Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
Автоматизированные системы управления технологическими процессами Правила защиты информации в государственных и муниципальных информационных системах были установлены ФСТЭК России в 31-м приказе, в разработке которого принимали участие и эксперты Cisco. Практически весь спектр решений Cisco по информационной безопасности может быть применен для защиты АСУ ТП. Кроме того, специально для применения в индустриальных сетях нами было разработано несколько специализированных решений – маршрутизаторов и коммутаторов с функциями защиты, а также индустриальных МСЭ и систем обнаружения вторжений. Также специалистами Cisco совместно с нашими партнерами (Rockwell и другими) были разработаны и детальные рекомендации по созданию защищенных индустриальных сетей.
Видео: https://www.youtube.com/watch?v=BS4uvoqn6io
Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
Автоматизированные системы управления технологическими процессами Правила защиты информации в государственных и муниципальных информационных системах были установлены ФСТЭК России в 31-м приказе, в разработке которого принимали участие и эксперты Cisco. Практически весь спектр решений Cisco по информационной безопасности может быть применен для защиты АСУ ТП. Кроме того, специально для применения в индустриальных сетях нами было разработано несколько специализированных решений – маршрутизаторов и коммутаторов с функциями защиты, а также индустриальных МСЭ и систем обнаружения вторжений. Также специалистами Cisco совместно с нашими партнерами (Rockwell и другими) были разработаны и детальные рекомендации по созданию защищенных индустриальных сетей.
Видео: https://www.youtube.com/watch?v=BS4uvoqn6io
Комплекс оперативного мониторинга и контроля защищенности АСУ ТП.
Комплекс DATAPK обеспечивает оперативный мониторинг и контроль состояния защищенности автоматизированных систем управления технологическими процессами (АСУ ТП).
При разработке комплекса DATAPK использовались передовые исследования в области безопасности АСУ ТП, учитывались тенденции развития АСУ ТП и обширный практический опыт УЦСБ по созданию систем защиты АСУ ТП.
DATAPK разработан спе- циально для АСУ ТП и пред- назначен для:
• выявления несанкциониро- ванных изменений в АСУ ТП;
• выявления незащищенных компонентов АСУ ТП;
• регистрации событий ИБ в АСУ ТП;
• выявления компонентов АСУ ТП, подверженных крити- ческим уязвимостям;
• обнаружения попыток экс- плуатации уязвимостей компо- нентов АСУ ТП до момента их устранения;
• автоматизированного кон- троля выполнения требований ИБ в АСУ ТП
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
Решения Fortinet для обеспечения кибербезопасности промышленных систем автома...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Fortinet к вопросам кибербезопасности АСУ ТП. Представлены основные решения Fortinet для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://youtu.be/XViv--YBXwM?list=PLr6gcpE7CNuFxLEmVpzRwRExmlHjnlMoT
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
На примере конкретного промышленного объекта (САУ - система автоматического управления) рассмотрены типовые требования к системе обеспечения информационной безопасности, учитывающей особенности объекта защиты, его архитектуру и режимы функционирования.
Дата вебинара 17 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/_lKUBnMSuQU
Докладчик: Николай Домуховский
Специалисты компании КРОК уже более 20 лет строят и оснащают самыми передовыми инженерными коммуникациями здания различного назначения. Для людей: объекты коммерческой недвижимости (офисы, торговые центры, стадионы и проч.) и машин: центры обработки данных (ЦОД), котельные и проч.
Данный альбом собрал в себе ряд проектов, которыми мы по праву можем гордиться, ведь они – пример настоящего интеллектуального здания, созданного для жизни в гармонии с окружающим миром.
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Комплекс оперативного мониторинга и контроля защищенности АСУ ТП.
Комплекс DATAPK обеспечивает оперативный мониторинг и контроль состояния защищенности автоматизированных систем управления технологическими процессами (АСУ ТП).
При разработке комплекса DATAPK использовались передовые исследования в области безопасности АСУ ТП, учитывались тенденции развития АСУ ТП и обширный практический опыт УЦСБ по созданию систем защиты АСУ ТП.
DATAPK разработан спе- циально для АСУ ТП и пред- назначен для:
• выявления несанкциониро- ванных изменений в АСУ ТП;
• выявления незащищенных компонентов АСУ ТП;
• регистрации событий ИБ в АСУ ТП;
• выявления компонентов АСУ ТП, подверженных крити- ческим уязвимостям;
• обнаружения попыток экс- плуатации уязвимостей компо- нентов АСУ ТП до момента их устранения;
• автоматизированного кон- троля выполнения требований ИБ в АСУ ТП
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
Решения Fortinet для обеспечения кибербезопасности промышленных систем автома...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Fortinet к вопросам кибербезопасности АСУ ТП. Представлены основные решения Fortinet для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://youtu.be/XViv--YBXwM?list=PLr6gcpE7CNuFxLEmVpzRwRExmlHjnlMoT
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
На примере конкретного промышленного объекта (САУ - система автоматического управления) рассмотрены типовые требования к системе обеспечения информационной безопасности, учитывающей особенности объекта защиты, его архитектуру и режимы функционирования.
Дата вебинара 17 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/_lKUBnMSuQU
Докладчик: Николай Домуховский
Специалисты компании КРОК уже более 20 лет строят и оснащают самыми передовыми инженерными коммуникациями здания различного назначения. Для людей: объекты коммерческой недвижимости (офисы, торговые центры, стадионы и проч.) и машин: центры обработки данных (ЦОД), котельные и проч.
Данный альбом собрал в себе ряд проектов, которыми мы по праву можем гордиться, ведь они – пример настоящего интеллектуального здания, созданного для жизни в гармонии с окружающим миром.
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
This is Shane Gibson's presentation in Vancouver at the NextGenRe conference on how Realtors can use the web and social media to become "Exponential Influencers"
en esta diapositiva les estaremos presentando nuestro proyecto de aula que habla acerca de salud y seguridad de los empleados como operarios de la empresa Azembla
Одной из важных особенностей применения ИТ в розничной торговле является большой территориальный охват и сложность инфраструктуры: она включает в себя торговое оборудование, автоматизированные рабочие места кассиров, услуги эквайринга, системы видеонаблюдения за торговыми залами и складскими помещениями, сети передачи данных, ERP-системы, компьютеры, офисную технику и др. Задачи поддержки и развития этой инфраструктуры все чаще требуют применения новых методов и инструментов управления ИТ.
Сегодня многие предприятия уже начали переход к современным моделям предоставления ИТ-услуг на основе ITIL/ITSM и выстроили базовый уровень управления поддержкой пользователей, организовав службы Service Desk. Однако развитие розничного бизнеса постоянно требует быстрой реакции на изменения рынка. Поэтому сегодня бизнес ждет от ИТ-руководителей не только способности обеспечить стабильную работу технической инфраструктуры, но и готовности решать новые задачи. Среди них -оперативное подключение ИТ-услуг в новых точках продаж, повышение качества технической поддержки, выявление типовых проблем и оптимизация затрат на их устранение, а также продвижение новых идей в области применения технологий, и повышения управляемости уже созданной инфраструктуры.
Новые приоритеты меняют и требования к информационным системам управления ИТ. Все большее внимание уделяется гибкости этих систем и их способности обеспечить управление бизнес-ориентированными задачами, от решения которых напрямую зависит эффективность и конкурентоспособность всей компании.
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Мобильные рабочие места в корпоративном ландшафтеSergey Orlik
Ключевые слайды презентаций на конференции IDC по корпоративным мобильным решениям - IDC Enterprise Mobility Conference 2012 (апрель). Центр корпоративной мобильности АйТи - Платиновый партнер конференции. (в рамках презентаций проводились живые демонстрации решений упоминающихся в презентациях)
SICenter - презентация по BSM (Business Service Management) - системам монито...Yuriy Eysmont
Управление бизнес-услугами (Business Service Management, BSM) - это стратегия управления ИТ, осуществляемая средствами программного обеспечения с точки зрения перспектив бизнеса. Реализуя BSM, компании могут переориентировать свои ИТ-операции таким образом, чтобы они напрямую поддерживали критичные цели бизнеса. Такая стратегия помогает компаниям быстро распознавать и оптимизировать ключевые процессы на своем предприятии - и это действительно важно, ибо качество базовых бизнес-услуг может серьезно повлиять на успешность бизнеса.
Система автоматического контроля и мониторинга систем связиguestc05e89
Чем современнее и масштабнее становятся корпоративные сети связи, тем сложнее становится обеспечение их бесперебойной и качественной работы.
При большом количестве сетевых элементов и их типов уже невозможно «вручную» управлять сетью и, тем более, оперативно вводить в действие новые услуги. Этот тезис уже практически не требует обоснования и осознан большинством операторов связи. Учитывая скорость освоения новых технологий и услуг в отрасли связи, не будет преувеличением сказать, что эффективная эксплуатация и оперативное развитие сетей связи – одна из наиболее важных и сложных задач, стоящий перед каждой крупной компанией.
System Сenter - как комплекс управления жизненным циклом облачной информацион...Учебный центр Микротест
System Сenter - как комплекс управления жизненным циклом облачной информационной системы: ценности решения Microsoft Private Cloud и его компонентов
По материалам вебинара Георгия Гаджиева
Каждый из нас пользуется мобильным телефоном и редко кто задумывается о том, что по другую сторону радиосигналов и проводов находится огромная система, которую тоже кто-то тестирует. Хотите узнать, как она работает? Хотите узнать, как происходит тестирование у операторов сотовой связи?
Из доклада вы узнаете, как человечество пришло к существующим телеком-системам: из чего они состоят, как работают, что скрывается за мудреной аббревиатурой OSS/BSS. Вы узнаете, какие задачи выполняет отдел тестирования, какие используются стратегии и техники: может быть что-то вы можете использовать и в своей, не менее интересной, доменной области?»
Similar to Issp автоматизация операционного центра безопасности банка (20)
Issp автоматизация операционного центра безопасности банка
1. АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОГО
ЦЕНТРА БЕЗОПАСНОСТИ БАНКА
Сергей Маковец
Технический Директор ISSP
sergey.makovets@issp.ua
Ул. Николая Гринченка 4
Тел. 044 390 03 01
Факс 044 390 03 02
2. • Компания Information Systems Security Partners –
интегратор решений для безопасности
информационных систем.
• Наше понимание системы информационной
безопасности определяется как решение, которое
обеспечивает стабильно высокий уровень
безопасности, не ограничивая при этом
возможностей, свободы и непрерывности бизнес-
процессов.
3. СОДЕРЖАНИЕ ПРЕЗЕНТАЦИИ
Ввод
• Что такое операционный процесс безопасности (ОПБ) и его
проблематика
Решение
• Система автоматизации ОПБ и ее структура
– Модули сбора информации
– Модули обработки информации и определения инцидентов
– Модули архивирования и хранения информации
– Модули реагирования
• Соответствие стандартам безопасности
Выводы
• Основные характеристики автоматизированного
операционного процесса безопасности
• Эффективность инвестиций в технологии автоматизации ОЦБ
• Позиции вендора на рынке
7. ЧТО НЕОБХОДИМО НАБЛЮДАТЬ ?
•Периметр
•Внутренняя сеть
•Рабочие станции
•Сервера
•Сотрудники
•Приложения
•Партнеры
•Клиенты
•Моб. Сотрудники
•Физ. безопасность
•Информация
•Процессы
•Политики
8. КАК УПРАВЛЯТЬ ПРОЦЕССОМ ИТ БЕЗОПАСНОСТИ ?
Управление Управление
Доступность
систем и сетью пользователями Управление
сервисов конфигурацией
Внутренние и
Соблюдение
стандартов ? внешние
? ? ?
угрозы
Сопровождение
Проверка ? Сетевой отдел и поддержка
Инфраструктура
Управление
развитием
Безопасность
Мониторинг
?
соответствия служб
ИТ Управление Неконтролируемая инфраструктура ?
Аудит и Риски
Сложные и дорогие аудиты ИТ Операции
Неэффективные ИТ операции
9. ВАША ИТ ИНФРАСТРУКТУРА УПРАВЛЯЕМАЯ ?!
НАРАЩИВАНИЕ СРЕДСТВ ИБ
НЕ ВСЕГДА ВЕДЕТ К
УМЕНЬШЕНИЮ РИСКОВ
БЕЗОПАСНОСТИ.
НЕКОНТРОЛИРУЕМАЯ ИТ
ИНФРАСТРУКТУРА ОПАСНА И
НЕЭФФЕКТИВНА
ИНВЕСТИЦИИ В СИСТЕМЫ ИТ
БЕЗОПАСНОСТИ
НЕОПРАВДАНЫ БЕЗ
АВТОМАТИЗАЦИИ ПРОЦЕССА
УПРАВЛЕНИЯ
БЕЗОПАСНОСТЬЮ.
11. ЗНАНИЯ
ПРИОРЕТИЗАЦИЯ
РЕАГИРОВАНИЕ
АРХИВИРОВАНИЕ
АНАЛИЗ
СБОР
12. АРХИТЕКТУРА РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ИБ
Правила Модули Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Архитектура ArcSight
для автоматизации Корреляция
событий
Архивирование
операционного процесса
управления безопасностью. Коннекторы
13. ИНТЕГРАЦИЯ С ИТ ИНФРАСТРУКТУРОЙ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Коннекторы ArcSight
Компонент для интеграции с ИТ инфраструктурой Механизмы реагирования
• Программный
Корреляция Архивирование
• Аппаратный событий
• Резидентный
• Внешний
Коннекторы
• Программируемый
14. КОННЕКТОРЫ ArcSight
•Базы Данных •Фильтрация
•Файлы и XML •Нормализация
•Syslog •Агрегация
•Журналы ОС •Кэширование
•Директории •Контроль загрузки канала
•Приложения и устройства •Шифрованная передача
Сетевые Устройства Физический Рабочие Источники Электрон Приложения и
Мобильные Серверы учетных Базы данных
устройства защиты доступ системы станции ная почта службы
записей
16. КОННЕКТОРЫ ArcSight
Стандартный
формат события
300+ продуктов Стандарт CEF (common
event format)
Универсальный коннектор, который можно подключить к любому, даже
«самописному ПО».
17. ОПРЕДЕЛЕНИЕ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Модуль ArcSight ESM
Ключевой компонент системы
Корреляция Архивирование
Собирает, хранит и анализирует информацию со событий
всех устройств, систем и ПО в ИТ инфраструктуре.
Коннекторы
18. КОРРЕЛЯЦИЯ
ArcSight ESM – интеллектуальный
«мозговой центр» – сердце
автоматизированного
операционного центра
безопасности.
Собирает события с любого ИТ оборудования,
приложений и систем
Анализирует и коррелирует события,
полученные с систем безопасности: DLP, IPS,
URL-Filtering, Сканеры безопасности, SSO,
AntiVirus, и т.д.
Анализирует информацию, полученную с систем
физического доступа, корпоративных
директорий, IdM, файловых серверов.
Обрабатывает информацию от бизнес
приложений и платежных систем
Корреляция и анализ событий в реальном
времени и по запросу в отношении
пользователя/системы.
19. МЕХАНИЗЫМЫ КОРРЕЛЯЦИИ
Интеллектуальная корреляция для мониторинга в реальном
времени и выявления аномалий
Статистическая
Корреляция в памяти Корреляция архива
корреляция
Корреляция прошедших событий,
Сотни правил корреляции «на лету» Определение величин и запланированная и корреляция по
Мониторинг в реальном времени отклонений от нормального запросу
поведения
Приоритизация,
Активные списки Графический
Категоризация основанная на
Автоматическая редактор правил
коннекторов эскалация событий модели риска Не требуется
об угрозах Уменьшает ложные программирование
срабатывания
20. ПРОСТОЙ ПРИМЕР КОРРЕЛЯЦИИ СОБЫТИЙ
Например, Банк, с ГО в Киеве и Одесским
отделением.
КАК В ЭТОМ ПРОСТОМ ПРИМЕРЕ ОБОЙТИСЬ БЕЗ МЕХАНИЗМА
КОРРЕЛЯЦИИ, ЧТОБЫ ОПРЕДЕЛИТЬ ЗАРАЖЕННЫЙ КОМПЬЮТЕР?
Киев Одесса Одесса Киев
В Киевском офисе IPS На файерволе
система 12.13.14.15 установлено Компьютер Соединение было
зарегистрировала атаку с SMTP соединение от 192.168.0.35 сброшено системой
адреса 12.13.14.15 на адреса 192.168.0.35 с установил SMTP IPS.
адрес почтового почтовым сервером. соединение с
сервера, порт 25 почтовым сервером
21. ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ: МОДЕЛЬ АКТИВОВ
Модель активов
Критичность Уязвимость
устройства устройства
Присвоение уровней
Правила ли данное
Уязвимо
Правила
критичности разным устройство к этому
типам устройств Управление/ атак? Отчеты/
типу
Логика Логика
Критичность
История атак Актива
События, связанные Насколько важен
с этой целью данный актив
для бизнеса?
Механизмы реагирования
Архивирование
Значимые активы
22. ИНТЕЛЛЕКТУАЛЬНАЯ КОРРЕЛЯЦИЯ:
МОДЕЛЬ ПОЛЬЗОВАТЕЛЕЙ
Модель пользователей
Политика
Определение
Влияние данного
Кто скрывается за
проишествия
данным IP адресом?
на бизнес-риски
Роль
Профиль
Данное событие пользователя
сопоставимо с ролью
пользователя, Это нормальное
который свершил поведение?
его?
Значимые пользователи
24. АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ
Регистрация
ArcSight IdentityView пропусков
Запросы к БД
Пользователи Запись файлов
на USB
VPN Логины
Директории
Просматриваемые
файлы
Отправленные
Роли имейлы
Снимки экрана
Identity Management (IdM)
Веб серфинг
Запущенные
приложения
25. ОПРЕДЕЛЕНИЕ МОШЕННИЧЕСТВА С АККАУНТАМИ
ИНТЕРНЕТ
Веб-ресурс
Удаленный
сотрудник
Firewall VPN
Файловые сервера
Сервера БД
Локальный
сотрудник
Системы Директория
физического доступа
26. ХРАНЕНИЕ АРХИВА СОБЫТИЙ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Модуль ArcSight Logger
Компонент системы для долгосрочного хранения
информации Корреляция Архивирование
событий
• Собирает, хранит, и анализирует
информацию о предприятии
Коннекторы
• Нормализует информацию и предоставляет
возможности гибкой выборки, отчетов и поиска
27. РАССЛЕДОВАНИЕЯ ИТ БЕЗОПАСНОСТИ
Нормализованные данные архива –
идеальный инструмент для проведения
расследований
“Насколько долго это у нас происходит?”
“Кто еще в это вовлечен?”
Хранение событий в аутентичном и
нормализованном виде
Функции отчетности, поиска и выборки, 10х
архивация
28. ХРАНЕНИЕ АРХИВА СОБЫТИЙ
Правила Правила Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Консоли и модуль реагирования Механизмы реагирования
Настраиваемые консоли для различных
функциональных и служебных ролей офицеров Корреляция Архивирование
безопасности, администраторов и руководителей. событий
Модуль автоматического реагирования для
взаимодействия с директорией, сетевыми Коннекторы
устройствами и приложениями.
29. КОНСОЛИ ВИЗУАЛИЗАЦИИ СОБЫТИЙ
Интуитивное расследование и панели управления
Активные каналы для интуитивного расследования
Панели управления с возможностью углубляться в детали
Обозревательные панели
125 Интерактивных, графических окон представления (real-time data
monitors)
48 встроенных панелей управления, с вложенными просмотрами деталей
Интерактивное обнаружение: визуальное расследование
30. ГИБКАЯ СИСТЕМА ОТЧЕТОВ
РАЗНЫХ УРОВНЕЙ ДЕТАЛИЗАЦИИ
Отчеты соответствия нормам
Долгосрочный анализ
– события, нарушения политик,
риски или другие типы данных
Легкий и интуитивно-понятный
инструмент создания отчетов
Построение настраиваемых
графических отчетов
GUI-based – Не требует
программирования
Форматы экспорта:
– HTML, XLS, PDF
30
31. МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ
Устройство, которое взаимодействует с
инфраструктурой, превентивно реагируя на
возможные угрозы.
DROP
Virus.com
login
Андрей Андреев
в Киеве Через 10 минут
логинится в Андрей Андреев
систему Через Днепропетровский
прокси-сервер запрашивает
соединение с внешним
BLOCK веб-ресурсом
Директория
32. МОДУЛЬ АВТОМАТИЧЕСКОГО РЕАГИРОВАНИЯ
Татьяна
уходит из
офиса
Сетевой порт ее
розетки блокируется
автоматически
Андрей заходит в офис
Татьяны и видит
включенный компьютер.
Но он не может
подключиться к сетевым
приложениям !!!!
33. СООТВЕТСТВИЯЕ СТАНДАРТАМ БЕЗОПАСНОСТИ
Правила Модули Правила
Отчеты/ Управление/ Отчеты/
Логика Логика Логика
Регулятивные Бизнес Другие
Механизмы реагирования
Поддержка отраслевых
стандартов безопасности
Корреляция Архивирование
Модули для соответствия стандартам событий
безопасности.
Коннекторы
34. ЭВОЛЮЦИЯ ТЕОРИИ
СООТВЕТСТВИЯ СТАНДАРТАМ БЕЗОПАСНОСТИ
1 2 3
1. Мы прошли аудит? (Избежание
штрафов)
a) Покупка технологий 1. Как улучшить безопасность?
b) Наем специалистов ИБ a) Корреляция событий
c) Описание политик
3. Мы защищены? (Предотвращения b) Уведомление об инцидентах
нарушений и инцидентов) и их анализ
c) Автоматизация процесса
a) Инвентаризация активов управления безопасностью
b) Сегментация сетей
c) Инструменты для мониторинга и
определения угроз
35. PAYMENT CARD INDUSTRY (PCI)
Полноценное соответствие стандарту PCI
• Правила, политики, уведомления и отчеты
Прямое соответствие 12 требованиям
Трех-фокусная направленность: Payment
Card Industry
• Эффективное управление требованиями PCI
• Подготовка к аудиту
• Направленность на требования аудита
Более 100 отчетов формируют эффективное представление информации
28 правил автоматически определяют нарушение требования PCI
Многослойная система панелей управления предоставит детализированный
вид о статусе соответствия стандарту PCI
36. Пример консоли, PCI требование 7
Ограничить доступ к данным о держателях карт только служебной необходимостью
38. АВТОМАТИЗАЦИЯ МОНИТОРИНГА
Непрерывный
Установка нового оборудования, слияние
инфраструктур, реструктуризация,
модернизация систем не влияют на процесс
мониторинга.
Всесторонний
Встроенная поддержка более, чем 300
системам, интеграция с абсолютно любым ПО,
формат CEF, возможность чтения событий из
разных источников
Целостный
Наблюдение за пользователями и процессами.
Интеграция с корпоративными директориями,
IdM, DAM, DLP, SSO системами.
39. АВТОМАТИЗАЦИЯ ОПРЕДЕЛЕНИЯИНЦИДЕНТОВ
Продуктивный
Обработка сотен тысяч событий в час, анализ и
корреляция в реальном времени.
Комплексный
Сложные механизмы корреляции информации
об состояниях устройств, процессов и действий
пользователей.
Корреляция в реальном времени,
статистическая и корреляция архива.
Управляемый и самообучаемый
Возможность создания своих правил
корреляции, механизмов анализа и моделей
поведения.
Профилирование активности пользователей
позволяет выявлять мошенничество и
некорректные процессы в штатном рабочем
регламенте сотрудника
40. АВТОМАТИЗАЦИЯ ПРИОРЕТИЗАЦИИ
Мульти-критериальный
Каждый пользователь или актив имеет
несколько критериев релевантности: важность,
критичноcть, уязвимость…
Комплексный
Модели активов и пользователей позволяют
правилам корреляции учитывать критерий
значимости.
Интеллектуальный
Автоматическое изменение статусов
подозрительности/приоритетности/безопасности к
активам и пользователям в зависимости от их
активности.
41. АВТОМАТИЗАЦИЯ РЕАГИРОВАНИЯ
Настраиваемый
Ролевой доступ к консолям, настраиваемые
панели , разнообразные степени детализации и
разграничение доступа к деталям события
Автоматический
Модуль автоматического реагирования может
настроить IPS и файерволл, заблокировать
учетную запись, отправить команду сетевому
устройству или программе.
Уведомления и отчетность
Более 300 вариантов готовых отчетов, настраиваемые
уведомления. Шаблоны отчетов по стандартам
безопасности.
42. АВТОМАТИЗАЦИЯ ОПЕРАЦИОННОЙ ДЕЯТЕЛЬНОСТИ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ
Эффективность операций по обеспечению
ИТ безопасности и поддержке продуктов
банка.
Рациональное использование
человеческих ресурсов
Рациональное использование систем и
средств информационной безопасности
Обнаружение мошенничества и
превентивная защита от внутренних и
внешних рисков
Определение и исправление некорректно
работающих бизнесс-процессов
43. ПОЗИЦИИ ArcSight НА РЫНКЕ
6 лет подряд – лидер Gartner MQ
ArcSight первая компания, которая набрала
4 балла в Forrester WAVE
44. ПОЗИЦИИ ArcSight НА РЫНКЕ
ArcSight владеет наибольшей долей рынка
SIEM систем, 16% на 2007 год
Заработок за 4й квартал
составил : $39.3M
Доход компании увеличился на
34% за год.
45. Спасибо за внимание!
Сергей Маковец
Технический Директор ISSP
sergey.makovets@issp.ua
Ул. Николая Гринченка 4
Тел. 044 390 03 01
Факс 044 390 03 02
46. КАТЕГИРИЗАЦИЯ ПОЛЕЙ В СОБЫТИИ
Модель описания событий по всем типам устройств
Понимание уровней важности событий от типов устройств
Возможность языкового описания и независимого анализа устройств
Категоризация устройств и инвентаризация оборудования
Без категоризации Категоризация
47. НАБЛЮДЕНИЕ ЗА ПОЛЬЗОВАТЕЛЯМИ
За последние 3 года $10 Миллиардов
компании потратили на установку
корпоративных директорий и решений
для управления ролями IdM…
Но компании до сих пор не могут
ответить на вопросы безопасности,
например:
“Кто-нибудь использует чужие
аккаунты для доступа в систему?”
“Что на прошлой неделе делал наш
администратор БД?”
“Получают ли доступ к нашей
системам уволенные сотрудники?”
48. НОВЫЕ ВОЗМОЖНОСТИ ИЛИ НОВЫЕ УГРОЗЫ ?
Word processing Fishing
Exploits
Trojans
Datebases
Mobile code Website CRM
DoS
Corporate portals Buffer Overflows Virtualization
SAAS
Rootkits Viruses in
Videocasting attachments
E-banking File share
VoIP Interactive surveys
Viruses Webinars Worms
HTML Injections
Content Botnets
Information leaks Data Centers
management eCommerce SQL Injections
Email Cross-site
Newsletters
Scripting attacks WebOffice
Blog Mobility Spyware in
attachments Videocasting
49. КАК ОПРЕДЕЛЯТЬ ИНЦИДЕНТЫ ?
Внешняя среда Пользователи
Периметр
Приложения
Управление
Данные
доступом
БД
ПК и
DMZ периферия
Серверы
Доступ к
AD
Порталы: B2B,
BPO, Клиенты,
Партнеры Сетевое оборудование / Физическая
защита
Безопасность