it-task. Дмитрий Ильин. "siem как головной мозг системы...

SIEM как головной мозг системы

обеспечения информационной

безопасности

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]

#CODEIB

Инфраструктура

➢ Антивирус

➢ Межсетевой экран

➢ СКУД

➢ Целевые системы

➢ DLP

➢ СЗИ от НСД

➢ Средства защиты виртуализации

Когда Вы проверяли статус?


www.it-task.ru

#CODEIB

Предпосылки возникновения

SIEM

➢ Большое количество сетевых устройств, приложений;

➢ Распределенная инфраструктура;

➢ Непонятный исходный формат событий

➢ Что происходит в инфраструктуре (отказы, эпидемии, атаки, несанкционированный доступ)

➢ Почему и откуда блокируются учетные записи

➢ Кто дал полный доступ к базе данных для нового сотрудника

➢ Что с этой информацией делать?

➢ Логи нельзя удалить?


www.it-task.ru

#CODEIB

Предпосылки возникновения

SIEM

➢ Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами

➢ Увидеть инцидент в логах не реально. Необходима масса факторов.

➢ Реагировать на каждый чих систем безопасности – неправильно!

➢ А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы.

➢ «а что это за ip в логе и что за vlan»? –отсутствует справочная информация

➢ Стирание/переполнение журнала событий–уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое


www.it-task.ru

#CODEIB

Сосредоточим внимание экспертов на важном


www.it-task.ru

Миллионы исходных событий в секунду

Тысячи влияющих на

ИТ и ИБ

Сотни проблем

Десяток «реальных

инцидентов»

➢ Мы можем сохранять все события так как это может сказаться на расследовании инцидентов, собрать доказательную базу

➢ Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы)

➢ Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания

➢ Применяемые методы позволяют оператору понимать «о чем это событие»

➢ Инвентаризация и комплайнс

#CODEIB

Примеры реализации

➢ Сетевые атаки➢ Фрод и мошенничество➢ Откуда и когда блокировались

учетные записи

➢ Изменение конфигураций «не админами»

➢ Повышение привилегий ➢ Выявление несанкционированных

сервисов ➢ Обнаружение НСД (вход под учетной

записью уволенного сотрудника)➢ Финансовые операции➢ Изменение критичных конфигураций

с VPN подключений➢ Контроль выполняемых команд на

серверах и сетевом оборудовании➢ Аудит изменений конфигураций

(сетевых устройств, приложений, ОС)➢ Выполнение требований

Законодательства и регуляторов (PCI DSS, СТО БР, ISO 27xx)


www.it-task.ru

#CODEIB

Примеры реализации105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]

www.it-task.ru

➢ Аномальная активность пользователя (массовое удаление/копирование)

➢ Обнаружение вирусной эпидемии

➢ Обнаружение уязвимости по событию об установке софта

➢ Оповещение об активной уязвимости по запуску ранее отключенной службы

➢ Обнаружение распределенных по времени атаках

➢ Влияние отказа в инфраструктуре на бизнес-процессы

#CODEIB

Пример №1105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]

www.it-task.ru

#CODEIB

Есть авторизация на АРМ…

…не зафиксирован проход через СКУД.

ИНЦИДЕНТ?


www.it-task.ru

#CODEIB

Некорректная работа антивирусного ПО

Массовое заражение инфраструктурыВирусная атака


www.it-task.ru

#CODEIB

• Доступ к критичным ресурсам в нерабочее время

• Доступ извне к внутренним критичным ресурсам

• Изменение конфигурации сетевого оборудования

• Контроль межзонных соединений(DMZ to Internet, Test zone – Production

• Очистка журналов событий на оборудовании

• Многочисленные попытки соединения с множеством хостов

• Обнаружение траффика на нестандартных портах

Что мы предлагаем?105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: [email protected]

www.it-task.ru

Основные преимущества:➢ Собственная разработка, не зависящая от санкций и

развития open-source.➢ Полная поддержка русского языка➢ Приведенная к общему формату объектная

нормализация➢ Встроенная управляемая и редактируемая

корреляция➢ Высокая производительность (Свыше 90000

событий на одну ноду).➢ Нет ограничений по количеству событий и

источникам➢ Сохранение исходных RAW-событий➢ Нет ограничений по размеру архивного хранилища➢ Коннекторы от производителя➢ Real-time и историческая корреляция. ➢ Наличие собственных модульных агентов. ➢ Разделение нагрузки на несколько серверов или

виртуальных машин.➢ Легкая вертикальная масштабируемость.

#CODEIB

RUSIEM?

➢ Real-time и историческая корреляция с возможностью настройки правил пользователем

➢ Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий

➢ Отсутствие необходимости приобретения дополнительного ПО

➢ Собственный Workflow для инцидент-менеджмента


www.it-task.ru

#CODEIB

Источники событий

➢ Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows

➢ Файл в формате Json, txt, csv, txt

➢ Windows event log (любой, даже созданный пользователем журнал)

➢ Строки в БД MS SQL (любой) как события

➢ Строки в Firebird (используется для СКУД, DPI систем) как события

➢ Tcp input

➢ Netflow (любая версия)

➢ Java events

➢ Nagios events

➢ Stream pipe

➢ Unix socket

➢ S3 stream


www.it-task.ru

➢ Веб-сервера

➢ Реляционные БД

➢ Nosql БД

➢ Прокси-сервера

➢ Windows Event log

➢ Бизнес-приложения

➢ Балансеры

➢ DLP, DPI

➢ Антивирусная защита

➢ Активное оборудование

➢ СКУД

➢ АСУ ТП

➢WMI

➢Stomp

➢Sqlite

➢Zeromq

➢Rabbitmq

➢Прочие AMPQ

➢Kafka Apache

➢HDFS (файлы)

➢Lamberjack

➢JMX

➢Heroku

➢Log4j

➢Gelf

➢Xmpp

➢Collectd

➢SNMP Trap

#CODEIB

Вопросы

ООО «АйТи Таск»

➢ Тел./факс: +7 (495) 972-98-26

➢ Адрес: 105082, Россия, г. Москва

ул. Большая Почтовая 55/59с1

➢ E-mail: [email protected]

➢ Web: www.It-task.ru


www.it-task.ru

#CODEIB

mailto:[email protected]

it-task. Дмитрий Ильин. "siem как головной мозг системы...

Software