Подскажите в таком вопросе.
Существует ЛВС. Некоторые компьютеры стационарные (установлено антивирусное ПО), но множество приносимых сотрудниками из дому (часто без антивирусного ПО или не в актуальном состоянии).
Каким образом можно обнаружить вредоносное ПО в сети (вирусы, malware, spyware, трояны, APT) неким централизированным способом?
Например, установка сетевого сенсора, который будет получать копию всего трафика. Есть желание реализовать это прозрачно для пользователей, но в то же время осуществить эффективной мониторинг вредоносной активности. Рассматриваются как варианты opensource, так и платные.
Saboteur
@saboteur_kiev Куратор тега Компьютерные сети
software engineer
Никак.
В корпоративных антивирусах кроме файлового антивируса есть модули для защиты от различных уязвимостей, и к этому может идти централизованный менеджер, на котором можно видеть статистику. Следовательно вы можете заметить, что на компы что-то начала лезть какая-то зараза, и попробовать вычислить что это кто-то пришел и распространяет.
С другой стороны подобные проблемы обычно вызывают компьютерные черви, то есть вирусы и malware, которое пытается использовать уязвимость в ОС. Последняя вспышка такого я припомню в районе Win XP service pack 2, с тех пор такие способы уже маловероятны и гораздо чаще встречается социальная уязвимость в виде скачивания и запуска непонятных программ со словами "это не я!"
Траффик вам ничего не даст, например потому что https. Более того, троян может спокойно ждать нужных событий, типа открытия страницы банка в браузере и никак в траффике не светиться.
я в своё время решал эту задачу так: собрал производительный сервер с большим количеством сетевых интерфейсов (кажется их было восемь). На сервер вкорячил snort и настроил на него зеркалирование (RSPAN) практически всего трафика в сети. Естественно потери были огромными, но для решения нашей задачи это не важно. Если какая-то тварь в сети есть - её будет заметно. Дальше надо было долго и нудно тюнить/писать сигнатуры, но меня переключили на другой проект, а человек которму отдали снорт вместо меня - до ума его не довел. Но в целом я считаю, что это рабочая схема.
Посмотрите Cisco ASA с FirePower - очень про нее красиво рассказывают.
из бесплатных (в смысле денег) можете посмотреть на Snort или Суриката - но там большой подводный камень. Надо немало поработать головой и руками, чтобы и ловило, и не было много false-positive.
вообще задача комплексная. Я бы еще посоветовал посмотреть на NAC - позволит разделить компьютеры по уровню доверия, и совсем "мусорные" хотя бы выделить в отдельную подсеть.