Подозрительный трафик в сети - к сожалению не абстрактная угроза, а реальная практика, все чаще встречающаяся и среди наших клиентов! Компания "Т-софт" не оставляет без внимания учащающиеся случаи несанкционированного доступа к сетям операторов связи, их партнеров и абонентов, а также взломов корпоративных IP-PBX/ PBX и другого оборудования. Используя свои многолетние наработки в области биллинга, мы предлагает свое собственное решение - "Систему выявления аномального трафика" (СВАТ или STDS - Suspect Traffic Detection System). Часто подобные системы еще называют антифрод-системами. Как минимум, эти системы позволяют значительно снизить ряд рисков и угроз, в т.ч. распознать аномальный трафик.
Tarmoqdagi shubhali trafik, afsuski, mavhum tahdid emas, balki haqiqiy amaliyot bo'lib, u mijozlarimiz orasida tobora keng tarqalgan! T-soft kompaniyasi telekommunikatsiya operatorlari, ularning sheriklari va abonentlari tarmoqlariga ruxsatsiz kirish, korporativ IP-PBX / ATS va boshqa uskunalarni buzish hollari ko'payib borayotganini inobatga olmaydi. Hisob -kitob sohasidagi ko'p yillik tajribamizdan foydalanib, biz o'z yechimimizni taklif qilamiz - "Anormal trafikni aniqlash tizimi" (SVAT yoki STDS - shubhali trafikni aniqlash tizimi). Bunday tizimlar ko'pincha firibgarlikka qarshi tizimlar deb ataladi. Hech bo'lmaganda, bu tizimlar bir qator xavf va tahdidlarni sezilarli darajada kamaytirishi mumkin. g'ayritabiiy trafikni aniqlash.
На наш взгляд аппаратные и софтверные решения, в которых используются протоколы технологии VoIP, подвергаются атакам злоумышленников особенно часто. Этому способствуют и применение операторами связи стандартных решений, типовых, а зачастую и упрощенных настроек и открытых кодов ПО, несоблюдение зачастую даже простых норм и мер безопасности.
Аномальный трафик выявляется чаще всего несвоевременно, особенно у операторов использующих Off-Line биллинговую систему и проводящих биллинговую компанию в конце отчетного периода. В ручном режиме своевременно выявить угрозу возможно, но только в принципе. Без использования сложных и нередко дорогостоящих аппаратно-программных комплексов выявить подозрительный трафик практически невозможно.
Bizning fikrimizcha, VoIP texnologiyalaridan foydalanadigan apparat va dasturiy echimlar, ayniqsa, kiber jinoyatchilar tomonidan tez -tez hujumga uchraydi. Bunga, shuningdek, aloqa operatorlari tomonidan standart echimlardan foydalanish, odatiy va tez-tez soddalashtirilgan sozlamalar va ochiq dasturiy ta'minot kodlari va ko'pincha oddiy standartlar va xavfsizlik choralariga rioya qilmaslik ham yordam beradi. G'ayritabiiy trafik ko'pincha o'z vaqtida aniqlanmaydi, ayniqsa, hisob-kitob davri oxirida Off-Line billing tizimidan foydalanadigan va billing kompaniyasini boshqaradigan operatorlar orasida. Qo'l rejimida tahdidni o'z vaqtida aniqlash mumkin, lekin faqat printsipial. Murakkab va ko'pincha qimmat apparat va dasturiy tizimlardan foydalanmasdan shubhali trafikni aniqlash deyarli mumkin emas.
Впервые в практике «T-soft» решение по выявлению отклонений в трафике было разработано и реализовано по заказу одной из самых известных телекоммуникационных компаний Российской Федерации. СВАТ предназначен для автоматического контроля трафика и его стоимости в режиме реального времени. На основе сложного уникального алгоритма обработки практически любого вида трафика и его последующего анализа с высочайшей скоростью по произвольным (настраиваемым) выборкам обработанных ранее в АСР логов (CDR), СВАТ может анализировать и оповещать обслуживающий персонал об опасных отклонениях. Именно персонал оператора должен принять окончательное решение, подозрительный это или же аномальный трафик?
T-soft amaliyotida birinchi marta Rossiya Federatsiyasining eng mashhur telekommunikatsiya kompaniyalaridan birining buyurtmasi bo'yicha trafikdagi burilishlarni aniqlash uchun yechim ishlab chiqildi va amalga oshirildi. SVAT trafikni va uning narxini real vaqtda avtomatik boshqarish uchun mo'ljallangan. Deyarli har qanday turdagi trafikni qayta ishlashning murakkab yagona algoritmiga asoslanib, avval ACP (CDR) da qayta ishlangan jurnallarning o'zboshimchalik bilan (moslashtiriladigan) namunalari yordamida yuqori tezlikda tahlil qilinadi, SVAT xizmat xodimlarini xavfli burilishlar to'g'risida tahlil qilishi va xabardor qilishi mumkin. Yakuniy qarorni operator xodimlari qabul qilishi kerak, bu shubhali yoki g'ayritabiiy trafikmi?
Подозрительный трафик может быть инициирован по самым разным причинам, причем не только злоумышленниками извне, но и собственным персоналом или отказом оборудования, или его неверными настройками. К сожалению, в последнее время участились случаи взлома со стороны легально зарегистрированных клиентов (юридических и даже физических лиц). Для многих систем защиты основные параметры такого клиента (абонента) являются легитимными, что усложняет методы борьбы с ними. Из-за грубых ошибок персонала оператора, чаще не преднамеренных, например, при выборе и/или настройках тарифных планов), в системе так же может появиться аномальный трафик.
Подозрительный трафик вызывает реакцию СВАТ - на указанные в системе адреса E-mail и/или телефонов отправляются E-MAIL и/или SMS уведомления. Возможна отправка SMS уведомлений через автономный GSM-терминал (модем) и с помощью стандартных платных SMS-сервисов.
Аномальный трафик, зафиксированный СВАТ, может быть прерван отключением соответствующих абонентов (EXT/PIN-кодов/направлений и т.п.) по согласованному алгоритму. Реализация таких функций возможна для большинства SoftSwitch-решений и для некоторых типов PBX (Avaya и ряд др.). Пример практической реализации такой системы представлен на Рисунке 1.
Shubhali trafikni turli sabablarga ko'ra boshlash mumkin, va nafaqat tashqaridan hujum qilganlar, balki sizning shaxsiy xodimlaringiz yoki uskunangizning ishlamay qolishi yoki uning noto'g'ri sozlanishi. Afsuski, oxirgi paytlarda, qonuniy ro'yxatdan o'tgan mijozlar (yuridik va hatto jismoniy shaxslar) tomonidan xakerlik holatlari tez -tez sodir bo'la boshladi. Ko'plab xavfsizlik tizimlari uchun bunday mijozning (abonentning) asosiy parametrlari qonuniydir, bu esa ular bilan ishlash usullarini murakkablashtiradi. Operator xodimlarining qo'pol xatolaridan, ko'pincha qasddan, masalan, tarif rejalarini tanlashda va / yoki sozlashda) tizimda g'ayritabiiy trafik paydo bo'lishi mumkin. Shubhali trafik SVAT reaktsiyasini keltirib chiqaradi-E-MAIL va / yoki SMS-xabarnomalar tizimda ko'rsatilgan elektron pochta va / yoki telefon manzillariga yuboriladi. SMS xabarnomalarni avtonom GSM terminali (modem) orqali va standart pulli SMS xizmatlaridan foydalangan holda yuborish mumkin. SVAT tomonidan aniqlangan g'ayritabiiy trafik, kelishilgan algoritmga muvofiq, tegishli abonentlarni (EXT / PIN-kodlar / yo'nalishlar va h.k.) uzib qo'yish orqali to'xtatilishi mumkin. Bunday funktsiyalarni amalga oshirish ko'pgina SoftSwitch echimlari uchun va ba'zi ATS turlari uchun (Avaya va boshqalar) mumkin. Bunday tizimni amalda tatbiq etishga misol 1 -rasmda ko'rsatilgan.