Analiza powłamaniowa
Analiza powłamaniowa stała się w świecie informatyki nieodłączną usługą bezpieczeństwa XXI wieku. Wzrost ataków cyberprzestępczych nasilił się w ostatnich czasach tak bardzo, że firmy coraz częściej zatrudniają zewnętrznych ekspertów do przeprowadzania analiz po takim zdarzeniu.
Dobra analiza po włamaniowa nie zatrzymuje się jednak na zbadaniu logów systemowych maszyn, na które się włamano czy też ruchu sieciowego generowanego przez router. Aby mieć pełny obraz całego ataku należy przeprowadzić analizy jak największej ilości danych – im więcej informacji, tym analiza jest bardziej szczegółowa. Jednak do przeprowadzenia profesjonalnych analiz nie wystarczy jeden specjalista, dlatego tego typu analizy nie należą do najtańszych. W tym celu aby zminimalizować koszty oraz maksymalnie skrócić czas powstał automatyczny system do analiz powłamaniowych.
System posiada wiele wbudowanych funkcji umożliwiających przeprowadzanie zaawansowanych i automatycznych badań umożliwiających skuteczne określenie źródła i skutku ataku.
Mamy możliwość zarówno analizy plików ruchu sieciowego – zebranego dowolnym oprogramowaniem (np. tcpdump, wireshark) jak i analizy logów systemowych z wielu urządzeń sieciowych (serwery Windows, Linux, switche CISCO, routery IBM itp.)Moduł do analizy logów systemowych wyposażony jest w silnik korelacji wszelkich niekompatybilnych ze sobą struktur.
Oznacza to, że analityk prowadząc badania może jednocześnie wczytać logi z różnych urządzeń – różnych producentów i w rezultacie uzyska jeden duży log przestringowany i skorelowany. Wyszukiwanie informacji w logach systemowych jest proste i przejrzyste dzięki graficznej konsoli. System posiada kilkadziesiąt różnego rodzaju graficznych raportów, za pomocą których można przedstawić wyniki swojej analizy.
Dodatkowo w systemie można tworzyć gotowe formatki, za pomocą których w szybki sposób można wyszukiwać anomalie w logach systemowych (np. próba nieautoryzowanego dostęp do serwera Linux, atak DoS, błędy w bazie danych SQL itp.). System w chwili wdrożenia jest także wyposażony w gotowe mechanizmy analizy logów i wyszukiwania w nich anomalii – alarmując analityka od razu w chwili wczytywania plików *.log.
