Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Новый подход к выявлению инцидентов ИБ

1,640 views

Published on

Периметр 87% корпоративных локальных вычислительных сетей не останавливают проникновение.
61% корпоративных информационных систем может взломать неквалифицированный хакер.
Взлом ЛВС компании занимает 3-5 дней.
Действия пентестеров обнаруживаются только в 2% тестов на проникновение.
Ни разу пентестерам не оказывалось организованное противодействие.

Published in: Data & Analytics
  • Be the first to comment

Новый подход к выявлению инцидентов ИБ

  1. 1. MaxPatrolSIEM Новый подход к выявлению инцидентов ИБ Positive Technologies Владимир Бенгин
  2. 2. Российская компания мирового уровня Boston, USA London, UK Moscow, Russia Rome, Italy Tunis, Tunisia Dubai, UAE Seoul, Korea Mumbai, India  Основана в 2002 году  400 Сотрудников  1,000+ клиентов #1 из наиболее развивающихся компании по анализу уязвимостей и управлению ИБ по версии San Paolo, Brazil 1 ptsecurity.com
  3. 3. Исследовательский центр Positive 2 ptsecurity.com  Одна из самых больших научно-исследовательских лабораторий по безопасности в Европе  100+ обнаружений 0-day уязвимостей в год  150+ обнаружений 0-day уязвимостей в SCADA  30+ обнаружений 0-day уязвимостей в Telco  Наши знания используют ключевые промышленные центры
  4. 4. Безопасность в цифрах 3 • Периметр 87% корпоративных локальных вычислительных сетей не останавливают проникновение • 61% корпоративных информационных систем может взломать неквалифицированный хакер • Взлом ЛВС компании занимает 3-5 дней • Действия пентестеров обнаруживаются только в 2% тестов на проникновение • Ни разу пентестерам не оказывалось организованное противодействие ptsecurity.com
  5. 5. ptsecurity.com 4 Проблематика Много разнородных источников Ограниченная интегрируемость Нехватка кадров или квалификации Сложность внедрения и масштабирования 1 3 4 5 Низкий уровень автоматизации 2
  6. 6. Платформа MaxPatrol 10 ptsecurity.com 5 MaxPatrol Vulnerability Management MaxPatrol Policy Compliance MaxPatrol Network Forensic MaxPatrol Anti APT MaxPatrol Attack Evaluation MaxPatrol Threat Management
  7. 7. Обнаружение источников и сбор событий ptsecurity.com Реальная автоматизация 6 Агрегация и приоритезация Формирование инцидентов при обнаружении критически важных событий Формирование правил корреляции на основе модели активов Мониторинг системы
  8. 8. Методы сбора данных ptsecurity.com 7 MaxPatrol SIEM Анализ событий от источников Активное сканирование в режиме черного и белого ящика Мониторинг низкоуровневой активности источников Анализ сетевого трафика Сбор информации о конфигурации Автоматическое обнаружение новых активов
  9. 9. ptsecurity.com 8 Расширение контекста Выходные данныеВходные данные Данные об активах Сетевая активность События безопасности Уязвимости и данные конфигурации Инциденты ИБ Контроль изменений конфигурации Конфигурация и карта сети Модель актива Контекстные метрики Низкоуровневые события Выявление слабых мест
  10. 10. ptsecurity.com 9 Инвентаризация Инвентаризация сети в автоматизированном режиме Структурирование в соответствии с территориальной, организационной и функциональной структурой
  11. 11. ptsecurity.com Приоритезация 10 • Определение метрик CVSS для активов • Требования к доступности, плотность целей, вероятность нанесения косвенного ущерба, требования к конфиденциальности, требования к целостности • Оценка критичности события по метрикам объектов • Автоматическое создание инцидентов с учетом приоритезации
  12. 12. ptsecurity.com Карта сети для ИТ и ИБ 11 Визуализация состава сети Построение схемы сети уровней L2, L3 Отображение текущей активности и изменений • Инвентаризация активов • Управление сетью, определение доступности • Поиск и устранение проблем • Контроль изменений • Управление уязвимостями, построение карты сети и векторов атак • Контроль соответствия требованиям стандартов и политик ИБ • Мониторинг оборудования, каналов связи
  13. 13. ptsecurity.com 12 Сбор событий • Весь спектр транспортов удаленного сбора событий - SysLog, NetFlow, SNMP, WMI, RPC, SSH, Telnet, ODBC, etc • Детально настраиваемый сбор событий • Сбор событий запуска и завершения процессов ОС, изменения реестра, открытия сетевых портов, а также событий установки и завершения TCP- соединений, отправки TCP/UDP-данных • Сбор событий с сетевого трафика
  14. 14. ptsecurity.com 13 Корреляция • Гибкая конструктор правил корреляции • Корреляция на основании данных о конфигурации актива, сетевой топологии, связности активов • Многоуровневая корреляция • Предустановленные правила корреляции • Распределенная корреляция • Восстановление цепочки событий после сбоя
  15. 15. ptsecurity.com 14 Инциденты • Автоматическое создание инцидентов • Оповещение об инцидентах ИБ различными способами • Гибкие инструменты ролевого разграничения прав и механизмы workflow • Лучшее реагирование – предотвращение
  16. 16. ptsecurity.com Отчетность 15
  17. 17. ptsecurity.com Гибкость и масштабирование 16 • Масштабирование с учетом инфраструктуры клиента • Оптимизация передачи данных по слабым каналам • Увеличение производительности и объемов хранимых данных без дополнительных лицензий • Удобство развертывания компонентов • Встроенные механизмы диагностики • Программы обучения персонала • Оперативная техническая поддержка • Возможность доработки производителем
  18. 18. ptsecurity.com MaxPatrol SIEM – основа Центра Информационной Безопасности 17 1 3 ПРЕДОТВРАЩЕНИЕ АТАК Система инвентаризации и контроля защищенности Система выявления аномалий сетевого трафика Система контроля выполнения требований ИБ РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ Система сбора доказательств Система выявления скомпрометированных узлов Система визуализации, отчетности и KPI 2 РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ Система анализа угроз и построения векторов атак Система сбора событий ИБ и управления инцидентами Система реагирования на атаки на Web ресурсы

×