в единой SQL-СУБД +
Возможность использования удаленных агентов на ПК +
Мониторинг температуры ЦП и скорости вентиляторов (в агенте) +
Мониторинг параметров SMART на жестких дисках (в агенте) +
Встроенный веб-сервер для просмотра результатов + +
Управление через веб-интерфейс +
Многопользовательский режим, разграничение доступа +

В версии Pro также есть графическая карта.

Мы добавили в таблицу другую нашу программу «10-Strike LANState Pro» для сравнения. В ней реализован тот же самый набор проверок и оповещений, но есть графическая карта с расположенными на ней хостами (удобно видеть сразу что работает/не работает), по которой можно администрировать хосты и просматривать информацию по ним. Однако эта программа не работает в режиме службы.

Позже мы также добавили отображение результатов проверок на карте и в Pro-версию «10-Страйк: Мониторинг Сети».

СКАЧАТЬ ПРОГРАММУ

Сценарии использования NTA

Выявление атак — не единственный сценарий применения NTA. Такие системы помогают раскручивать цепочку атаки, чтобы понять хронологию ее развития, локализовать угрозу и принять компенсирующие меры. Можно, например, обнаружив подозрительную попытку подключения с неавторизованного узла на контроллер домена, обратиться к истории сетевой активности узла и проверить, не было ли других подобных попыток. Если они случались, то это будет говорить о целенаправленных действиях. Например, PT Network Attack Discovery, NTA-система Positive Technologies, хранит запись сырого трафика и 1200 параметров сессий, что позволяет очень тонко указать запрос в фильтре и оперативно найти подозрительные сессии.

В рамках threat hunting NTA-инструментарий применяется для проверки гипотез о компрометации сети. Например, оператор системы сформулировал гипотезу, что злоумышленники проникли в инфраструктуру и находятся на стадии горизонтального перемещения. Чтобы ее проверить, он анализирует всю сетевую активность доменной инфраструктуры, поскольку, чтобы развить атаку, преступникам нужно провести разведку в AD. Если среди подключений окажутся аномальные запросы, например по протоколу LDAP (протоколу доступа к каталогам), гипотеза будет подтверждена и потребуется детальное расследование.


Еще одна задача, с которой справляются решения класса NTA, — контроль соблюдения регламентов ИБ. При расследовании инцидентов и во время анализа трафика мы регулярно находим ошибки в конфигурациях информационных систем и нарушения корпоративных регламентов. В 9 из 10 организаций независимо от их размера и сферы деятельности пароли передаются в открытом виде, встречаются ошибки конфигурирования сети, используются утилиты для удаленного доступа и инструменты сокрытия активности. Все это серьезно увеличивает шансы злоумышленников на взлом и развитие атаки.

PT NAD понимает более 50 сетевых протоколов, а 30 наиболее распространенных из них разбирает и на уровне приложений. Поэтому оператор системы получает подробную картину происходящего в сети и может увидеть все данные, переданные в открытом виде. С помощью фильтра можно настроить виджет, где будут отображаться все открытые учетные записи (см. рисунок ниже). Далее можно посмотреть конкретные сессии, где передавались открытые данные, адреса узлов-отправителей и получателей. Это позволит скорректировать ситуацию.

Сценарии использования NTA-систем гораздо шире по сравнению с другими системами, анализирующими трафик. Применяя NTA, подразделения ИБ могут выявить атаки не только на периметре, но и внутри сети, отследить ошибки сетевой безопасности, расследовать инциденты и охотиться за угрозами. Это возможно благодаря:

  • контролю как трафика между корпоративной сетью и интернетом, так и трафика, циркулирующего внутри организации;
  • технологиям детектирования угроз, специфичных для активности злоумышленников внутри периметра;
  • хранению трафика.

Хотя в России только начинают обращать внимание на системы безопасности класса NTA, интерес к ним быстро растет. Например, за последние два года мы реализовали более 60 пилотных проектов и внедрений PT NAD

По результатам пилотов получают подробный отчет о выявленных атаках, ошибках конфигурации систем, нарушении регламентов ИБ и рекомендации по устранению недостатков.

По каким ключевым фразам приходит ваша аудитория

Выберите нужную рекламную кампанию как последний значимый источник.   Источник

  Это нужно, чтобы учесть только те случаи, когда взаимодействие пользователей с этой кампанией приводило к целевому действию.   Затем настройте группировку по кампаниям и условию показа объявлений, то есть ключевому слову в данном случае:     Всё, что получилось, импортируйте в Excel – дальше работаем с этим файлом.   Обратите внимание на ключи, которые получили меньше 20 кликов – этого количества недостаточно для дальнейшего анализа.   По остальным смотрите:  

  • Сколько конверсий они принесли и по какой стоимости
  • Сколько времени пользователь проводит на сайте
  • Сколько страниц он посетил
  • Какой процент отказов по этому ключу.

  Отключайте ключевики с большим количеством кликов и высоким показателем отказов (от 30% и выше), а также с посещениями не дольше 30 секунд и нулевыми конверсиями. Если целевого трафика мало, нужно доработать семантическое ядро – это касается и поиска, и РСЯ.   Анализировать поисковые объявления Яндекс.Директа и объявления в РСЯ можно только с помощью Мастера отчетов в Директе. В Яндекс.Метрике нет функционала для подсчета показов и CTR.

С каких устройств заходит ваша аудитория

  Также смотрите по всем типам устройств время, проведенное на сайте, глубину просмотра и отказы и корректируйте ставки при необходимости. Если, допустим, мобайл совсем не конвертит, поставьте снижающую корректировку.   Это были отчеты, которые показывают качество трафика – насколько он целевой и насколько дорогие или дешевые заявки приносит. Также в Яндекс.Метрике есть группа отчетов, по которым можно детально изучить поведение посетителей вашего сайта.

Что делают посетители на сайте

Ответить на этот вопрос помогут следующие отчеты:     Карта ссылок показывает, по каким ссылкам на сайте чаще переходят (чем насыщеннее цвет, тем больше переходов):     При наведении курсора появляется сводка по количеству и доле переходов по конкретной ссылке

Например:     Карта кликов позволяет определить, куда чаще кликают, в том числе по каким рисункам и некликабельным элементам (если для пользователя с виду они кажутся кликабельными):     Карта скроллинга показывает, на что больше обращают внимание при прокрутке страниц. Чем насыщеннее цвет, тем больше времени просмотров.     Аналитика форм — это наглядный отчет о том, как взаимодействуют с формами заявки.     А также есть Вебвизор, который показывает действия каждого посетителя на сайте

В нем можно посмотреть запись каждого посещения и понять, что больше интересует аудиторию, а что препятствует совершению целевого действия. Подробнее – в этой статье.  

Создание гибридного DLP-решения с помощью EtherSensor и endpoint-компонентов DeviceLock DLP

Совместное использование агентов DeviceLock DLP, обеспечивающих полнофункциональный DLP-контроль рабочих станций, и сервера перехвата и анализа сетевого трафика DeviceLock EtherSensor, позволяет построить уникальную гибридную DLP-систему в организации любого масштаба. Благодаря сочетанию двух различных DLP-архитектур (сетевой и агентской) для контроля сетевого трафика службы информационной безопасности получают возможность обеспечить DLP-контроль корпоративной информации в различных сценариях, создавая гибкие DLP-политики с различными уровнями контроля и реакции на события, повысить надежность DLP-системы при решении задачи предотвращения и выявления утечек информации. Единая база данных событийного протоколирования и теневого копирования, наполняемая событиями и данными, полученными при перехвате трафика с уровня сети и в результате контроля сетевых коммуникаций и устройств на рабочих станциях, позволяет выявлять инциденты информационной безопасности для широчайшего спектра потенциальных каналов утечки данных.

Гибридная DLP-система эффективно решает сразу несколько проблем и задач, стоящих перед службами информационной безопасности – мониторинга сетевого трафика с компьютеров и мобильных устройств, на которых по техническим причинам невозможно установить или эксплуатировать DLP-агент, либо снижения нагрузки на рабочие станции пользователей за счет раздельного контроля различных сетевых сервисов и протоколов на разных уровнях. Автоматическое переключение различных комбинаций DLP-политик для контроля сетевого трафика в агенте DeviceLock DLP в зависимости от наличия подключения к корпоративной сети и/или корпоративным серверам позволяет обеспечить чрезвычайно гибкий контроль пользователей, когда, например, на уровне агента при нахождении лэптопа в офисе сохраняется контроль устройств, принтеров и особо критичных сетевых приложений и сервисов, в том числе с применением контентной фильтрации в режиме реального времени, а контроль и инспекция других сетевых протоколов и сервисов возлагается на модуль EtherSensor.

Сколько стоит целевое действие

Ответ на этот вопрос – в отчете «Директ – расходы». Он будет отображаться в меню Стандартные отчеты → Источники → Директ, если вы предварительно .   Оставляем метрику «Стоимость кликов» и добавляем к ней все метрики по конверсиям, связанные с целевыми посетителями. Мы выбираем метрики по целевыми посетителям, а не достижению целей, чтобы избежать погрешностей в результатах из-за повторных заявок.     Из этого отчета вы получаете конверсии по каждому типу целей и расходы в разрезе рекламных кампаний:   Источник

  Далее объедините результаты по группам объявлений в Яндекс.Директе, добавив соответствующую группировку:       Это нужно для того, чтобы знать, в каких именно группах объявлений проседают конверсии или они слишком дорогие

Отключите группы, в которых заявки обходятся вам дорого, даже если конверсия высокая.   При низкой конверсии выясните причину: возможно, дело в неправильном таргетинге, или стоит доработать рекламные объявления.   Внимание! Один отчет может вместить только 10 метрик, поэтому если у вас их больше, разбейте на несколько отчетов и скопируйте в один документ Excel для дальнейшего изучения общей картины.   Далее мы будем работать со стандартным отчетом «Директ – расходы», потому что при анализе трафика важно знать стоимость целевого действия. В зависимости от того, что именно нужно проанализировать – запросы, площадки, пол и возраст аудитории – мы настраиваем разные метрики и группировки

Применение

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

Снифферы применяются как в деструктивных, так и в благих целях. Анализ прошедшего через сниффер трафика позволяет:

  • Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
  • Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).
  • Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
  • Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)

Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

ПРЕИМУЩЕСТВА

Программа от российских разработчиков (русскоязычная поддержка, ПО в росреестре).

Десятки видов проверок (пинг ICMP, SNMP, Traps, WMI, HTTP, SQL, SSH, TCP, ARP, Event Log, процессы, службы, скрипты, диски, S.M.A.R.T., загрузка процессора, температура, принтеры, уровень тонера, коммутаторы, ИБП, IP-камеры, видеорегистраторы, трафик сети, NetFlow, …).

Простота настройки программы. Просканируйте сеть, и проверка пингом начнет работать автоматически!

Групповые операции по настройке проверок и оповещения ускоряют работу.

Поддержка SNMP traps, SNMPv1/2/3, Syslog, NetFlow (подсчёт трафика на коммутаторе).

Веб-интерфейс, графическая карта и распределенный мониторинг в версии Pro.

Работаем на рынке ПО с 1998 года (22 года). Разработка решений для мониторинга ведется уже 17 лет с 2003 года!

  • Дополнительная информация:
  • История версий
  • Узнать цены
  • Версия Pro — в чем разница?
  • Скриншоты обычной версии
  • Скриншоты Pro-версии
  • Документация
  • FAQ (частые вопросы и ответы)

Выводы

Системы класса NTA могут быть крайне полезными для решения целого ряда задач информационной безопасности: от контроля выполнения регламентов до проведения расследований инцидентов. Список плюсов (на примере PT NAD) выглядит так:

  • возможность детектирования действий злоумышленников внутри сети;
  • выявление нарушений регламентов ИБ: использование нелегитимных и открытых протоколов, передачу учетных данных в открытом виде;
  • вывод описаний и рекомендаций по реагированию на атаки, определяет техники и тактики атакующих по матрице MITRE ATT&CK;
  • сертификация ФСТЭК по профилю обнаружение вторжений уровня сети четвертого класса;
  • обеспечение защиты в рамках выполнения требований по безопасности критической информационной инфраструктуры Российской Федерации;
  • возможность интеграции с внешними системами безопасности и другими решениями Positive Technologies: с PT MultiScanner для антивирусной проверки пересылаемых по сети файлов, с MaxPatrol SIEM для передачи событий, данных о сетевой конфигурации IT-активов.

Конечно, есть и свои ограничения:

  • для использования NTA-решений необходима соответствующая квалификация и серьезные знания в области ИБ;
  • для повышения эффективности нужно построение связок со сторонними решениями (например, для антивирусной проверки передаваемых по сети файлов).

С этим читают