Основні висновки
- Технологія Fidelis Deep Session Inspection (DSI) фіксує повні сеанси обміну даними в гібридних середовищах (наземне середовище + AWS/Azure/GCP), забезпечуючи видимість мережі на рівні криміналістичного аналізу
- Реконструює потоки TCP, декодує вкладені протоколи (HTTP/S, SMB, TLS, де це дозволено), вилучає команди C2, файли та облікові дані
- Безагентне покриття хмарного середовища за допомогою дзеркалювання трафіку VPC та інтеграції з NSG — агенти в хмарі не потрібні
- Генерує готові до використання дані для доказової бази у форматах PCAP/JSON із зіставленням за MITRE ATT&CK для розслідувань
- Мережевий DLP запобігає витоку даних, виконуючи криміналістичний аналіз
- Візуалізація стану безпеки в інфраструктурі IoT/OT/хмарному середовищі
- Об’єднує виявлення загроз, тестування в пісочниці та реагування на інциденти в одній платформі
Гібридні середовища поєднують локальні центри обробки даних із платформами публічної хмари, такими як AWS, Azure та GCP. Це призводить до появи складних потоків горизонтального та вертикального трафіку, в яких складні кіберзагрози ховаються у зашифрованих тунелях. Компанія Fidelis Network® вирішує цю проблему за допомогою запатентованої технології Deep Session Inspection (DSI). DSI фіксує сеанси зв’язку в усіх відстежуваних сегментах мережі, рекурсивно декодує вкладені протоколи та дані, а також вилучає докази для мережевої криміналістичної експертизи в гібридних мережах.
DSI реконструює сеанси зв’язку та розпаковує багаторівневі протоколи, такі як HTTP-over-TLS-over-SMB. Це дозволяє виявити артефакти цифрової криміналістики, такі як вкладені файли, команди C2, викрадені облікові дані та сліди метаданих, які можна відразу використовувати під час реагування на інциденти та проведення розслідувань.
Як глибокий аналіз сеансів забезпечує видимість для криміналістичної експертизи
Традиційні інструменти моніторингу мережі працюють на рівні пакетів або потоків. Інструменти на основі потоків надають миттєві знімки. Інструменти аналізу NetFlow видають зведення за потоками. Усі вони стикаються з труднощами при обробці контексту із зашифрованих тунелів або вкладених даних. Fidelis Network® DSI діє у три чіткі етапи:
- Запис сеансів: Фіксує весь трафік у відстежуваних сегментах мережі, де розгорнуті сенсори
- Декодування протоколів: Розпаковує HTTP/S, SMB, RDP, DNS, FTP та аналізує сеанси, зашифровані за протоколом TLS, якщо це дозволено політиками дешифрування. Це дозволяє виявити вбудований контент
- Витяг артефактів: Надає файли, команди, сигнали C2, IP-адреси та дані додатків з контекстом сеансу
Реальний приклад атаки: Бічні переміщення через RDP з локальних центрів обробки даних на віртуальні машини в Azure. DSI відновлює сеанс, демонструючи викрадені хеші NTLM, команди PowerShell та проміжні файли. Саме такі докази дозволяють слідчим відстежувати активність через межі гібридної інфраструктури.
Ця глибока перевірка сеансів значно скорочує прогалини у видимості між відстежуваними мережевими портами та протоколами.
Покриття гібридного розгортання. Хмарні агенти не потрібні
Fidelis Network® перехоплює трафік у гібридних середовищах:
Варіанти розгортання:
- Позасмуговий моніторинг виключає ризики для виробничого середовища
- Вбудований захист там, де це необхідно
- Автоматичне масштабування в хмарі для динамічних робочих навантажень
- Зберігання даних сесій з високою ємністю підтримує пошук загроз та поглиблений аналіз.
Пристрої IoT, системи IT/OT, інтелектуальні пристрої та контейнери відображаються в єдиних уявленнях, що охоплюють як приватні з’єднання, так і публічні інтернет-маршрути.
Дані мережевої криміналістики для розслідувань
Fidelis генерує цифрові докази, на які фахівці з безпеки та юристи можуть покладатися під час реагування на інциденти та проведення юридичної експертизи:
Основні можливості:
- Реконструкція сеансів із зіставленням за MITRE ATT&CK
- Пошук у великих сховищах сеансів за атрибутами даних сеансів, такими як IP-адреси, домени, хеші файлів
- Візуальне відтворення атаки від моменту доступу до виведення даних
- Збереження часових міток забезпечує цілісність даних
Формати експорту:
Розслідування витоку даних:
- Модуль оцінки ризиків виявляє підозрілі переміщення даних у хмарне сховище
- DSI відновлює сеанс SMB із вбудованими передачами даних
- Витягує файли з урахуванням контексту сеансу
- Надає пакет цифрових доказів для усунення порушень
Мережева криміналістика переходить від багатоденного аналізу журналів до кількох годин цільового аналізу.
Запобігання загрозам під час збору доказів
Fidelis збирає докази, одночасно запобігаючи загрозам:
- Network DLP сканує шаблони конфіденційної інформації за всіма протоколами під час перевірки
- Вбудована пісочниця аналізує корисні навантаження мережевого трафіку
- Блокування загроз і збір даних на основі політик формують пов’язані ланцюжки доказів, завдяки чому заблокований трафік, сповіщення та дані про сеанси залишаються пов’язаними для подальшого розслідування.
Сценарій із програмним забезпеченням-вимагачем: Перебір SMB-адрес запускає захоплення сеансу. DSI формує криміналістичні докази, а мережевий DLP запобігає шифруванню в гібридних мережах.
Fidelis у порівнянні з іншими рішеннями для моніторингу мережі
Fidelis забезпечує гібридне покриття без використання агентів завдяки вбудованій інтеграції з хмарними сервісами, поєднуючи мережеву криміналістику та безпеку.
Перевірені сценарії гібридних загроз
Виробництво (локальна інфраструктура + AWS EKS):
- Виявляє бічне переміщення SMB-файлів у виробничих мережах
- Відновлює C2-зв’язок із кошиками S3
- Створює карту ланцюжка атак програм-вимагачів
Фінансові послуги (Azure + центр обробки даних):
- Виявляє витік даних у приватні хмарні сервіси
- Відновлює повні схеми доступу
- Підтримує процедури розірвання договорів
Охорона здоров’я (міграція на GCP):
- Виявляє неправильно налаштовані робочі навантаження GKE
- Відновлює несанкціоновані сеанси API
- Документує проблеми з дотриманням нормативних вимог
Безшовна інтеграція екосистеми безпеки
Картування інфраструктури дозволяє візуалізувати стан безпеки в локальних центрах обробки даних, приватних хмарах та платформах публічної хмари. Кожен підключений пристрій, робоче навантаження та потік трафіку.
Чому служби безпеки обирають Fidelis для гібридного мережевого криміналістичного аналізу
1.Запатентована технологія глибокого аналізу сеансів
DSI відтворює повні сеанси з вилученням контенту з мережевого трафіку. Зазвичай для цього потрібно кілька інструментів.
2. Гібридне покриття без агентів
Вбудовані функції дзеркалювання трафіку AWS VPC, Azure NSG та GCP Packet Mirroring дозволяють фіксувати горизонтальний трафік без використання хмарних агентів.
3. Докази, готові до розслідування
Деталі сповіщень зазвичай експортуються у форматі JSON або PDF для аналізу; PCAP доступний як додатковий варіант експорту для більш глибокої експертизи.
4. Єдина система запобігання та експертизи
Правила мережевого захисту від витоку даних (DLP) можуть блокувати витік даних під час перевірки DSI, а пісочниця аналізує корисні навантаження, щоб запобігти запуску шкідливого ПЗ.
5. Архітектура корпоративного рівня
Доступ до даних обсягом у петабайти у великих гібридних мережах з можливістю картографування інфраструктури та автоматизованими робочими процесами.
Короткий зміст статті: Мережева криміналістика в гібридних середовищах
Основний взаємозв’язок: Fidelis Network® → Технологія DSI → Можливість криміналістичного аналізу в гібридних середовищах
Поширені запитання
Чим глибокий аналіз сеансів (DSI) відрізняється від інструментів DPI?
Інструменти DPI аналізують трафік на рівні пакетів і можуть пропускати багатопакетні або зашифровані сеанси. Глибокий аналіз сеансів (DSI) реконструює повні сеанси зв’язку та декодує вкладені протоколи та дані, такі як HTTP через TLS через SMB. Це дозволяє виявити артефакти цифрової криміналістики, такі як файли, команди C2 та корисні навантаження шкідливого ПЗ, які інструменти DPI часто пропускають.
Чи може Fidelis аналізувати зашифрований трафік на різних хмарних платформах?
Так, якщо це дозволяють політики дешифрування. DSI забезпечує глибокий аналіз сеансів, зашифрованих за протоколом TLS, а також аналіз метаданих на хмарних платформах AWS, Azure та GCP за допомогою дзеркалювання трафіку VPC, інтеграції з NSG та дзеркалювання пакетів.
Як Fidelis забезпечує видимість гібридної мережі без використання хмарних агентів?
Вбудовані хмарні інтеграції фіксують трафік за допомогою AWS VPC Traffic Mirroring, груп безпеки мережі Azure, GCP Packet Mirroring, а також SPAN/TAP для локальних і віртуальних датчиків VMware. Створення карти мережі забезпечує єдину систему безпеки гібридної мережі.
Які дані мережевої криміналістики використовуються під час судових розслідувань?
Fidelis Network® надає послуги з реконструкції сеансів, вилучення файлів з метаданими, зіставлення з моделлю MITRE ATT&CK, а також експорту файлів PCAP з позначками часу. Все це складає повні пакети цифрових доказів для розслідувань витоків даних та забезпечення відповідності нормативним вимогам.
Чи може Fidelis масштабуватися для роботи у великих гібридних мережах з IoT/OT?
Розподілені датчики та високопродуктивний доступ до даних сеансів забезпечують обробку кінцевих пристроїв IoT, систем OT, контейнерів та хмарних робочих навантажень у великих гібридних мережах.
Джерело: How Fidelis Network® Delivers Forensic-Level Visibility Across Hybrid Environments
