![Page 1: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/1.jpg)
SIEM-система как основа для выявления компьютерных атак несигнатурными методами
Дорофеев А.В.CISA, CISSP, CISM
![Page 2: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/2.jpg)
2
План
1)Традиционные атаки и сигнатурные методы их обнаружения
2)Современные таргетированные атаки3)SIEM-система: основные принципы работы4)Выявление таргетированной атаки с помощью
SIEM
![Page 3: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/3.jpg)
3
Традиционный взгляд на атаку
![Page 4: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/4.jpg)
4
Сигнатурный метод выявления вторжений
10101011
Срабатывание антивируса, СОВ
![Page 5: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/5.jpg)
5
Современные сетевые атаки
разведка извне (техническая, оперативная)
первоначальная компрометация
укрепление позиций
атакующегоразведка внутри
расширение привилегий и зоны влияния
организация постоянного и
скрытного контроля
сбор информации
скрытая передача
![Page 6: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/6.jpg)
6
Фазы современной атаки (1)
Можно выделить несколько фаз атаки, необязательно идущих последовательно:
Разведка. Сбор информации о целях для осуществления атаки.
Первоначальная компрометация. Например, взлом нескольких рабочих станций организации с помощью вирусов, социальной инженерии и т.п.
Укрепление позиции. Например, установка скрытых средств администрирования на первоначально взломанные системы для комфортного доступа в сеть извне.
![Page 7: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/7.jpg)
7
Фазы современной атаки (2)
Внутренняя разведка. Например, сбор подробной информации об информационных потоках организации, используемых ИТ-решениях.
Расширение привилегий. Например, взлом критичных серверов организации и элементов сетевой инфраструктуры.
Организация постоянного и скрытого контроля. Например, использование скомпрометированных учетных записей администраторов.
Сбор и передача вовне интересующей информации.
![Page 8: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/8.jpg)
8
Технологический уровень современных атак
Традиционная атака Современная таргетированная атака
![Page 9: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/9.jpg)
9
Как обнаруживать современные сетевые атаки?
![Page 10: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/10.jpg)
10
Признаки атак
Аутентификация: как успешная, так и неуспешная Срабатывания
антивирусного ПО
Нетипичное поведениепользователя в ОСПодозрительные
запросы к СУБДи т.д. и т.п.
![Page 11: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/11.jpg)
11
Необходимо осуществлять мониторинг всей инфраструктуры
![Page 12: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/12.jpg)
12
Ручной сбор может быть проблематичным
МЭ
Антивирусы
СОВ/СПВ (IDS/IPS)
СКУД, IAM, МДЗ
DLP
Стационарные АРМ
Мобильные АРМ
Серверы
Виртуальные машины
Коммутаторы, мосты,
маршрутизаторы
Точки доступа
![Page 13: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/13.jpg)
13
Принцип работы SIEM-системы
Фильтрация
Нормализация
Агрегирование
Корреляция
Оповещениеи учёт инцидентов
Ист
очни
ки с
обы
тий
Приоритезация
Аналитика
![Page 14: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/14.jpg)
14
Основные задачи, решаемые SIEM-системой
Системный подход
Мониторинг событий информационной безопасности Анализ событий Консолидация и хранение журналов событий от
разнообразных источников Управление инцидентами Выявление угроз
![Page 15: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/15.jpg)
15
Связь с другими классами систем защиты
Системный подход
Система управления
событиями ИБ
Антивирусное ПО Система
предотвращения утечек данных
Система обнаружения
вторжений
…
![Page 16: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/16.jpg)
16
Источники событий
16
Операционные системы
СУБДСетевое оборудование
СредстваЗащитыИнформации
СистемыУправленияКонтролемДоступа
и многое другое…
![Page 17: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/17.jpg)
17
Полноценное внедрение SIEM-системы
Обследо-вание
Дизайн процессов управления инцидентами
Проектиро-вание системы
Поставка
Инсталляция,настройка и обучение
Опытная эксплуатация и внедрение процессов
![Page 18: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/18.jpg)
18
Демонстрация
DMZ
локальнаясеть
![Page 19: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/19.jpg)
19
1. Злоумышленник сканирует порты
![Page 20: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/20.jpg)
20
2. Злоумышленник подбирает пароль
![Page 21: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/21.jpg)
21
3. Злоумышленник загружает вредоносные веб-приложения
![Page 22: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/22.jpg)
22
4. Злоумышленник узнает пароль для доступа к БД
![Page 23: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/23.jpg)
23
5. Злоумышленник создает туннель для доступа к БД
![Page 24: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/24.jpg)
24
6. Подбор пароля к серверу БД
![Page 25: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/25.jpg)
25
7. SQL-запросы к серверу БД
![Page 26: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/26.jpg)
26
8. Все события зарегистрированы SIEM-системе
![Page 27: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/27.jpg)
27
SIEM - единая точка контроля состояния ИБ
27
![Page 28: SIEM-система как основа для выявления компьютерных атак несигнатурными методами](https://reader033.vdocuments.site/reader033/viewer/2022052606/589ef3111a28abe97f8b6d05/html5/thumbnails/28.jpg)
28
Контактная информация107023, ул. Электрозаводская, д. 24+7(495) 223-23-92+7(495) 645-38-11http://[email protected]