Защита локальной сети изнутри
Профиль заказчика:
Производственный холдинг, 10 заводов по территории РФ
Используют решения для ИБ:
- Современные NGFW
- Корпоративный антивирус
- Защищенный удаленный доступ с MFA
- Ряд иных средств защиты
- Регулярные пентесты
При этом остаются риски ИБ:
- Пользователь работал на удаленке, а затем принес свой компьютер с вредоносным ПО без сигнатур в сеть.
- Скрытый сбор информации о хостах внутри сегмента сети.
- Пользователь сети стал ее использовать иначе, чем обычно.
- Сложность расследования инсайдерских угроз, как непреднамеренных, так и спланированных.
Итог: риск массированного поражения внутренних хостов за счет незащищенности сети изнутри.
Решение - пилотный проект Cisco Stealthwatch
- Развернута виртуальная машина со Stealthwatch
- Направлен на Stealtwatch поток Netflow из внутренних сегментов главного офиса
- Направлены потоки трафика с филиальных сетей
- Настроены правила легитимного трафика
- Запущен мониторинг остального трафика
Результаты:
- В трафике стали выявляться аномалии работы пользователей
- Нашли хосты не в домене с ненужным ПО
- Выявили один хост с вредоносным ПО