Кибербезопасность 2.4

Сетевые протоколы и службы Работа аналитиков по кибербезопасности заключается в выявлении и анализе следов событий сетевой безопасности. Эти следы или трассировки представляют собой записи сетевых событий. События, зарегистрированные в файлах журналов с разных устройств, в основном содержат подробные сведения об операциях сетевого протокола. Адреса определяют хосты, подключенные друг к другу в организации или к удаленным хостам в Интернете. Адреса, хранящиеся в файлах журналов, также позволяют определить, какие хосты подключались или пытались подключиться к хостам в организации. Другие следы в виде адресов протоколов позволяют определить, какие действия пытались выполнить эти сетевые подключения и было это поведение обычным, подозрительным или причиняющим вред. И наконец, сетевые трассировки записываются для приложений, которые позволяют получать и использовать информацию из сети. Исследуя все эти трассировки, аналитики по кибербезопасности обнаруживают угрозы для безопасности организаций и их данных. Аналитики по кибербезопасности должны понимать принципы работы сети, в которой передаются обычные данные, чтобы обнаруживать аномальное поведение, вызванное хакерами, вредоносными программами или недобросовестными пользователями сети. Протоколы являются основой сетевого взаимодействия и сетевых сервисов, поддерживающих задачи, которые выполняются посредством сети. В этой главе рассматривается нормальное поведение сетей на примере протоколов из стека протоколов TCP/IP и...