Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Новый подход к выявлению инцидентов ИБ

1.776 visualizaciones

Publicado el

Периметр 87% корпоративных локальных вычислительных сетей не останавливают проникновение.
61% корпоративных информационных систем может взломать неквалифицированный хакер.
Взлом ЛВС компании занимает 3-5 дней.
Действия пентестеров обнаруживаются только в 2% тестов на проникновение.
Ни разу пентестерам не оказывалось организованное противодействие.

Publicado en: Datos y análisis
  • Sé el primero en comentar

Новый подход к выявлению инцидентов ИБ

  1. 1. MaxPatrolSIEM Новый подход к выявлению инцидентов ИБ Positive Technologies Владимир Бенгин
  2. 2. Российская компания мирового уровня Boston, USA London, UK Moscow, Russia Rome, Italy Tunis, Tunisia Dubai, UAE Seoul, Korea Mumbai, India  Основана в 2002 году  400 Сотрудников  1,000+ клиентов #1 из наиболее развивающихся компании по анализу уязвимостей и управлению ИБ по версии San Paolo, Brazil 1 ptsecurity.com
  3. 3. Исследовательский центр Positive 2 ptsecurity.com  Одна из самых больших научно-исследовательских лабораторий по безопасности в Европе  100+ обнаружений 0-day уязвимостей в год  150+ обнаружений 0-day уязвимостей в SCADA  30+ обнаружений 0-day уязвимостей в Telco  Наши знания используют ключевые промышленные центры
  4. 4. Безопасность в цифрах 3 • Периметр 87% корпоративных локальных вычислительных сетей не останавливают проникновение • 61% корпоративных информационных систем может взломать неквалифицированный хакер • Взлом ЛВС компании занимает 3-5 дней • Действия пентестеров обнаруживаются только в 2% тестов на проникновение • Ни разу пентестерам не оказывалось организованное противодействие ptsecurity.com
  5. 5. ptsecurity.com 4 Проблематика Много разнородных источников Ограниченная интегрируемость Нехватка кадров или квалификации Сложность внедрения и масштабирования 1 3 4 5 Низкий уровень автоматизации 2
  6. 6. Платформа MaxPatrol 10 ptsecurity.com 5 MaxPatrol Vulnerability Management MaxPatrol Policy Compliance MaxPatrol Network Forensic MaxPatrol Anti APT MaxPatrol Attack Evaluation MaxPatrol Threat Management
  7. 7. Обнаружение источников и сбор событий ptsecurity.com Реальная автоматизация 6 Агрегация и приоритезация Формирование инцидентов при обнаружении критически важных событий Формирование правил корреляции на основе модели активов Мониторинг системы
  8. 8. Методы сбора данных ptsecurity.com 7 MaxPatrol SIEM Анализ событий от источников Активное сканирование в режиме черного и белого ящика Мониторинг низкоуровневой активности источников Анализ сетевого трафика Сбор информации о конфигурации Автоматическое обнаружение новых активов
  9. 9. ptsecurity.com 8 Расширение контекста Выходные данныеВходные данные Данные об активах Сетевая активность События безопасности Уязвимости и данные конфигурации Инциденты ИБ Контроль изменений конфигурации Конфигурация и карта сети Модель актива Контекстные метрики Низкоуровневые события Выявление слабых мест
  10. 10. ptsecurity.com 9 Инвентаризация Инвентаризация сети в автоматизированном режиме Структурирование в соответствии с территориальной, организационной и функциональной структурой
  11. 11. ptsecurity.com Приоритезация 10 • Определение метрик CVSS для активов • Требования к доступности, плотность целей, вероятность нанесения косвенного ущерба, требования к конфиденциальности, требования к целостности • Оценка критичности события по метрикам объектов • Автоматическое создание инцидентов с учетом приоритезации
  12. 12. ptsecurity.com Карта сети для ИТ и ИБ 11 Визуализация состава сети Построение схемы сети уровней L2, L3 Отображение текущей активности и изменений • Инвентаризация активов • Управление сетью, определение доступности • Поиск и устранение проблем • Контроль изменений • Управление уязвимостями, построение карты сети и векторов атак • Контроль соответствия требованиям стандартов и политик ИБ • Мониторинг оборудования, каналов связи
  13. 13. ptsecurity.com 12 Сбор событий • Весь спектр транспортов удаленного сбора событий - SysLog, NetFlow, SNMP, WMI, RPC, SSH, Telnet, ODBC, etc • Детально настраиваемый сбор событий • Сбор событий запуска и завершения процессов ОС, изменения реестра, открытия сетевых портов, а также событий установки и завершения TCP- соединений, отправки TCP/UDP-данных • Сбор событий с сетевого трафика
  14. 14. ptsecurity.com 13 Корреляция • Гибкая конструктор правил корреляции • Корреляция на основании данных о конфигурации актива, сетевой топологии, связности активов • Многоуровневая корреляция • Предустановленные правила корреляции • Распределенная корреляция • Восстановление цепочки событий после сбоя
  15. 15. ptsecurity.com 14 Инциденты • Автоматическое создание инцидентов • Оповещение об инцидентах ИБ различными способами • Гибкие инструменты ролевого разграничения прав и механизмы workflow • Лучшее реагирование – предотвращение
  16. 16. ptsecurity.com Отчетность 15
  17. 17. ptsecurity.com Гибкость и масштабирование 16 • Масштабирование с учетом инфраструктуры клиента • Оптимизация передачи данных по слабым каналам • Увеличение производительности и объемов хранимых данных без дополнительных лицензий • Удобство развертывания компонентов • Встроенные механизмы диагностики • Программы обучения персонала • Оперативная техническая поддержка • Возможность доработки производителем
  18. 18. ptsecurity.com MaxPatrol SIEM – основа Центра Информационной Безопасности 17 1 3 ПРЕДОТВРАЩЕНИЕ АТАК Система инвентаризации и контроля защищенности Система выявления аномалий сетевого трафика Система контроля выполнения требований ИБ РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ Система сбора доказательств Система выявления скомпрометированных узлов Система визуализации, отчетности и KPI 2 РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ Система анализа угроз и построения векторов атак Система сбора событий ИБ и управления инцидентами Система реагирования на атаки на Web ресурсы

×