Обнаружили это не с помощью антивируса и не с помощью DPI, а через простой анализ сессий по периодичности, размеру и продолжительности.
Ведь нужно взять корпоративные сертификаты, прогнать весь зашифрованный трафик через отдельный модуль, расшифровать его, отправить на анализ, а затем снова зашифровать.
Чаще всего она указывает не на атаку, а на проблемы с производительностью DNS или других сервисов, которые тоже нужно чинить.
Чтобы повысить вероятность обнаружения атакующего, мы в Гарда NDR используем такую комбинацию: сигнатурный анализ, поведенческий анализ и ML-прогнозирование.
Поведенческий анализ смотрит не на то, что передается, а на то, как ведут себя соединения: периодичность, объе…