WireSharkやその他の軒先などのアプリケーションが企業ネットワークにドロップするのを監視

EMCOソフトウェアスキャナーなどのソフトウェアを使用してユーザーのPCにインストールされているプログラムを監視できない限り、これを行う方法はありません。

無差別モードではないはずのWifiおよびイーサネットカードをいつでも探すことができます。ソフォスのような優れたAVを展開する場合、すべてのUSBポートとCDドライブをブロックできます。 CMD、Run、そしておそらくC：などの特定のものに特権をロックダウンします。プロキシを展開する場合、不要なWebサイトをフィルタリングしてブラックリストに入れることができるため、ユーザーはそれらにアクセスしてその方法でダウンロードできません。それは発見というよりはむしろ防ぐための答えですが、これが役立つことを願っています。

何らかのタイプのネットワークモニター、ネットワークタップ、pingスイープ、またはその他のトラフィック監視ツールを使用します。

許可されたマシンにインストールされたプログラムを監視できるsys管理ツールがあり、 ネットワークアクセス制御 を使用して、許可されていないデバイスがネットワークにアクセスするのを制限できます。ただし、攻撃者がトラフィックをキャプチャすることは依然として可能です。攻撃者が静かにしようとしている場合、攻撃者はスイッチ、ルーター、VLANに基づくブロードキャスト/ルーティングドメインに制限される可能性があります。ただし、ネットワーク上の戦略的なポイントで、スパンポートにアクセスしたり、 PwnPlug のようなものを使用したりすることは可能です。ただし、より多くのネットワークにアクセスしたい場合は、静かな状態を維持することが難しくなります。

一般に、可能な場合は暗号化を使用して個々の接続を実行すること（TLS/SSLか何かに関係なく）が盗聴を制限するための良い方法ですが、依然として侵害の可能性があります。

最善の行動計画は、複数の保護層を実装することです。これには、ネットワーク上の戦略的なIDS/IPSセンサー、ワークステーションアプリケーションの監視/実行プロセスの監視ツール、ネットワークアクセス制御、物理的なサイトの確認、未使用のポートの無効化などが含まれます。