Embed Size (px)
Citation preview
searchinform.ru
Просто о сложном: SIEM для отдела информационной безопасности
Евгений Матюшёнок
Заместитель коммерческого директора SearchInform
Офисы во всех ФО России, а также
в Казахстане, Украине, Беларуси, Польше
Более 1600клиентов в 8 странах мира
10 лет на рынке
DLP, 20 лет в IT
Более
1 000 000 ПК
под контролемКИБ SearchInform
10 уголовных дел
выиграно клиентами против инсайдеров
SEARCHINFORM СЕГОДНЯ
SearchInform Event Manager (SIEM) – система, предназначеннаядля сбора, мониторинга и анализа событий безопасности врежиме реального времени.
SIEM аккумулирует информацию из различных источников,анализирует ее, фиксирует инциденты и оповещает о нихзаинтересованных лиц.
Что такое SIEM?
• Сбор событий из различных систем (сетевое оборудование, программное обеспечение, средства защиты, ОС).
ШАГ 1
• Приведение разнородных данных к общему виду.
ШАГ 2• Анализ данных
и выявление угроз.
ШАГ 3
• Фиксация инцидентов и оповещение в реальном времени.
ШАГ 4
Сложный механизм работы SIEM сводится к алгоритму:
1. Сложность внедрения2. Сложность эксплуатации3. Высокая стоимость владения
Проблемы большинства SIEM
(цена лицензии + цена внедрения + цена периодических настроек)
1. Сбор и анализ требований и запросов ИБ-специалистов.
2. Анализ недостатков современных SIEM.3. Разработка понятной и простой в
эксплуатации SIEM-системы.4. Разработка готовых политик, решающих
конкретные задачи клиентов.
SIEM для ИБ-отдела
Одновременная работа SIEM и DLP многократно повышает уровень информационной безопасности компании.
SIEM выявляет аномальное поведение и определяет способ получения доступа к информации. DLP оценивает содержимое всех коммуникаций.
Связка систем дает возможность максимально полно расследовать преступление и собрать доказательную базу.
Симбиоз DLP и SIEM
Сетевые атаки во внутреннем и внешнем периметрах. Вирусные эпидемии или отдельные вирусные
заражения. Попытки несанкционированного доступа к
конфиденциальной информации. Мошенничество и целевые атаки (APT). Ошибки и сбои в работе информационных систем. Ошибки конфигураций в средствах защиты и
информационных системах.
Какие инциденты выявляет SIEM?
Что контролирует SearchInform Event Manager?
SIEM-система способна анализировать информацию из множества источников.Однако, есть решения, которые используются в подавляющем большинствекомпаний: Active Directory, антивирусы, Proxy, Exchange, бухгалтерскиепрограммы. Их поддержка необходима в первую очередь.
• Обращения к файловым ресурсам.• Контроллеры домена Active Directory.• Антивирусы.• СУБД (MS SQL, Oracle и т.д.).• NetFlow (выявление подозрительной
сетевой активности, DDOS-атак и т.д.).
SIEM контролирует:
• Траффик сетевого оборудования или Proxy.
• Среды виртуализации и терминальные сервера.
• Агенты контроля рабочих станций.• Почтовые сервера Exchange.
Появится до конца 2016 года:
Временное переименование учетной записи. Подбор паролей и устаревшие пароли. Задание пароля администратором домена. Временное включение или добавление
учетной записи. Контроль старых учетных записей AD. Временная выдача прав доступа AD.
Примеры готовых политик для контроллеров домена Active Directory
Одна учетная запись на нескольких ПК Несколько учетных записей на одном ПК. Создание временной учетной записи. Изменение критичных групп пользователей. Использование служебных учетных записей. Очистка журнала событий пользователем. Изменение политики аудита.
Обращение к критичным ресурсам. Временная выдача прав на файл. Временная выдача прав на папку. Большое количество пользователей,
работающих с файлом. Работа с определенными типами файлов.
Примеры готовых политик для обращения к файловым ресурсам
1. ЛЕГКОЕ ВНЕДРЕНИЕ
SIEM не требует долгой предварительнойнастройки. Предустановленные политикиоснованы на перечне типовых задач,которые используют клиенты SearchInformиз России и стран СНГ.
SIEM дает первые аналитическиерезультаты «из коробки» – безпредварительных настроек.
2. ПРОСТОТА ИСПОЛЬЗОВАНИЯ
Сложность эксплуатации большинства SIEM-систем требует привлечения к работе с нимивысококвалифицированных и дорогостоящихспециалистов.
SearchInform Event Manager разработан сучетом этой проблемы: в решение встроеныуниверсальные политики безопасности, аиндивидуальные политики клиенту помогаетнастраивать Отдел внедрения SearchInform.
ПреимуществаSearchInform Event Manager
4. УЧИТЫВАЕТ ОПЫТ ТЫСЯЧ КЛИЕНТОВ
Мы изучили опыт крупнейших клиентов компании, выявили общие потребности и лучшие практики, чтобы использовать их в SearchInform Event Manager.
3. ПОДХОДИТ СРЕДНЕМУ И МАЛОМУ БИЗНЕСУ
От 3 890 до 10 000 ₽ за один ПК. Количество влияет на стоимость: больше лицензий – меньше цена.
У SIEM низкие требования к аппаратно-программным средствам. Решение быстро интегрируется и требует минимальной настройки.
5. СИМБИОЗ SIEM И DLP
Одновременная работа SIEM и DLP «КИБ SearchInform» многократно повышает уровень информационной безопасности компании. SIEM выявляет аномальное поведение и определяет способ получения доступа к информации. КИБ оценивает содержимое всех коммуникаций. Связка систем дает возможность максимально полно расследовать преступление и собрать доказательную базу.
ПреимуществаSearchInform Event Manager
Подбор паролей
SIEM оповестит службу безопасности, если кто-то многократно пытается подбиратьпароли к учетным записям сотрудников на одном или нескольких ПК.
Вход пользователя под служебной учетной записью
При использовании SQL Server создается доменная учетная запись с полным доступом ковсем базам данных. SIEM уведомляет, если при помощи служебных логина и пароля дляSQL Server авторизовался пользователь, поскольку велика вероятность похищенияконфиденциальной информации из этих баз.
Примеры работы SIEM
Несанкционированный доступ к корпоративному почтовому ящикуАдминистратор почтового сервера может перенастроить систему так, чтобы получитьдоступ к почте топ-менеджера или другого работника. SIEM-система своевременноотреагирует на инцидент и оповестит службу ИБ.
Учетные записи AD: разблокировка, переименование, простой пароль
Для похищения данных используются незаблокированные учетные записи уволенныхсотрудников. В зоне риска также работники, которые давно не меняли пароль или передаютего посторонним. Кроме того, администратор может временно переименовать чью-тоучетную запись и предоставить доступ в сеть злоумышленникам.
Корреляция напрямую несвязанных данных
Бывают ситуации, когда внешне безобидные события, полученные из различных источников,в совокупности несут в себе угрозу. Например, когда происходит сброс пароля учетнойзаписи топ-менеджера. В единичном случае это событие не привлечет внимание, но если сэтой учетки в последствии происходит обращение к критичным ресурсам, SIEM-системазафиксирует инцидент.
Примеры работы SIEM
«Мертвые души» в компании
IT-специалисты компании бездействием могут ослабить защиту корпоративной сети. SIEMопределит, если администратор не удаляет учетные записи уволившихся сотрудников.Бывший руководитель использовал логин и пароль, чтобы просматривать коммерческиедокументы на сетевом диске. При очередной авторизации SIEM зафиксировала событие наПК сотрудника и уведомила службу ИБ.
Обнаружение «нестандартных» нарушений
Один из «продвинутых» сотрудников пытался скопировать базу клиентов необычнымспособом. Собственная учетная запись не позволяла ему получить информацию из CRM.Пользователь создал новую учетную запись СУБД и попытался получить информациюпрямиком из базы данных. Одна из политик SIEM контролировала обращение новыхучетных записей к базе и система оперативно уведомила службу ИБ о нарушении.
Примеры работы SIEM
