Один из эффективных подходов в построении сетевой безопасности — это сегментирование с учётом назначения и характера трафика в каждой подсети. Чем более однотипен трафик в сегменте, тем легче выстроить его профиль и, соответственно, тем проще обнаружить отклонения. Например, в подсети, предназначенной только для IP-телефонии, допустим исключительно голосовой трафик. Появление HTTP-запросов или передач данных по FTP будет очевидной аномалией, на которую легко среагировать даже простыми средствами мониторинга. Такой подход позволяет уменьшить фоновый “шум”, повысить качество логирования и упростить анализ инцидентов.
Сегмент с “чистым” профилем трафика легче мониторить, и любые отклонения в нём видны как на ладони
Добавить комментарий