Upload
expolink
View
38
Download
7
Embed Size (px)
Citation preview
SIEM как головной мозг системы
обеспечения информационной
безопасности
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
#CODEIB
Инфраструктура
➢ Антивирус
➢ Межсетевой экран
➢ СКУД
➢ Целевые системы
➢ DLP
➢ СЗИ от НСД
➢ Средства защиты виртуализации
Когда Вы проверяли статус?
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Предпосылки возникновения
SIEM
➢ Большое количество сетевых устройств, приложений;
➢ Распределенная инфраструктура;
➢ Непонятный исходный формат событий
➢ Что происходит в инфраструктуре (отказы, эпидемии, атаки, несанкционированный доступ)
➢ Почему и откуда блокируются учетные записи
➢ Кто дал полный доступ к базе данных для нового сотрудника
➢ Что с этой информацией делать?
➢ Логи нельзя удалить?
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Предпосылки возникновения
SIEM
➢ Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами
➢ Увидеть инцидент в логах не реально. Необходима масса факторов.
➢ Реагировать на каждый чих систем безопасности – неправильно!
➢ А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы.
➢ «а что это за ip в логе и что за vlan»? –отсутствует справочная информация
➢ Стирание/переполнение журнала событий–уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Сосредоточим внимание экспертов на важном
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
Миллионы исходных событий в секунду
Тысячи влияющих на
ИТ и ИБ
Сотни проблем
Десяток «реальных
инцидентов»
➢ Мы можем сохранять все события так как это может сказаться на расследовании инцидентов, собрать доказательную базу
➢ Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы)
➢ Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания
➢ Применяемые методы позволяют оператору понимать «о чем это событие»
➢ Инвентаризация и комплайнс
#CODEIB
Примеры реализации
➢ Сетевые атаки➢ Фрод и мошенничество➢ Откуда и когда блокировались
учетные записи
➢ Изменение конфигураций «не админами»
➢ Повышение привилегий ➢ Выявление несанкционированных
сервисов ➢ Обнаружение НСД (вход под учетной
записью уволенного сотрудника)➢ Финансовые операции➢ Изменение критичных конфигураций
с VPN подключений➢ Контроль выполняемых команд на
серверах и сетевом оборудовании➢ Аудит изменений конфигураций
(сетевых устройств, приложений, ОС)➢ Выполнение требований
Законодательства и регуляторов (PCI DSS, СТО БР, ISO 27xx)
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Примеры реализации105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
➢ Аномальная активность пользователя (массовое удаление/копирование)
➢ Обнаружение вирусной эпидемии
➢ Обнаружение уязвимости по событию об установке софта
➢ Оповещение об активной уязвимости по запуску ранее отключенной службы
➢ Обнаружение распределенных по времени атаках
➢ Влияние отказа в инфраструктуре на бизнес-процессы
#CODEIB
Пример №1105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Есть авторизация на АРМ…
…не зафиксирован проход через СКУД.
ИНЦИДЕНТ?
Пример №2105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Некорректная работа антивирусного ПО
Массовое заражение инфраструктурыВирусная атака
Пример №3105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
• Доступ к критичным ресурсам в нерабочее время
• Доступ извне к внутренним критичным ресурсам
• Изменение конфигурации сетевого оборудования
• Контроль межзонных соединений(DMZ to Internet, Test zone – Production
• Очистка журналов событий на оборудовании
• Многочисленные попытки соединения с множеством хостов
• Обнаружение траффика на нестандартных портах
Что мы предлагаем?105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
Основные преимущества:➢ Собственная разработка, не зависящая от санкций и
развития open-source.➢ Полная поддержка русского языка➢ Приведенная к общему формату объектная
нормализация➢ Встроенная управляемая и редактируемая
корреляция➢ Высокая производительность (Свыше 90000
событий на одну ноду).➢ Нет ограничений по количеству событий и
источникам➢ Сохранение исходных RAW-событий➢ Нет ограничений по размеру архивного хранилища➢ Коннекторы от производителя➢ Real-time и историческая корреляция. ➢ Наличие собственных модульных агентов. ➢ Разделение нагрузки на несколько серверов или
виртуальных машин.➢ Легкая вертикальная масштабируемость.
#CODEIB
RUSIEM?
➢ Real-time и историческая корреляция с возможностью настройки правил пользователем
➢ Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий
➢ Отсутствие необходимости приобретения дополнительного ПО
➢ Собственный Workflow для инцидент-менеджмента
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB
Источники событий
➢ Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows
➢ Файл в формате Json, txt, csv, txt
➢ Windows event log (любой, даже созданный пользователем журнал)
➢ Строки в БД MS SQL (любой) как события
➢ Строки в Firebird (используется для СКУД, DPI систем) как события
➢ Tcp input
➢ Netflow (любая версия)
➢ Java events
➢ Nagios events
➢ Stream pipe
➢ Unix socket
➢ S3 stream
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
➢ Веб-сервера
➢ Реляционные БД
➢ Nosql БД
➢ Прокси-сервера
➢ Windows Event log
➢ Бизнес-приложения
➢ Балансеры
➢ DLP, DPI
➢ Антивирусная защита
➢ Активное оборудование
➢ СКУД
➢ АСУ ТП
➢WMI
➢Stomp
➢Sqlite
➢Zeromq
➢Rabbitmq
➢Прочие AMPQ
➢Kafka Apache
➢HDFS (файлы)
➢Lamberjack
➢JMX
➢Heroku
➢Log4j
➢Gelf
➢Xmpp
➢Collectd
➢SNMP Trap
#CODEIB
Вопросы
ООО «АйТи Таск»
➢ Тел./факс: +7 (495) 972-98-26
➢ Адрес: 105082, Россия, г. Москва
ул. Большая Почтовая 55/59с1
➢ E-mail: [email protected]
➢ Web: www.It-task.ru
105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]
www.it-task.ru
#CODEIB