-
Выезд к водной части каньона
Выполнено
-
Барбекю-вечеринка. Царский плов от Рубена Масалова
Выполнено
-
Каменная чаща
Выполнено
-
Катание на катере по Сулакскому каньону
Выполнено
-
Прилёт в Махачкалу
Выполнено
-
Что нам стоит SoC построить (опыт построения собственного центра мониторинга путь ошибок и успехов)
Дмитрий Шарапов, управляющий директор, ДОМ.РФВыполнено
-
Приезд в Хунзах — царство водопадов
Выполнено
-
Обед в ресторане "Нескучный сад Салмановых" и вручение сертификатов о повышении квалификации
Выполнено
-
Кофе-брейк
Выполнено
-
Кофе-брейк
Выполнено
Исследование посвящено решению задачи быстрого учёта ресурсов в обширных корпоративных сетях с адресным диапазоном 10.0.0.0/8 (до 16,7 млн IPv4‑адресов), когда развёртывание специализированного ПО на конечных устройствах невозможно по техническим или организационным причинам.
Анализ показал: стандартные методы безагентного обследования с применением Nmap, предполагающие полный перебор адресов и портов, требуют чрезмерно длительного времени — процесс может растянуться на недели или даже месяцы. Это делает их непригодными для оперативного мониторинга динамически изменяющейся инфраструктуры.
В качестве альтернативы разработана двухэтапная стратегия удалённого сканирования с одного узла, сочетающая скорость и детализацию:
Экспресс‑обследование — ускоренная проверка адресного пространства по наиболее распространённым портам. Используются специальные алгоритмы: адреса перебираются не последовательно, а в псевдослучайном порядке, что позволяет равномерно распределять нагрузку между сегментами сети (VLAN) и избегать пиковых нагрузок на отдельные участки.
Углублённый анализ — целенаправленное изучение устройств и служб, выявленных на первом этапе. Для этого задействуется многозадачный режим Nmap: параллельно выполняются сотни проверок с автоматической корректировкой числа одновременных задач (в зависимости от текущей загрузки процессора и сети) и последующей консолидацией данных.
Практическое тестирование подхода в реальной сетевой среде подтвердило его эффективность: время полного обследования сократилось со стандартных 90 суток до примерно 8 часов (ускорение в 270 раз) без перегрузки инфраструктуры.
При этом выявлены определённые ограничения метода:
риск пропуска активных устройств при слишком агрессивных настройках скорости и коротких таймаутах;
необходимость соблюдения «вежливости» сканирования — контроля интенсивности запросов, чтобы не нарушать работу сервисов и не провоцировать срабатывания систем защиты;
принципиальная ограниченность получаемых сведений по сравнению с агентными решениями (недоступны локальные параметры устройств).
Предложенная стратегия даёт возможность регулярно и оперативно актуализировать сведения о составе и состоянии крупных разнородных сетей с сложной сегментацией, обеспечивая оптимальное соотношение скорости, глубины анализа и влияния на работу инфраструктуры.
Ключевые слова: удалённое обследование сети, масштабные инфраструктуры, 10.0.0.0/8, ускоренное сканирование, комбинированная стратегия, активные замеры, параллельная обработка.
Спикер:
АРТЕМ КУЛИЧКИН
И. о. директора по информационной безопасности дочерних компаний страховой группы
О спикере:
- Эксперт в области информационной безопасности. Руководитель направления ИБ, сертифицированный аудитор с 10-летним опытом работы в ИТ, преподаватель и автор курсов по ИБ.
- Более семи лет занимается защитой значимых объектов критической инфраструктуры.
- Внедрял такие средства защиты как NGFW, IDS, AV, SEG, Sandbox, NAC, EDR, WAF, VPN-Криптошлюз, VM, DLP, EMS, PAM, SIEM, NTA и другие.
- Руководил портфелем проектов с бюджетом более 3 млрд рублей.
- Имеет сертификаты Certified Ethical Hacker (CEH), CNA, CISA.
- Выпускник школы IT менеджмента РАНХиГС, MBA.