合法的拦截
IT安全解决方案
挑战:如何提供经过认证的取证抓包数据?
合法拦截(LI)是指政府执法机构(LEA)被授予合法手段,依据合法权限获取通信网络数据,以进行分析或取证的情况。
挑战出现如何提供认证取证抓包数据。为了确保证据的质量,该机构必须遵守明确的规定,在不丢失任何信息或对被监控网络造成影响的情况下,提供对所有数据的清晰访问,同时遵守授权参数,包括时间跨度、通信类型和许多其他参数。
在这些情况下,利用SPAN的网络数据包捕获设备将无法在法庭上站得住口,原因如下:
•由于跨端口超额订阅,监视工具可能会丢失丢失的数据包
•不会传递损坏的数据包或错误(坏数据包)并被丢弃吗
•SPAN可以改变帧交互的时间,改变响应时间
•读取的时间戳是不同的,但是数据包的内容是相同的
•使用多个vlan是否可以复制报文
解决方案
回顾取证
对于内联部署,Garland的EdgeLens内联安全包代理不仅提供了旁路恢复功能,还提供了额外的用例,如“回顾取证”,它提供了可见的带外包捕获、存储和分析工具,用于检查来自内联IPS、防火墙和WAFs工具的流量。如果主动拦截未能阻止威胁,您可以使用流量存储来进行入侵取证。
•100%全双工包捕获,无损失,全线率
•提供简单的IPS/NGFW PCAP数据产生的事件关联
•促进安全事件响应的时间紧迫的工作流程。
•启用天数/周/月的取证时间表
•提取的PCAP数据可作为“监护链”在法庭上提供证据