Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
SIEM как головной мозг системы
обеспечения информационной
безопасности
105082, Россия, г. Москва
ул. Большая Почтовая, 55/...
Инфраструктура
➢ Антивирус
➢ Межсетевой экран
➢ СКУД
➢ Целевые системы
➢ DLP
➢ СЗИ от НСД
➢ Средства защиты
виртуализации
...
Предпосылки возникновения
SIEM
➢ Большое количество сетевых устройств,
приложений;
➢ Распределенная инфраструктура;
➢ Непо...
Предпосылки возникновения
SIEM
➢ Не будем смотреть логи – об инцидентах
узнаем из газет или от прибежавших
сотрудников с б...
Сосредоточим внимание
экспертов на важном
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98...
Примеры реализации
➢ Сетевые атаки
➢ Фрод и мошенничество
➢ Откуда и когда блокировались
учетные записи
➢ Изменение конфиг...
Примеры реализации
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-tas...
Пример №1
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www....
Пример №2
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www....
Пример №3
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www....
Что мы предлагаем?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-tas...
RUSIEM?
➢ Real-time и историческая корреляция
с возможностью настройки правил
пользователем
➢ Сбор информации с Windows, M...
Источники событий
➢ Syslog UDP/TCP с любых источников
*nix/BSD/cisco/juniper/windows
➢ Файл в формате Json, txt, csv, txt
...
Вопросы
ООО «АйТи Таск»
➢ Тел./факс: +7 (495) 972-98-26
➢ Адрес: 105082, Россия, г. Москва
ул. Большая Почтовая 55/59с1
➢ ...
Próxima SlideShare
Cargando en…5
×

IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информационной безопасности"

197 visualizaciones

Publicado el

Конференция "Код ИБ 2017". Краснодар

Publicado en: Software
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информационной безопасности"

  1. 1. SIEM как головной мозг системы обеспечения информационной безопасности 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru #CODEIB
  2. 2. Инфраструктура ➢ Антивирус ➢ Межсетевой экран ➢ СКУД ➢ Целевые системы ➢ DLP ➢ СЗИ от НСД ➢ Средства защиты виртуализации Когда Вы проверяли статус? 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  3. 3. Предпосылки возникновения SIEM ➢ Большое количество сетевых устройств, приложений; ➢ Распределенная инфраструктура; ➢ Непонятный исходный формат событий ➢ Что происходит в инфраструктуре (отказы, эпидемии, атаки, несанкционированный доступ) ➢ Почему и откуда блокируются учетные записи ➢ Кто дал полный доступ к базе данных для нового сотрудника ➢ Что с этой информацией делать? ➢ Логи нельзя удалить? 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  4. 4. Предпосылки возникновения SIEM ➢ Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами ➢ Увидеть инцидент в логах не реально. Необходима масса факторов. ➢ Реагировать на каждый чих систем безопасности – неправильно! ➢ А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы. ➢ «а что это за ip в логе и что за vlan»? – отсутствует справочная информация ➢ Стирание/переполнение журнала событий– уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  5. 5. Сосредоточим внимание экспертов на важном 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru Миллионы исходных событий в секунду Тысячи влияющих на ИТ и ИБ Сотни проблем Десяток «реальных инцидентов» ➢ Мы можем сохранять все события так как это может сказаться на расследовании инцидентов, собрать доказательную базу ➢ Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы) ➢ Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания ➢ Применяемые методы позволяют оператору понимать «о чем это событие» ➢ Инвентаризация и комплайнс #CODEIB
  6. 6. Примеры реализации ➢ Сетевые атаки ➢ Фрод и мошенничество ➢ Откуда и когда блокировались учетные записи ➢ Изменение конфигураций «не админами» ➢ Повышение привилегий ➢ Выявление несанкционированных сервисов ➢ Обнаружение НСД (вход под учетной записью уволенного сотрудника) ➢ Финансовые операции ➢ Изменение критичных конфигураций с VPN подключений ➢ Контроль выполняемых команд на серверах и сетевом оборудовании ➢ Аудит изменений конфигураций (сетевых устройств, приложений, ОС) ➢ Выполнение требований Законодательства и регуляторов (PCI DSS, СТО БР, ISO 27xx) 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  7. 7. Примеры реализации 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru ➢ Аномальная активность пользователя (массовое удаление/копирование) ➢ Обнаружение вирусной эпидемии ➢ Обнаружение уязвимости по событию об установке софта ➢ Оповещение об активной уязвимости по запуску ранее отключенной службы ➢ Обнаружение распределенных по времени атаках ➢ Влияние отказа в инфраструктуре на бизнес-процессы #CODEIB
  8. 8. Пример №1 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB Есть авторизация на АРМ… …не зафиксирован проход через СКУД. ИНЦИДЕНТ?
  9. 9. Пример №2 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB Некорректная работа антивирусного ПО Массовое заражение инфраструктурыВирусная атака
  10. 10. Пример №3 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB • Доступ к критичным ресурсам в нерабочее время • Доступ извне к внутренним критичным ресурсам • Изменение конфигурации сетевого оборудования • Контроль межзонных соединений (DMZ to Internet, Test zone – Production • Очистка журналов событий на оборудовании • Многочисленные попытки соединения с множеством хостов • Обнаружение траффика на нестандартных портах
  11. 11. Что мы предлагаем? 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru Основные преимущества: ➢ Собственная разработка, не зависящая от санкций и развития open-source. ➢ Полная поддержка русского языка ➢ Приведенная к общему формату объектная нормализация ➢ Встроенная управляемая и редактируемая корреляция ➢ Высокая производительность (Свыше 90000 событий на одну ноду). ➢ Нет ограничений по количеству событий и источникам ➢ Сохранение исходных RAW-событий ➢ Нет ограничений по размеру архивного хранилища ➢ Коннекторы от производителя ➢ Real-time и историческая корреляция. ➢ Наличие собственных модульных агентов. ➢ Разделение нагрузки на несколько серверов или виртуальных машин. ➢ Легкая вертикальная масштабируемость. #CODEIB
  12. 12. RUSIEM? ➢ Real-time и историческая корреляция с возможностью настройки правил пользователем ➢ Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий ➢ Отсутствие необходимости приобретения дополнительного ПО ➢ Собственный Workflow для инцидент- менеджмента 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  13. 13. Источники событий ➢ Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows ➢ Файл в формате Json, txt, csv, txt ➢ Windows event log (любой, даже созданный пользователем журнал) ➢ Строки в БД MS SQL (любой) как события ➢ Строки в Firebird (используется для СКУД, DPI систем) как события ➢ Tcp input ➢ Netflow (любая версия) ➢ Java events ➢ Nagios events ➢ Stream pipe ➢ Unix socket ➢ S3 stream 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru ➢ Веб-сервера ➢ Реляционные БД ➢ Nosql БД ➢ Прокси-сервера ➢ Windows Event log ➢ Бизнес-приложения ➢ Балансеры ➢ DLP, DPI ➢ Антивирусная защита ➢ Активное оборудование ➢ СКУД ➢ АСУ ТП ➢WMI ➢Stomp ➢Sqlite ➢Zeromq ➢Rabbitmq ➢Прочие AMPQ ➢Kafka Apache ➢HDFS (файлы) ➢Lamberjack ➢JMX ➢Heroku ➢Log4j ➢Gelf ➢Xmpp ➢Collectd ➢SNMP Trap #CODEIB
  14. 14. Вопросы ООО «АйТи Таск» ➢ Тел./факс: +7 (495) 972-98-26 ➢ Адрес: 105082, Россия, г. Москва ул. Большая Почтовая 55/59с1 ➢ E-mail: info@it-task.ru ➢ Web: www.It-task.ru 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB

×