Переполнение диска и ботнет: как Traffic Inspector Next Generation помог выявить вредоносное ПО в сети компании

277

Современное вредоносное ПО отличается значительным разнообразием. Случается, что оно не наносит явного вреда ИТ-инфраструктуре компании, оставляя лишь косвенные свидетельства своей тайной деятельности. Именно так произошло с одним из наших клиентов, у которого вскоре после ввода в промышленную эксплуатацию универсального шлюза безопасности Traffic Inspector Next Generation диск сервера оказался полностью заполненным. В ходе решения проблемы удалось не только очистить диск, но и выявить причины переполнения и устранить их.

 

Предыстория

Клиент — крупная транспортная компания. В одном из его подразделений на протяжении нескольких лет использовался многофункциональный межсетевой экран Traffic Inspector. После расширения штата появилась потребность не только в управлении трафиком, но и в защите интернет-подключения. В качестве оптимального для компании решения был выбран Traffic Inspector Next Generation. Аргументами в пользу этого варианта кроме функциональности стали позитивный опыт работы с другим продуктом Смарт-Софт и отличные впечатления от взаимодействия со службой поддержки.

Внедрение Traffic Inspector Next Generation проводили постепенно. На начальном этапе был внедрен веб-прокси с журналированием работы пользователей и авторизацией через Active Directory. Далее планировалось задействовать функциональность IPS/IDS и контроль доступа к интернет-ресурсам по белым/черным спискам.

Однако через некоторое время после перехода на Traffic Inspector Next Generation у клиента возникла проблема.

 

Симптомы проблемы

Переход на новое устройство в целом прошел гладко. Пользователи и администраторы были довольны высокой скоростью работы и функциональностью нового шлюза. Но неожиданно шлюз стал работать с задержками. Причиной стало переполнение диска, на котором Traffic Inspector Next Generation вел логи — журналы доступа пользователей к интернет-ресурсам.

Анализ состояния устройства показал, что логи росли очень быстро — за сутки их объем увеличивался на 10 Гб.

Недовольное перебоями в работе руководство клиента предложило откатить все назад и вернуться к использованию Traffic Inspector, с которым не было никаких проблем. Однако служба поддержки Смарт-Софт совместно с ИТ-службой клиента убедили руководство начать с выяснения причин.

 

Почему переполнялся диск

Traffic Inspector Next Generation ведет логи всех пользователей прокси и собирает статистику. Изучение статистики показало, что в сети клиента имеется один чрезвычайно активный пользователь, действия которого в интернете создают в четыре раза больше записей в логах, чем суммарно все остальные пользователи организации.

Отключение пользователя мгновенно решило проблему. Диск больше не переполнялся и работа шлюза была восстановлена.

ИТ-специалисты клиента проверили аномально активную рабочую станцию и обнаружили на ней вредоносное ПО, которое превращало компьютер в часть бот-сети. С помощью таких «зомбированных» компьютеров злоумышленники проводили атаки на отказ в обслуживание (DDoS) и предоставляли услуги нелегальных анонимизирующих прокси-серверов. Этим и объясняется огромное количество запросов к различным интернет-ресурсам, которые генерировала всего одна рабочая станция.

Дальнейшее расследование показало, что причиной заражения стало фишинговое письмо с вредоносным вложением. Когда пользователь открыл вложение, на его компьютер установился клиент бот-сети, вызвавший в итоге проблемы с местом на диске.

 

Выводы из инцидента

Из-за строгих политик безопасности у клиента устранение проблемы заняло больше одного дня. Это время потребовалось для оформления дистанционного доступа службы поддержки Смарт-Софт к устройству Traffic Inspector Next Generation, ручной очистки базы логов прокси через командную строку и установления причин аномального поведения компьютера в сети клиента.

По итогам анализа инцидента было принято решение о доработке функциональности Traffic Inspector Next Generation для ручной и автоматической очистки логов из интерфейса системы, а также добавлении функции выявления аномального поведения отдельных пользователей по нескольким критериям с установкой заданного порога чувствительности.

Несмотря на перебои в работе, возникшие из-за переполнения диска, Traffic Inspector Next Generation показал себя как средство выявления вредоносного ПО, которое работает даже в базовой конфигурации без включения специализированных функций, доступных владельцам продукта.

Клиент отметил высокое качество работы сотрудников службы поддержки Смарт-Софт и выразил благодарность за оперативное выявление и помощь в устранении проблемы.




Traffic Inspector Next Generation


Протестируйте бесплатно

Попробовать




Назад
Далее
Рекомендуем почитать Смотреть все

Как обнаружить и остановить хакерскую атаку

Теги: Traffic Inspector Next Generation, кейс компании, здравоохранение, сертификация ФСТЭК, межсетевой экран, бизнес

Программа тестирования новых версий программных продуктов

Теги: бета-тестирование, Смарт-Софт, Traffic Inspector Next Generation

Сергей Черномашенцев: "Наши дистрибьюторы и интеграторы нас ненавидят"

Теги: Смарт-Софт

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S200
S500
M1000
L1000+
Enterprise
FSTEC
SaaS
Software
Software Light
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
SkyDNS для Traffic Inspector Next Generation
Multifactor для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа