Переполнение диска и ботнет: как Traffic Inspector Next Generation помог выявить вредоносное ПО в сети компании

1562

Современное вредоносное ПО отличается значительным разнообразием. Случается, что оно не наносит явного вреда ИТ-инфраструктуре компании, оставляя лишь косвенные свидетельства своей тайной деятельности. Именно так произошло с одним из наших клиентов, у которого вскоре после ввода в промышленную эксплуатацию универсального шлюза безопасности Traffic Inspector Next Generation диск сервера оказался полностью заполненным. В ходе решения проблемы удалось не только очистить диск, но и выявить причины переполнения и устранить их.

 

Предыстория

Клиент — крупная транспортная компания. В одном из его подразделений на протяжении нескольких лет использовался многофункциональный межсетевой экран Traffic Inspector. После расширения штата появилась потребность не только в управлении трафиком, но и в защите интернет-подключения. В качестве оптимального для компании решения был выбран Traffic Inspector Next Generation. Аргументами в пользу этого варианта кроме функциональности стали позитивный опыт работы с другим продуктом Смарт-Софт и отличные впечатления от взаимодействия со службой поддержки.

Внедрение Traffic Inspector Next Generation проводили постепенно. На начальном этапе был внедрен веб-прокси с журналированием работы пользователей и авторизацией через Active Directory. Далее планировалось задействовать функциональность IPS/IDS и контроль доступа к интернет-ресурсам по белым/черным спискам.

Однако через некоторое время после перехода на Traffic Inspector Next Generation у клиента возникла проблема.

 

Симптомы проблемы

Переход на новое устройство в целом прошел гладко. Пользователи и администраторы были довольны высокой скоростью работы и функциональностью нового шлюза. Но неожиданно шлюз стал работать с задержками. Причиной стало переполнение диска, на котором Traffic Inspector Next Generation вел логи — журналы доступа пользователей к интернет-ресурсам.

Анализ состояния устройства показал, что логи росли очень быстро — за сутки их объем увеличивался на 10 Гб.

Недовольное перебоями в работе руководство клиента предложило откатить все назад и вернуться к использованию Traffic Inspector, с которым не было никаких проблем. Однако служба поддержки Смарт-Софт совместно с ИТ-службой клиента убедили руководство начать с выяснения причин.

 

Почему переполнялся диск

Traffic Inspector Next Generation ведет логи всех пользователей прокси и собирает статистику. Изучение статистики показало, что в сети клиента имеется один чрезвычайно активный пользователь, действия которого в интернете создают в четыре раза больше записей в логах, чем суммарно все остальные пользователи организации.

Отключение пользователя мгновенно решило проблему. Диск больше не переполнялся и работа шлюза была восстановлена.

ИТ-специалисты клиента проверили аномально активную рабочую станцию и обнаружили на ней вредоносное ПО, которое превращало компьютер в часть бот-сети. С помощью таких «зомбированных» компьютеров злоумышленники проводили атаки на отказ в обслуживание (DDoS) и предоставляли услуги нелегальных анонимизирующих прокси-серверов. Этим и объясняется огромное количество запросов к различным интернет-ресурсам, которые генерировала всего одна рабочая станция.

Дальнейшее расследование показало, что причиной заражения стало фишинговое письмо с вредоносным вложением. Когда пользователь открыл вложение, на его компьютер установился клиент бот-сети, вызвавший в итоге проблемы с местом на диске.

 

Выводы из инцидента

Из-за строгих политик безопасности у клиента устранение проблемы заняло больше одного дня. Это время потребовалось для оформления дистанционного доступа службы поддержки Смарт-Софт к устройству Traffic Inspector Next Generation, ручной очистки базы логов прокси через командную строку и установления причин аномального поведения компьютера в сети клиента.

По итогам анализа инцидента было принято решение о доработке функциональности Traffic Inspector Next Generation для ручной и автоматической очистки логов из интерфейса системы, а также добавлении функции выявления аномального поведения отдельных пользователей по нескольким критериям с установкой заданного порога чувствительности.

Несмотря на перебои в работе, возникшие из-за переполнения диска, Traffic Inspector Next Generation показал себя как средство выявления вредоносного ПО, которое работает даже в базовой конфигурации без включения специализированных функций, доступных владельцам продукта.

Клиент отметил высокое качество работы сотрудников службы поддержки Смарт-Софт и выразил благодарность за оперативное выявление и помощь в устранении проблемы.




Traffic Inspector Next Generation


Протестируйте бесплатно

Попробовать




Назад
Далее
Рекомендуем почитать Смотреть все

Разработчик ClamAV закрыл для российских пользователей доступ к серверу обновлений

Теги: ClamAV, Kaspersky, Traffic Inspector Next Generation

Типы сетевых атак и способы борьбы с ними

Теги: Кибербезопасность, Сетевые атаки, Информационная безопасность

Многофакторная аутентификация для Traffic Inspector Next Generation

Теги: Multifactor, Многофакторная аутентификация, Traffic Inspector Next Generation

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-NP
S100 FSTEC-NP
S100-UT
S200-UT
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Горизонтальный кластер
FSTEC
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа