Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?
В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.
В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?
На вебинаре «Arbor, держи марку!» будет представлен общероссийский анонс нового решения компании Arbor Networks – Spectrum™, включающего технологии по мониторингу угроз информационной безопасности и расследованию инцидентов в корпоративной вычислительной сети.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Решения КРОК для информационная безопасность АСУ ТПКРОК
Небезопасное применение автоматизированных систем управления технологическими процессами (АСУ ТП) может открыть возможность несанкционированного доступа к управлению процессами предприятия с самыми разными негативными последствиями — от финансовых потерь и остановками производства до экологических катастроф с человеческими жертвами.
Подробнее http://www.croc.ru/solution/integration/insecurity/acs-security/ и http://automation.croc.ru/solutions/security/acs-security/
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?
В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.
В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?
На вебинаре «Arbor, держи марку!» будет представлен общероссийский анонс нового решения компании Arbor Networks – Spectrum™, включающего технологии по мониторингу угроз информационной безопасности и расследованию инцидентов в корпоративной вычислительной сети.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Решения КРОК для информационная безопасность АСУ ТПКРОК
Небезопасное применение автоматизированных систем управления технологическими процессами (АСУ ТП) может открыть возможность несанкционированного доступа к управлению процессами предприятия с самыми разными негативными последствиями — от финансовых потерь и остановками производства до экологических катастроф с человеческими жертвами.
Подробнее http://www.croc.ru/solution/integration/insecurity/acs-security/ и http://automation.croc.ru/solutions/security/acs-security/
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
SIEM - мониторинг безопасности в Вашей компанииSoftline
Единая консоль, где аккумулируется информация о событиях информационной безопасности
компании, что дает возможность получить полную картину уровня ИБ защищенности, сопоставлять
события и реагировать на них максимально быстро,
поддерживать соответствие состояния информационной безопасности внутренним
регламентам и внешним стандартам,
таким как PCI DDS, SOX и т. д.
Решения HP для обеспечения информационной безопасностиКРОК
Более чем 20-летний опыт КРОК и лучшие технологии HP легли в основу единственного в России Центра решений HP по информационной безопасности (HP Solutions Center Security). Центр представляет собой лабораторию с функционирующими в реальных условиях системами, которые интегрированы как между собой, так и с базовой инфраструктурой.
Подробнее на http://www.croc.ru/promo/hpsc/?&tab=ES
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииDialogueScience
На вебинаре проведен обзор основных аспектов утечки конфиденциальных данных и методов противодействия утечкам, предлагаемых рынком информационной безопасности - решениям класса Data Leak Prevention, а также рассмотрены вопросы эффективности различных DLP-систем.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин, предоставляем доступ к нашим сбережениям и банковским счетам и т.д.
Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Приглашаем вас прослушать вебинар "Целенаправленные атаки на мобильные устройства", на котором получите советы по защите ваших мобильных устройств, увидите примеры атак и получите ответы на волнующие вас вопросы.
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
Обзор российского продукта SafeInspect.
SafeInspect - полнофункциональное российское решение для контроля привилегированных учетных записей и сессий в современных информационных системах.
Спикер: Сергей Шерстюк, Менеджер по развитию продуктов, Новые технологии безопасности (ООО НТБ).
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYDialogueScience
I. LACK OF EXPERTISE AND COMMUNICATION
II. LACK OF RIGHTS TO ACT
CONCLUSION
Dmitry Yarushevskiy | CISA | CISM
Head of ICS Cyber security department
JSC DialogueScience
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
2. О компании «ДиалогНаука»
• Создано в 1992 году СП «Диалог»
и Вычислительным центром РАН
• Первыми и самыми известными
отечественными продуктами, поставляемыми
компанией, были ревизор ADinf, Doctor Web и
Aidstest
• В настоящее время ДиалогНаука является
системным интегратором в области
информационной безопасности
3. Основные направления
деятельности
• проведение аудита информационной безопасности
• разработка системы управления безопасностью в
соответствии с ISO 27001
• разработка Политик информационной безопасности и
других нормативных документов, регламентирующих
вопросы защиты информации
• проектирование, разработка и внедрение комплексных
систем обеспечения информационной безопасности
• поставка программного и аппаратного обеспечения в
области защиты информации
• техническое сопровождение поставляемых решений и
продуктов
4. SIM, SEM, SIEM
1. Security Information Management (SIM, «управление
информацией безопасности») обеспечивает:
• сбор, хранение и анализ данных (взятых из журналов)
• подготовка отчётов по соответствию нормативным требованиям
Служит для:
• управления журналами
• создание отчётов и выполнение аналитических исследований по
событиям безопасности
2. Security Event Management (SEM,«управление событиями
безопасности») обеспечивает:
• мониторинг событий безопасности в реальном времени
• выявление и реагирование на инциденты безопасности
• Служит для:
• мониторинга событий безопасности в реальном времени
• помощи персоналу в выявлении внешних и внутренних угроз, и
реализации эффективных ответных мер
• Security Information and Event Management = SIM + SEM
5. Современные проблемы
информационной безопасности
Слишком много устройств, слишком много данных…
Ответные действия на угрозы безопасности
должны быть предприняты немедленно!
Большое количествево разнородных устройств безопасности
– 90% используют межсетевые экраны и антивирусы
– 40% используют системы обнаружения вторжений (IDS)
– количество сетевых устройств растет
– больше оборудования означает большую сложность
Очень много событий по безопасности !
– один межсетевой экран может генерировать за день более
1 Гигабайта данных в Log-файле
– один сенсор IDS за день может выдавать до 50 тыс. сообщений, до
95% ложных тревог!
– сопоставить сигналы безопасности от разных систем безопасности
практически невозможно
6. Борьба службы информационной
безопасности проходит на разных
фронтах
• Необходима работа:
• Защита от неправомерных действий конечных пользователей
• Управление обновлениями и уязвимостями ПО
• Борьба с червями …..
• Вирусы
• Попытки оценить соответствие существующей системы предъявляемым
требованиям (Compliance)
• Управление изменениями (Change Management)
• Управление инцидентами
• Огромные объемы информации ….
• Ограниченный бюджет
• Проблемы с сетевым и IT департаментами
• Нет прямых коммуникаций, непонимание…
• Борьба за влияние, сваливание проблем ….
• Оценки соответствия стандартам безопасности добавляют
напряжение ….
7. Предпосылки для
использование SIEM
• Организации имеют инфраструктуру безопасности от разных
производителей и не могут интегрировать их журналы
регистрации для полной оценки обстановки по безопасности.
• Большое количество журналов безопасности позволяет
злоумышленнику обойти администратора безопасности.
• Большое количество ложных срабатываний современных систем
обнаружения вторжений, обусловлена их ориентацией на
обнаружение конкретных сигнатур или на обнаружение сетевых
аномалий, а не на обнаружение конкретных угроз.
• Производители только могут управлять своим оборудованием и
чаще всего не могут охватить все нужды больших компаний.
• Ограниченные бюджеты по безопасности.
8. Требования к SIEM
1. Мы хотим получать на консоль только значимые события - при этом
необходимо не забывать, как эта информация будет представлена - только в виде
скоррелированных событий или позже можно получить информацию в оригинале?
2. Должно быть централизованное хранилище данных от всех систем - самое
неудобное - это большая база данных с которой сложно обращаться, соответственно
работа с базой событий должна быть по максимально простой.
3. Должно быть ранжирование угроз, основанное на серьезности ущерба, что
позволяет администратору сфокусироваться на реальных угрозах, исключая ложные
угрозы - соответственно система должна учитывать анализ рисков, проведенный в
компании и получать информацию от систем анализа безопасности;
4. Система должна быть масштабируемой и при необходимости
распределенной – не каждый вендор может предоставить действительно
масштабируемую систему.
5. Необходим мониторинг на уровне приложений (например, SAP и т.п.) - вопросы
работы с приложениями являются одними из самых трудных в таких системах.
6. Необходимы решения по мониторингу инсайдерской активности - должны
поддерживаться системы анализа контента, а также специфических функций
отдельных приложений.
7. Решение должно иметь возможность анализировать поддерживаемый уровень
безопасности сравнивать их с нормативными требованиями законодательства или
отраслевым и международным нормам (ISO 27001 и др….)
9. Особенности сбора
событий ИБ
1. Эффективный сбор и хранение информации о
событиях безопасности:
• Нет политики аудита
• Нет понимания объёмов журналов и сроков их хранения
2. Разнородность событий
• Множество протоколов и форматов
• Неструктурированность данных
• Закрытые форматы журналов
3. Хранение данных
• Сроки хранения
• Способы работы со значительными объёмами данных
10. Основные этапы
внедрения SIEM
• Проведение обследования
• Разработка комплекта нормативных документов
• Разработка технических и системных решений
• Поставка оборудования и программного
обеспечения
• Установка и базовая настройка системы
• Опытная эксплуатация
11. Разработка нормативных
документов
Политика управления
инцидентами ИБ
Регламент управления
инцидентами, связанными
с <тип инцидента ИБ>
. . .
Регламент управления
инцидентами, связанными
с <тип инцидента ИБ>
Определяет процесс управления
инцидентами ИБ в целом
Определяет детальную
последовательность действий по
обработке каждого типа инцидента
12. Формирование списка
типовых инцидентов ИБ
• Определение типов основных инцидентов ИБ
• Определение списка событий, которые ведут к
инциденту ИБ
• Определение источника инцидента ИБ
• Определение и приоритезация рисков, связанных с
инцидентами ИБ
13. Практический опыт внедрения SIEM
• Выделение зоны мониторинга
• Либо сегмент сети, либо «боевые» серверы, сетевое оборудование
• Создание перечня объектов мониторинга
• Зачатую происходит аудит или инвентаризация
• Оценка состояния журналирования
• Регулярное непонимание со стороны службы IT – вплоть до саботажа
• Оценка регламентирующих документов
• Чаще всего их нет, или в них один «воздух»
• Оценка технических требований к Системе мониторинга
• Сложно добиться данных от IT, помогает только пилотное внедрение
• Техническое задание, Пояснительная записка, ПМИ
• Стандарт настройки аудита в наблюдаемых системах
• Зачастую IT активно протестует, а СБ настаивает на глобальном аудите
• Регламент обработки инцидентов
• Нет формализованного процесса, или стороны не могут прийти к соглашению
• Установка ПО
• Подключение источников событий информационной безопасности
• Реализация функционала
• Обычно занимает около 6 мес, всегда перетекает из стадии внедрения в стадию техподдержки
14. Эксплуатация SIEM
Основные трудности
• Отсутствие или бесполезность регламентирующих
документов
• Персонал
• Квалификация
• Сотрудники ИБ слабо фрагментарно разбираются в прикладном
администрировании, а зачастую и в IT-ландшафте предприятия
• IT – считает основно задачей «что бы всё летало»
• Взаимодействие служб
• Формализм
• Антагонизм
• Объектовая безопасность
• Отечественная «криптография»
• Унаследованные приложения
15. Практический опыт:
Основные применения СМ
Интеграция с IdM
Identity management – системы управления учётными
записями пользователей.
Предназначены для создания автоматизированного, единообразного механизма
создания, удаления и поддержания в актуальном состоянии данных об учётных
записях пользователей на разнородных прикладных системах
СМ: Интеграция с IdM
Чёткое сопоставление сотрудника и его учётных записей, их ролей и привилегий в
прикладных системах.
Ответы на вопросы:
• «Что делал на всех серверах вчера сотрудник N?»
• «Кто реально обладает доступом к самой главной СУБД?»
• «Откуда столько «мёртвых душ?»
16. Принцип работы
SIMSIEM
Тысячи сообщений
Десятки сообщений
Миллион сообщений
Антивирусная
подсистема
Маршрутизаторы,
коммутаторы
Межсетевые
экраны
Системы
обнаружения
вторжений
Серверы,
операционные
системы
Системы
аутентификации
Приоре-
тизация
Корреляция
Фильтрация
Нормализация
Агрегирование
17. HP ArcSight
HP ArcSight
• Единая точка мониторинга
• Анализ событий в реальном времени
• Реакция в кратчайшие сроки для
предотвращения потерь
• Оценка эффективности мер защиты
приложений, процессов, пользователей
и технологий в целях улучшения и
модернизации
Сбор
данных
Корреляция
Управление
журналами
Монито-
ринг
приложе-
ний
Оценка
соответ-
свия
Монито-
ринг
пользо-
вателей
Анти-
Фрод
Гибкая платформа для отслеживания актуальных угроз и рисков
18. Важность централизованного
контроля и управления
безопасностью
19
Центр управления создаёт единую систему контроля
информационной безопасности
Сетевые
устройства Серверы
Мобильные
устройства
Рабочие
станции
Системы
безопас-
ности
Физический
доступ
Приложе-
ния
Базы
данных
Учётные
записи
Email
20. Уровень интеграции
Собирают журналы в оригинальных форматах более чем с
300 систем
Приводят события к единому формату
Передают события на Manager по защищённому,
отказоустойчивому протоколу
FlexConnector Wizard для добавления новых типов
источников
21
Стоечные устройства Устройства для
филиального офиса
Отдельное ПО
Доступны в виде:
Преимущества: Анализ событий независимо от типа устройства
Connectors
21. Поддерживаемые
устройства
Access and Identity
Anti-Virus
Applications
Content Security
Database
Data Security
Firewalls
Honeypot
Network IDS/IPS
Host IDS/IPS
Integrated Security
Log Consolidation
Mail Relay & Filtering
Mail Server
Mainframe
Network Monitoring
Operating Systems
Payload Analysis
Policy Management
Router
Switch
Security Management Web Cache
Web ServerVPN
Vulnerability Mgmt Wireless Security
Web Filtering
24. Модель ресурса и модель
пользователя
Уязвимости
Подверженность
ресурса атакам
Репозиторий
ресурсов
Критичность
ресурса
Насколько критичен
данный ресурс
для бизнеса?
Важность
ресурса
Модель ресурса
Роль
Соответствует ли
активность роли
сотрудника?
Профиль
пользователя
С чем обычно
работает данный
пользователь?
Сопоставление
Кто стоит за данным
IP-адресом?
Политики
Каково влияние
события на бизнес?
Модель пользователя
• Чёткое понимание рисков и последствий
• Снижение количества ложных срабатываний
• Концентрация внимания на действительных
угрозах и рисках
25. – Разделение событий
по категориям
– Возможность
корреляции событий в
реальном режиме
времени, как по
ресурсам, так и по
злоумышленникам
– Возможности
подробного анализа
– Возможность создания
коррелированных
отчетов
Визуализация
Консоль реального времени
Категоризация событий обеспечивает мгновенную идентификацию атаки
26. Глобальный режим наблюдения
отклонений безопасности
– Интерфейс реального
времени с географическим
расположением объектов и
представлением
отклонений в параметрах
безопасности
– Отображение событий по
подразделениям или
устройствам
– Выбор между опасностью
события или его
категорией
– Интуитивно понятный
инструментальный
интерфейс для подготовки
табличных и графических
отчетов о безопасности
или показ карты нарушений
безопасности
27. Управление журналами
работы
Доступен в виде:
Система хранения и
управления данными
журналов
(До 35 TБайт)
Устройство хранения
данных журналов в
составе SAN Региональное устройство
хранения и управления
данными журналов
ArcSight Logger Эффективное, автоматизированное хранение терабайтных
объёмов журнальных данных
Оригинальный или нормализованный формат событий
Встроенные отчёты для управления информационной
безопасностью
Получение данных одним запросом с нескольких устройств
Встроенные политики автоматизированного хранения и
очистки журналов
ArcSight Logger
Отдельное ПО
L750MB – хранение 50ГБ
журналов, до 750 Мб
данных в день – 49$
28. Использование ESM и
Logger
SAN
Manager Database
ArcSight ESM Instance
ArcSight Logger Instance
SAN
Optional
ArcSight SmartConnectors
Analysts
Logger
Connector
Appliance
Optional
All SmartConnectors are managed
remotely via the ArcSight Connector
Appliance or ESM Manager.
Events from ALL
SmartConnectors will be
forwarded to the ESM Instance.
Enriched Events from ESM will
be forwarded to Logger for long
term event storage.
Analysts will leverage the
ArcSight Console or a Web
browser to access ESM, Logger
and CA.
29. ESM & Logger: Фаза 1
SAN
Manager Database
ArcSight ESM Instance
ArcSight Logger Instances
Analysts
Connector Appliances
All SmartConnectors installed on Agency
Connector Appliances are managed
remotely via the ArcSight Connector
Appliance Management Console.
CEF Events from ALL SmartConnectors will
be forwarded to separate Loggers for load
balancing and storage purposes.
Events of Interest will be forwarded from
Logger to ESM for real-time correlation.
Correlated events will be forwarded back
to Logger for long term storage.
Analysts will leverage the ArcSight
Console or a Web browser to access ESM,
Loggers, and Connector Appliances.
Loggers
Loggers are configured in a Peer Network.
Site 1
Event Sources
Connector Appliances
Site 2
Event Sources
Connector Appliances
Site 3
Event Sources
Loggers Connector Appliance
Native Events will be collected via Vendor API and NFS
Mounts. The Agency Connector Appliance is responsible for
event collection, normalization, and aggregation.
30. ESM & Logger: Фаза 2
SAN
Manager Database
Regional ESM Instance 1
ArcSight Logger Instances
Analysts
Connector Appliances
All SmartConnectors
installed on Agency
Connector Appliances
are managed remotely
via the ArcSight
Connector Appliance
Management Console.
CEF Events from ALL
SmartConnectors
will be forwarded to
separate Loggers for
load balancing and
storage purposes.
Events of Interest will be
forwarded from Logger to a
Regional ESM for real-time
correlation. Correlated events
will be forwarded back to
Logger for long term storage.
Analysts will leverage the ArcSight
Console or a Web browser to access ESM,
Loggers, and Connector Appliances.
Loggers
Loggers are configured in a Peer Network.
Site 1
Event Sources
Connector Appliances
Site 2
Event Sources
Connector Appliances
Site 3
Event Sources
Loggers Connector Appliance
Native Events will be collected via Vendor API and NFS Mounts. The Agency Connector
Appliance is responsible for event collection, normalization, and aggregation.
Loggers
Connector Appliances
Site 4
Event Sources
Connector Appliances
Site 5
Event Sources
Connector Appliances
Site X
Event Sources
SAN
Manager Database
Regional ESM Instance 2
SAN
Manager Database
ArcSight Global ESM Instance
Correlated and Events of
Interest from each Regional ESM
will be forwarded to the Global
ESM for correlation across the
entire environment.
31. Эффективное
направленное реагирование
Создание карты сети для получения точного
местонахождения пользователя и определения степени
влияния проблемы
«Помещение» пользователей или устройств в карантин на
основе обработки кейса или в автоматическом режиме
Выдача рекомендаций (списка действий) для ручного
решения проблемы
33
Доступен в виде:
Гибкая, эффективная локализация проблем
ArcSight Threat Response Manager
Устройство для
интеграции с ArcSight
ESM
32. Принцип работы ArcSight
Threat Response Manager
• Анализ
• Поиск ближайшей к узлу
«контрольной точки»
• Поиск оптимального
способа карантина узла
• Реагирование
• Применение MAC-фильтра
• Отключение порта
• Ограничение VLAN
• Изменение ACL
• Блокировка учётной записи
пользователя
Запрет
VPN-доступа
Изменить ACL
Несколько воздействий для правильного реагирования
Задать MAC-
фильтр
Отключить порт
Quarantine VLAN
Authentication,
Directory Server
Wired Switch
Infrastructure
Router
Firewall
VPN
Wireless
Infrastructure
Mobile user
Блокировать
пользователя
Задать MAC-фильтр
• Локализация
• Определение адреса узла
и получение списка
коммутаторов/маршрутиз
аторов, с которыми
связан данный узел
33. Дополнительные пакеты
ArcSight
Набор правил, отчётов, графических панелей и коннекторов
Стандарты: оценка соответствия стандартам иили
законодательству
Бизнес: решение наиболее распространённых задач защиты
информации
Доступны в виде:
Дополнительные пакеты ArcSight
Предустановленного
устройства
Отдельного ПО
Стандарты:
SOX/JSOX
PCI
IT Gov
FISMA
Бизнес:
IdentityView
Fraud Detection
Sensitive Data Protection
34. Спасибо за внимание!
Ваши вопросы…
117105, г. Москва, ул. Нагатинская, д. 1
Телефон: +7 (495) 980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: Rodion.Chekharin@DialogNauka.ru