Что такое сетевая форензика (network forensics)?

Что такое сетевая форензика (network forensics)?

Давайте разберемся, что такое наука такая «сетевая форензика» (network forensics) и как она появилась?


Первым в истории человечества направлением научного расследования преступлений стала судебная медицина, которая уже в XIII веке преподавалась в Болонском университете как самостоятельная дисциплина. А в начале XIX столетия внедрение в «разыскные» мероприятия химических и физических методов привело к созданию и бурному развитию целой юридической «отрасли» - криминалистики, включающей множество направлений, основанных на различных технических средствах.

В конце XX века с появлением на предприятиях, в коммерческих и финансовых учреждениях, торговых организациях и квартирах жителей всех стран мира нового массового продукта – персонального компьютера – зародилась и стала быстро расти цифровая или компьютерная преступность. Этот процесс привел к возникновению очередного направления «сыска» - компьютерной криминалистики, которая параллельно с совершенствованием информационных технологий «обзаводилась» все новыми и новыми узкоспециализированными направлениями.

Они есть в правоохранительных органах и в фирмах, предоставляющих услуги в сфере ИБ, но не будешь же по каждому поводу вызывать «компьютерных следователей», да и что с того, что спецы найдут причину утечек данных и финансов, ведь украденная информация находится неизвестно где. Службы же информационной безопасности компаний обнаруживают проникновения в корпоративные сети чаще всего постфактум. И максимум что они могут сделать – это «залатать дыру» в сети, но гарантировать, что в следующий раз хакеры не найдут другую лазейку, не сможет никто.



Выход из этой, как кажется, «безвыходной» ситуации все-таки найден: он заключается в применении автоматизированной системы непрерывного мониторинга и записи всего происходящего во всех компонентах корпоративной сети, которая использует аналитику Big Data. Автоматизированные системы расследований инцидентов в сетях в режиме реального времени постепенно завоевывают ведущие позиции в обеспечении информационной безопасности крупных мировых компаний. Системы так называемой «сетевой форензики» (network forensics) недавно стали разрабатываться и в России. Последний пример такой разработки – система «Гарда Монитор» нижегородской компании «МФИ Софт», предоставляющая возможность сокращения времени расследования инцидентов безопасности, на которые ранее уходили дни и даже недели, до нескольких минут.

См. также:


Комментарии