it-task. Дмитрий Ильин. "siem как головной мозг ИБ"
TRANSCRIPT
SIEM как головной мозг системы обеспечения информационной
безопасности
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
#CODEIB
Инфраструктура
Антивирус Межсетевой экран СКУД Целевые системы DLP СЗИ от НСД Средства защиты
виртуализации
Когда Вы проверяли статус?
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Предпосылки возникновения
SIEM
Большое количество сетевых устройств, приложений;
Распределенная инфраструктура; Непонятный исходный формат событий Что происходит в инфраструктуре (отказы,
эпидемии, атаки, несанкционированный доступ)
Почему и откуда блокируются учетные записи
Кто дал полный доступ к базе данных для нового сотрудника
Что с этой информацией делать? Логи нельзя удалить?
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Предпосылки возникновения
SIEM
Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами
Увидеть инцидент в логах не реально. Необходима масса факторов.
Реагировать на каждый чих систем безопасности – неправильно!
А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы.
«а что это за ip в логе и что за vlan»? – отсутствует справочная информация
Стирание/переполнение журнала событий– уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Сосредоточим внимание экспертов на важном
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
Миллионы исходных событий в секундуМиллионы исходных событий в секунду
Тысячи влияющих на ИТ и ИБТысячи влияющих на ИТ и ИБ
Сотни проблемСотни проблем
Десяток «реальных
инцидентов»
Десяток «реальных
инцидентов»
Мы можем сохранять все события так как это может сказаться на расследовании инцидентов (можем отфильтровать по желанию)
Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы)
Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания
Применяемые методы позволяют оператору понимать «о чем это событие»
#CODEIB
Примеры реализации
Сетевые атаки Фрод и мошенничество Откуда и когда блокировались учетные
записи Изменение конфигураций «не админами» Повышение привилегий Выявление несанкционированных
сервисов Обнаружение НСД (вход под учетной
записью уволенного сотрудника) Отсутствие антивирусной защиты на
новом установленном компьютере Изменение критичных конфигураций с
VPN подключений Контроль выполняемых команд на
серверах и сетевом оборудовании Аудит изменений конфигураций (сетевых
устройств, приложений, ОС) Выполнение требований
Законодательства и регуляторов (PCI DSS, СТО БР, ISO 27xx)
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Примеры реализации
1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
Аномальная активность пользователя (массовое удаление/копирование)
Обнаружение вирусной эпидемии
Обнаружение уязвимости по событию об установке софта
Оповещение об активной уязвимости по запуску ранее отключенной службы
Обнаружение распределенных по времени атаках
Влияние отказа в инфраструктуре на бизнес-процессы#CODEIB
Пример №1
1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Пример №2
1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Пример №3
1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
• Доступ к критичным ресурсам в нерабочее время
• Доступ извне к внутренним критичным ресурсам
• Изменение конфигурации сетевого оборудования
• Контроль межзонных соединений (DMZ to Internet, Test zone – Production
• Очистка журналов событий на оборудовании
• Многочисленные попытки соединения с множеством хостов
• Обнаружение траффика на нестандартных портах
Что мы предлагаем?
1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98-2 6E-mail: info@it-task .ru
www.it-task.ru
Основные преимущества: Собственная разработка, не зависящая от санкций и
развития open-source. Полная поддержка русского языка Приведенная к общему формату объектная нормализация Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на
одну ноду). Нет ограничений по количеству событий и источникам Сохранение исходных RAW-событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Real-time и историческая корреляция. Наличие собственных модульных агентов. Разделение нагрузки на несколько серверов или
виртуальных машин. Легкая вертикальная масштабируемость.
#CODEIB
RUSIEM?
Real-time и историческая корреляция с возможностью настройки правил пользователем
Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий
Отсутствие необходимости приобретения дополнительного ПО
Собственный Workflow для инцидент-менеджмента
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB
Источники событий
Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows
Файл в формате Json, txt, csv, txt Windows event log (любой, даже созданный
пользователем журнал) Строки в БД MS SQL (любой) как события Строки в Firebird (используется для СКУД,
DPI систем) как события Tcp input Netflow (любая версия) Java events Nagios events Stream pipe Unix socket S3 stream
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
Веб-сервера Реляционные БД Nosql БД Прокси-сервера Windows Event log Бизнес-приложения Балансеры DLP, DPI Антивирусная защита Активное оборудование СКУД АСУ ТП
WMIStompSqliteZeromqRabbitmqПрочие AMPQKafka ApacheHDFS (файлы)LamberjackJMXHerokuLog4jGelfXmppCollectdSNMP Trap
#CODEIB
Вопросы
ООО «АйТи Таск»
Тел./факс: +7 (495) 972-98-26
Адрес: 105082, Россия, г. Москва ул. Большая Почтовая 55/59с1
E-mail: [email protected]
Web: www.It-task.ru
1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru
www.it-task.ru
#CODEIB