Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
Презентация, сделанная в рамках IT & Security Forum в Казани 26 мая 2017 года. Рассматривал различные законодательные инициативы в области внедрения биометрии в России, а также модель угроз такого рода системам и проектам.
Три кита в обслуживании телекоммуникационных системКРОК
Семинар Центра компетенции компании КРОК «Устойчивость ИКТ-инфраструктуры и снижение издержек: что может техподдержка».
Подробнее о мероприятии http://www.croc.ru/action/detail/1465/
Презентация Чеховских Сергея, менеджера по развитию сервиса ДТК компании КРОК
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
Презентация, сделанная в рамках IT & Security Forum в Казани 26 мая 2017 года. Рассматривал различные законодательные инициативы в области внедрения биометрии в России, а также модель угроз такого рода системам и проектам.
Три кита в обслуживании телекоммуникационных системКРОК
Семинар Центра компетенции компании КРОК «Устойчивость ИКТ-инфраструктуры и снижение издержек: что может техподдержка».
Подробнее о мероприятии http://www.croc.ru/action/detail/1465/
Презентация Чеховских Сергея, менеджера по развитию сервиса ДТК компании КРОК
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
SIEM - мониторинг безопасности в Вашей компанииSoftline
Единая консоль, где аккумулируется информация о событиях информационной безопасности
компании, что дает возможность получить полную картину уровня ИБ защищенности, сопоставлять
события и реагировать на них максимально быстро,
поддерживать соответствие состояния информационной безопасности внутренним
регламентам и внешним стандартам,
таким как PCI DDS, SOX и т. д.
Аппаратная видеоаналитика для охраны стратегических объектов Nikolai Ptitsyn
В презентации рассказается о последних аппаратных и программных разработках ООО "Синезис" и ООО "Агрегатор" в области интеллектуальных систем видеомониторинга. Предлагаемые устройства позволяют автоматически детектировать, сопровождать и распознавать объекты в поле зрения телекамеры. Технология может быть использована для решения таких задач как охрана стратегических объектов (в том числе протяженных), общественных мест, жилых зданий в рамках программы «Безопасный город».
По материалам доклада на III всероссийской научно-практической конференции «Территориально-распределенные системы охраны»
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
NIST has updated the Cybersecurity Framework to version 2.0 (CSF 2.0). Key changes include a new "Govern" function, updated categories and subcategories, and expanded guidance on using profiles and implementation examples. CSF 2.0 also emphasizes supply chain risk management and alignment with other frameworks. The update aims to reflect the evolving cybersecurity landscape and help organizations better manage cybersecurity risks.
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
The document summarizes the results of the 2022 ISO Survey, which estimates the number of valid ISO management system certificates as of December 31, 2022. It finds that ISO 27001 certificates increased by 22% in 2022 to a total of 71,549 certificates covering 120,128 sites. The top countries for ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The largest sectors covered are information technology, transport/storage/communication, and other services.
The document provides an overview of 12 privacy frameworks that can be used to develop comprehensive privacy programs. It describes each framework, including its organization, cost, and key benefits. The top frameworks are ISO 29100, ISO 27701, the ICO Accountability Framework, and the TrustArc-Nymity Framework. They provide standards, guidelines and best practices for building privacy into products and governance. The document aims to help privacy professionals select the most appropriate framework for their needs without needing to reinvent existing approaches.
This document discusses cybersecurity frameworks and provides an overview of the most popular frameworks. It begins by defining frameworks, regulations, standards and guidelines. Some of the main benefits of frameworks mentioned are providing a comprehensive security baseline, enabling measurement and benchmarking, and demonstrating maturity. Twelve of the most popular frameworks are then listed and described briefly. The document outlines different types of frameworks and provides tips for choosing an appropriate framework based on mandatory requirements, country practices, industry usage, certification needs, organization size and maturity. It also discusses mappings between frameworks and attributes of information security controls.
The document summarizes the journey of the NIST Cybersecurity Framework from version 1.1 to the upcoming version 2.0. It provides an overview of the key components of version 1.1 and the motivation for an update. Version 2.0 includes significant updates like a new "Govern" function, changes to categories and subcategories, more implementation guidance, and an emphasis on supply chain risk management. The draft of version 2.0 is available for public comment through November 2023, with the final version planned for early 2024.
This document provides an agenda and overview for implementing an Information Security Management System (ISMS) using an ISMS Implementation Toolkit. It discusses what an ISMS toolkit is and important considerations when using one. It then lists the top 5 ISMS toolkits and provides details on the author's own toolkit. Finally, it outlines a 20+1 step process for implementing an ISMS using the toolkit, with each step briefly described.
1. The document discusses how ChatGPT can be used to assist with implementing an Information Security Management System (ISMS) according to ISO 27001. It provides 8 ways ChatGPT may help including clarifying concepts, providing implementation guidance, assisting with policy development, and troubleshooting issues.
2. The document explains that while ChatGPT can offer assistance, it should not replace professional advice. Effective prompts are important to receive relevant responses, and all information from ChatGPT needs to be critically evaluated.
3. The document acknowledges some limitations of ChatGPT, like providing outdated references to the previous ISO 27001 version and failing to generate some example templates completely. Overall, ChatGPT is framed as
This document discusses key privacy principles for protecting personally identifiable information. It outlines seven main privacy principles from standards like the GDPR and ISO: 1) Lawfulness, fairness and transparency, 2) Purpose limitation, 3) Data minimization, 4) Accuracy, 5) Storage limitation, 6) Integrity and confidentiality (security), and 7) Accountability. It explains each principle in 1-2 sentences and provides examples of how organizations can implement the principles in their privacy practices and policies.
This document provides an overview and agenda for a presentation on ISO 27001 and information security management systems (ISMS). It introduces key terms like information security, the CIA triad of confidentiality, integrity and availability. It describes the components of an ISMS like policy, procedures, risk assessment and controls. It explains that ISO 27001 specifies requirements for establishing, implementing and maintaining an ISMS. The standard is popular because it can be used by all organizations to improve security, comply with regulations and build trust. Implementing an ISMS also increases awareness, reduces risks and justifies security spending.
This document provides an overview of changes between the 2018 and 2022 versions of ISO 27005, which provides guidance on managing information security risks. Some key changes include aligning terminology with ISO 31000:2018, adjusting the structure to match ISO 27001:2022, introducing risk scenario concepts, revising and restructuring annexes, and providing additional examples and models. The 2022 version contains 62 pages compared to 56 pages previously and has undergone terminology, process, and content updates to align with updated ISO standards and better support organizations in performing information security risk management.
The document summarizes the key changes between ISO 27001:2022 and the previous 2013 version. Some of the main changes include:
1. A new name that includes cybersecurity and privacy protection.
2. Shorter at 19 pages compared to 23.
3. New terminology and structure for some clauses around objectives, communication, monitoring and management review.
4. A new annex with 93 controls categorized by type and security properties, compared to the previous 114 controls.
5. Organizations will need to evaluate their existing ISMS and make updates to address the new requirements and structure of ISO 27001:2022.
The document summarizes the results of the 2021 ISO survey, reporting that as of December 31, 2021 there were 58,687 valid ISO 27001 information security certificates covering 99,755 sites globally. It provides breakdowns of the number of certificates and sites by country and sector. The countries with the most ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The sector with the most certificates is information technology.
This document provides information about Data Protection Impact Assessments (DPIAs). It begins with an introduction and agenda. It then covers the definition of a DPIA, why they are needed, when they are mandatory under GDPR, and what they should include. It discusses templates, methodologies, and examples of high risk factors that require a DPIA. It also provides the presenter's templates for a DPIA, including a lighter version, and discusses ways to improve the templates by making them more specific and complicated. The document is an overview of DPIAs aimed at helping organizations understand and comply with requirements.
The document discusses standards and frameworks for managing information security risks in supplier relationships. It defines key terms related to acquirers, suppliers, and supply chains. It outlines controls from ISO 27001, NIST CSF, and NIST SP 800-53 related to supply chain risk management. These controls address supplier agreements, monitoring performance, and risk treatment. The document also discusses ISO 27036 which provides guidance for securing information in supplier relationships, and NIST SP 800-161 which provides practices for managing cybersecurity supply chain risks.
The document discusses employee monitoring and privacy. It covers surveillance methods used by organizations to monitor employees, including email, internet, software, video, and location monitoring. Specific considerations for remote work are outlined. Legal requirements for employee monitoring from the GDPR, local data protection and labor laws are examined. The document also discusses balancing security and privacy as seen from the perspectives of a CISO and DPO. Risks of inadequate monitoring and examples of GDPR fines for violations are provided. Principles for lawful employee monitoring and recommendations for internal policies are presented.
The document discusses using a RACI (Responsible, Accountable, Consulted, Informed) chart to assign roles and responsibilities for GDPR implementation. It provides an introduction to RACI charts, an example from the speaker's company that outlines its data protection framework, governance model and 21 GDPR activities, and the speaker's resulting RACI chart. The speaker advocates for RACI charts to provide a clear overview of participation in tasks and recommends periodic reviews to keep the chart updated.
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)
2. JSOC – СХЕМА РАЗБОРА
ИНЦИДЕНТА
Выявление инцидента,
Первоначальная классификация,
Первоначальная приоритезация
Назначение исполнителя
из 1-ой линии
Анализ инцидента,
Протоколирование исследования
Необходима эскалация по
экспертизе?
Передача инцидента 2-ой
линии/аналитику
ДА
НЕТ
False Positive? Закрытие как FP
Информирование Заказчика, предоставление
информации по инциденту и требуемых отчетов
Нужна дополнительная
информация?
Закрытие задачи
НЕТ
Необходима эскалация по
критичности?
Уведомление Заказчика и
аналитика, формирование
группы разбора инцидента
ДА
НЕТ
ДА
ДА
НЕТ
Администрируем ли СЗИ? ДА
ДА
Передача задачи по устранению
группе администрирования
3. SOC ВНУТРИ – 1-Я ЛИНИЯ
• Понимает основы безопасности
• Разбирается в исходных событиях с систем
• Владеет всеми инструментами расследования в SOC
• Работает по инструкции, но не ограничивается ей
• Пытается восстановить произошедшее в реальном
мире
4. ПРОГРАММА ОБУЧЕНИЯ
СОТРУДНИКА
1. Основы информационной безопасности:
– Что такое информационная безопасность в принципе
– Регулирующие документы в области информационной безопасности
– Инцидент информационной безопасности: определение, отличие от ИТ-инцидента, принципы
определения критичности
– Драйверы информационной безопасности коммерческого сектора: регуляторы, политики, внешние
угрозы, экономическая безопасность, репутационные риски
– Киберпреступность: основные векторы атаки, пути компрометации,
– Классификация инцидентов JSOC: с чем связан инцидент, какие последствия влечет, какая информация
важна для расследования
2. Работа с аудитом ключевых инфраструктурных сервисов:
– Active Directory – события аутентификации
– Active Directory – прочие события
– События аутентификации на прочих системах
– Аудит ОС Windows
– Аудит ОС Linux
– Аудит СУБД (sql запросы, синтаксис, основы обработки и значения команд)
– Аудит сетевого оборудования
– Аудит межсетевых экранов
– Антивирусы и прочее host-based ПО (принципы работы, ключевые события)
5. ПРОГРАММА ОБУЧЕНИЯ
СОТРУДНИКА
3. События со СЗИ:
– Антивирусы (типы вирусов, особенности поведения, критерии обнаружения)
– Сетевые атаки (классификация, основные параметры)
– DDOS-атаки (принципы работы, типы, ключевые способы обнаружения)
– Атаки на веб-приложения (принципы, типы, ключевые способы обнаружения)
4. Инструментарий JSOC:
– Основные инструменты ArcSight для расследования инцидента
– Внешние способы обработки информации, источники знаний
– Разбор 3-4 ключевых инцидентов в рамках совместной работы
5. Самостоятельный анализ информации, выполнение лабораторных
6. Выпускной экзамен по освоению материала
6. SLA
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время
обнаружения
инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой
диагностики и
информирования
заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи
рекомендаций по
противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч
7. О ЧЕМ ПОЙДЕТ РЕЧЬ
• Проблемы эксплуатации SIEM и их
решение
• Как устроены сценарии по
обнаружению инцидентов
• Как устроена работа инженеров с
возникающими событиями
8. ПРОБЛЕМА 1 – ОДИН СЦЕНАРИЙ ДЛЯ
РАЗЛИЧНЫХ ИСТОЧНИКОВ
• Логика инцидентов одинакова – brute-force всегда brute-force
• В каждом приложении (AD, Unix OS, Cisco VPN, Siebel, Web-
приложение) – свои логи и своя информация.
• Добавить новое приложение – пара правил + списки с
исключениями и профилированием активности
• В итоге:
• Сложность диагностики
• Риск ошибки при реализации
• Увеличение нагрузки на систему
9. ПРОБЛЕМА 2 - ОБЪЕДИНЕНИЕ ДАННЫХ
• Сценарий – 10 срабатываний сигнатур IPS с одного
источника
• В случае 50 срабатываний (идет сканирование):
• 40 различных событий
• 40 сообщений в почту
• С трудом можно сопоставить данные в одну сущность
• При этом – потенциально это одна и та же
активность
10. ПРИМЕР – ВНЕШНИЕ ПОДКЛЮЧЕНИЯ С TOR-
СЕТИ
Менее чем за час – 6 событий об одном и том же сканировании
11. «ПРОБЛЕМА 3»
ПРАВИЛА ЖИЗНИ СЕРВИС-ПРОВАЙДЕРА
1. Три уровня SLA.
• По каждому свое время реакции в зависимости от критичности инцидента
• У каждого заказчика свой SLA
• У каждого заказчика разное видение критичности инцидента
2. Визуализация и прозрачность работы с инцидентами.
• Операторам должны быть доступны уже обработанные события.
• Операторы не должны «выбирать» инциденты.
3. Мы не должны «терять» инциденты.
• Критичный инцидент должен быть рассмотрен вовремя. Вне зависимости от того, что до него пришло
10 не критичных инцидентов
• Критичности инцидентов – это не приоритет их расследования
4. Удобство работы и масштабируемость
• Добавление нового правила не должно влиять на сервис
• Масштабирование правила на новый источник не должно влиять на сервис
• Инженер не должен искать в инструкциях время реакции, критичности, телефоны и e-mail заказчика
12. JSOC - WORKFLOW
• Проблемы эксплуатации SIEM и их
решение
• Как устроены сценарии по
обнаружению инцидентов
• Как устроена работа инженеров с
возникающими событиями
13. JSOC – АРХИТЕКТУРА КОРРЕЛЯЦИОННЫХ ПРАВИЛ
Workflow
Сценарии
«Базовые» и
«Профилирующие» правила
Переработанные парсеры для
коннекторов
• Оповещения, создание кейсов,
обработка информации
• Необходимые отчеты и инструменты
для анализа инцидентов
• Генерация событий по
соответствующим критериям
• «Обогащение» информации
• Очистка «мусора»
• Добавление нашей категоризации
• Профилирование активностей
• Добавление «пропущенной»
информации
• Исправление проблем с парсингом
14. ПРИМЕРЫ СЦЕНАРИЕВ
Базовые сценарии (косвенные признаки) Потенциальный инцидент
Входящее письмо от неизвестного отправителя
Почти 100% заражение хоста
Вероятный целенаправленный взлом хоста
Запуск нелегитимного ПО (процесса) на рабочей станции
Исходящая активность Remote Access ToolsTORFeeds
Создание локального администратора на системе
Модификация реестра по снятию ограничений RDP на хосте
Большое кол-во неуспешных подключений во внешнюю сеть
Вероятные ботнетынеизвестные вирусы
Доступ в интернет к известным опасным хостам (Feeds)
подозрительные категории на прокси
Исходящая попытка установить соединение удаленного
администрирования
Доступ к критичной информации (файлбазаetc)
Утечка информацииИспользование учетных записей отсутствующих сотрудников
Обнаружение передачи архива с паролем (DLP)Отправка большого
объема данных через веб-почту
Обнаружение нового хоста во внешнем периметре
Успешный взлом внешнего сервиса
Внешнее сканирование портов
Успешная аутентификация с не разрешенного сегмента сети (на
сервис ***)
Исходящая сетевая активность от критичного сервера к не
доверенным хостам
15. JSOC - WORKFLOW
• Проблемы эксплуатации SIEM и их
решение
• Как устроены сценарии по
обнаружению инцидентов
• Как устроена работа инженеров с
возникающими событиями
16. JSOC – ОСОБЕННОСТИ РАБОТЫ С
ИНЦИДЕНТАМИ
1. Инцидент должен быть визуально различим
2. По каждому инциденту проставляется параметр
«аггрегации» и базового скоринга
3. Необходима статистика по «развитию» инцидента и
оповещениям в случае повторения или не устранения
4. Критичность инцидента различна для различных
заказчиков
17. ПРОЦЕСС РЕГИСТРАЦИИ СОБЫТИЯ
ArcSight ESM ArcSight Case
KayakoAgentKayako Case
RuleAction: Create Case1
RuleAction:
Execute External
Command
2
Сетевая
модель + УЗ
Информация
о заказчике
Информация
по инциденту
Общее
описание
Расчет SLA
Линк для
запуска
консоли ESM
Расчет
критичности
18. ОБЕСПЕЧЕНИЕ SLA
1. «Время жизни» инцидента
разбито на 3 промежутка:
«Зеленая зона», «Желтая зона»,
«Красная зона»
2. При переходе инцидента из
одной зоны в другую общий
Score увеличивается по
коэффициентам
3. Инженер обязан взять
инцидент с самым высоким
Score, а не приоритетом
4. Оповещения руководителей,
аналитиков при необходимости
«усиления» текущей команды
1-ой линии
20. ЗАДАЧИ АНАЛИТИКА ПО
РАССЛЕДОВАНИЮ ИНЦИДЕНТОВ
Расследование при эскалации
Разбор аномалий и отчетность
Выход нового IOC
Помощь в расследовании
21. ЭСКАЛАЦИЯ ПО КРИТИЧНОСТИ
Выявление инцидента,
Первоначальная классификация,
Первоначальная приоритезация
Назначение исполнителя
из 1-ой линии
Анализ инцидента,
Протоколирование исследования
Необходима эскалация по
экспертизе?
Передача инцидента 2-ой
линии/аналитику
ДА
НЕТ
False Positive? Закрытие как FP
Информирование Заказчика, предоставление
информации по инциденту и требуемых отчетов
Нужна дополнительная
информация?
Закрытие задачи
НЕТ
Необходима эскалация по
критичности?
Уведомление Заказчика и
аналитика, формирование
группы разбора инцидента
ДА
НЕТ
ДА
ДА
НЕТ
Администрируем ли СЗИ? ДА
ДА
Передача задачи по устранению
группе администрирования
22. ЭСКАЛАЦИЯ ПО КРИТИЧНОСТИ
РАЗБОР ИНЦИДЕНТА АНАЛИТИКОМ
Сбор дополнительных
сведений
Взаимодействие с
Заказчиком, получение
обратной связи
Подключение новых
источников при
инциденте для сбора
дополнительной
информации в
экстренных случаях
23. ЭСКАЛАЦИЯ ПО КРИТИЧНОСТИ
КЕЙС: REMOTE ADMIN TOOLS
Источники:
• Контроллеры домена
• Сетевые устройства – МСЭ, Прокси
• Локальные логи
Сценарии срабатывания:
• Встроенная категоризация сетевых устройств
• Алерты по известным портам
Расследование:
• Анализ сетевой активности
• Проверка запускаемых процессов (если хост подключен)
Эскалация:
• Ночное время
• Критичные хосты
24. ЭСКАЛАЦИЯ ПО КРИТИЧНОСТИ
КЕЙС: REMOTE ADMIN TOOLS
18 Jul 2015 03:08:02 MSK Зафиксирован инцидент: Запуск RemoteAdminTools на хосте
Исходные данные:
• Машина руководителя отдела
• Локальные логи недоступны
Расследование:
• Оповещение аналитика
• Согласование с Заказчиком подключения машины к JSOC
• Подключение хоста. Для организации ретроспективного анализа – в agent properties
«startatend=false»
26. ЭСКАЛАЦИЯ ПО КРИТИЧНОСТИ
DETAILS…
• 17 Jul 2015 17:23:44 MSK Запуск
псевдополезного ПО
• 17 Jul 2015 18:59:14 MSK Логаут
пользователя, блокировка
компьютера
• 18 Jul 2015 03:07:57 MSK Запуск
процесса vuupc.exe
• 18 Jul 2015 03:08:02 MSK Инцидент
• 18 Jul 2015 03:26:00 MSK
Оповещение аналитика по
телефону
• 18 Jul 2015 03:32:48 MSK
Оповещение от 1-й линии в
сторону Заказчика
• 18 Jul 2015 03:55:00 MSK
подключение машины к ArcSight
27. • Профилирование легитимных процессов
• Изменение файлов /system32, в том числе Hosts
• Контроль веток реестра:
– Run, RunOnce
– Параметр fSingleSessionPerUser в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server
– CLASSES_ROOTexefileshell
– ……
ЭСКАЛАЦИЯ ПО КРИТИЧНОСТИ
КОНТРОЛЬ
28. ОТЧЕТЫ К УТРЕННЕМУ КОФЕ
Case review
Выборочная проверка
разбора инцидентов
1-й линией
Работа с сырыми
данными
Сводка по
инцидентам, векторы
атак
29. ОТЧЕТЫ К УТРЕННЕМУ КОФЕ
АВТОМАТИЗАЦИЯ? НЕ ВСЕГДА!
• Запуск процессов /Temp
• Проверка легитимности
C:UsersADMIN-
~2AppDataLocalTempklrbtagt_64.exe
– Касперский?
• 178 соединений на ip ХХ.ХХХ.ХХ.ХХХ
(Spain) с исследуемого хоста за день,
подозрительно?
• Соединения ровно 1 раз в 15 минут
• Вердикт экспертизы машины –
вредонос по мотивам carberb
30. ВЫХОД НОВОГО IOC
Анализ IOC Добавление
сигнатур
Оповещение
Заказчиков
Ретроспективный
анализ
31. ВЫХОД НОВОГО IOC
Incident of
compromise
Сетевой кусок:
ip-адреса
Следы присутствия
вредоноса
Реестр Файлы
Сопутствующие
уязвимости
Процессы
32. ВЫХОД НОВОГО IOC
• Carberb (Anunak, Carbanak)
• Skeleton key – использование
любой учетной записи в домене без
пароля
33. • Сетевую часть в active list`s. Срабатывание правила: INC_Outbound
communication to Malicious Host
• Следы и эксплуатируемые уязвимости:
– Проверка на сопутствующие уязвимости сканером защищенности;
– Проверка на хостах файловых составляющих вредоноса – скрипт, Qualys;
– Проверка на хостах реестровых составляющих – скрипт, Qualys.
• Контрмеры:
– Рекомендации по блокировке;
– Закрытие сопутствующих уязвимостей, направленных на повышение привилегий, загрузку в
VBR/MBR и др.;
– Мониторинг создания файлов в используемых вредоносом папках (по умолчанию мониторинг
производится папок system32 и других критичных системных папках) на критичных хостах;
– Мониторинг изменения некоторых критичных файлов (в т.ч. Hosts) на критичных хостах.
ВЫХОД НОВОГО IOC
РЕАЛИЗАЦИЯ
34. ПОМОЩЬ В РАССЛЕДОВАНИИ
Не подключенные
системы
Инциденты,
выходящие за рамки
сценариев JSOC
Компании, не
использующие JSOC
35. • Сбой в работе Siebel фронт-офис
• Причина: «битый» конфигурационный файл
• Две активные сессии:
– Подрядчик (SMB) с предпродакшн сервера
– Сотрудник банка (RDP) с рабочей станции
• Активности:
– Сотрудник: в рамках RDP-сессий было передано в среднем порядка 5Мб, что исключает копирование готового
файла конфигурации на рабочие сервера: 5758010 байт на app04, 6020111 байт на app03, 7979583 байт на
app02, 2481417 байт на app01.
– Подрядчик: Доступ ко всем продуктивным серверам к каталогу C$ с предпродуктивного (тестового) сервера
Siebel
ПОМОЩЬ В РАССЛЕДОВАНИИ
СБОЙ В РАБОТЕ КЛЮЧЕВОЙ СИСТЕМЫ
36. • Подключаем тестовый сервер Siebel:
– Доступ на предпродакшн сервер из диапазона адресов подрядной организации (VPN)
– На предпродакшн сервере был запущен процесс siebdev.exe из-под учетки сотрудника
подрядной организации. Процесс генерирует конфигурационный файл для Siebel.
– Далее на предпродакшн запуск через cmd C:/Bat files/sbl_stop
– Через 2 минуты запуск через cmd C:/Bat files/sbl_start
• Реализация:
– Чтение параметров процесса с помощью настроек аудита: Include command line in process
creation events во вкладке Computer ConfigurationPoliciesAdministrative
TemplatesSystemAudit Process Creation
ПОМОЩЬ В РАССЛЕДОВАНИИ
СБОЙ В РАБОТЕ КЛЮЧЕВОЙ СИСТЕМЫ
38. О ЧЕМ ПОЙДЕТ РЕЧЬ
• Безопасность Solar в целом
• Непрерывность JSOC
• Безопасность данных в JSOC
39. ПРОБЛЕМЫ ЗАПУСКА
ЭФФЕКТИВНОГО ИБ
• Отсутствие поддержки сверху сниз
– Бизнес отдельно от ИБ (другие приоритеты)
– Выделение бюджетов на средства и персонал
• Сложность проведения оценки рисков
– Внутри нет компетенций
– Снаружи – не гарантирован учет специфики
• «Исторические хвосты» процессов
и инфраструктуры
• Низкая мотивация бизнеса
и ИТ на работу с рисками
40. СПЕЦИФИКА SOLAR
• Все руководители «в теме» ИБ
• Короткий «астральный хвост»
• Высокие внутренние компетенции
• Свои системы и сервисы на «страже» компании
• Собственная уникальная методика по оценке рисков
41. ПРОЙДЕННЫЕ ШАГИ
• Бизнес-интервью по 15 ключевым сотрудникам
• Собран и согласован реестр рисков (33 опасных),
информации и активов
• Создан комитет по информационной безопасности
• Согласован план мероприятий по ИБ
• В октябре – завершаем первый этап мероприятий
• PCI DSS – уже есть, ориентир - 27001
42. АРХИТЕКТУРА
Корп. сеть клиента Корп. сеть клиента Корп. сеть клиента
СборсобытийИБ
пилоты
СборсобытийИБ
ЦОД JSOC
РЦОД JSOC
SIEM backup
addons
trial
SIEM
backup
jivsvdi
jivsvdi
43. JSOC: ДОСТУПНОСТЬ
• Инфраструктура
– вынесенный ЦОД категории Tier3
– резервный ЦОД – катастрофоустойчивость
– доступность ядра – 99,2%
• Планы непрерывности бизнеса
– распределенные площадки
– схема дежурства по компетенциям
– возможность работать
без инфраструктуры Solar
44. JSOC: ЦЕЛОСТНОСТЬ
• Модель здоровья, ориентированная на сервис
– Контроль состояния источников
– Контроль быстродействия
• Собственные механизмы бэкапирования
• Резервирование информации и компетенций
45. JSOC: ПРАВИЛА ГИГИЕНЫ
• Централизованный доступ:
– персональные учетки
– второй фактор
– терминальный сервер с записью событий
– защита удаленного доступа: два фактора
+ дежурные ноутбуки
• Ролевая модель:
– разделение мониторинга и реагирования
– ограниченный доступ для 1-ой линии
– four eye principle внутри каждой из команд
– контроль выгрузок и обработок информации
46. JSOC:КОНФИДЕНЦИАЛЬНОСТЬ –
ЗАЩИЩАЕМЫЕ ДАННЫЕ
– Реквизиты доступа к клиентам
– Информация по инцидентам клиентов
– Информация по инфраструктуре
– Профиль клиента
– Сводные отчеты за период
– Сырые данные клиентов
– Полный каталог сценариев JSOC
47. JSOC: ВНЕШНИЕ УГРОЗЫ - ВЗЛОМ
• В Solar пользовательский сегмент изолирован:
взаимодействие только с почтой и доменом
• Отдельный service desk, KB
• В сегменте ЦОД нет публичного интернета
• Доступ в сегмент ЦОД – только через TS
+ контролируемый резервный доступ для архитектора
• В сегменте ЦОД - отдельный домен JSOC,
второй фактор аутентификации
48. JSOC: ВНЕШНИЕ УГРОЗЫ
• Угроза атаки со стороны клиента:
– Доступно один-два адреса
– Up2date патчи на системах
– Честный PCI DSS
– Ограниченный доступ к среде
– Мониторинг инфраструктуры JSOC
49. JSOC: ВНЕШНИЕ УГРОЗЫ –
СОЦИНЖЕНЕРИЯ
• Проводим регулярные тесты по соц.инженерии
– Внутренние проверки – раз в квартал и по факту
выхода новых сотрудников
– Внешние – раз в год
• Расширенный security awareness в команде JSOC
– Основы деятельности кибепреступников
– Гигиена общения с клиентом
– Разбор ярких кейсов последнего времени
– Гигиена личного пространства