SlideShare a Scribd company logo

Внутренняя угроза: выявление и защита с помощью ObserveIT

Download as PPTX, PDF
BAKOTECH
BAKOTECH

Несмотря на всю сложность современных систем защиты информации, действия пользователей до сих пор являются самым слабым звеном в системе информационной безопасности компаний. Особенно если эти пользователи обладают повышенными правами доступа в ИТ-системах.

Software
1 of 29
ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT Евгений Гончаренко - БАКОТЕК
КТО ТАКИЕ OBSERVEIT?  Главный офис – Бостон, США  Разработка – Тель-Авив, Израиль  На рынке с 2006 года  Более 1200 клиентов в мире  $20M инвестиций от Bain Capital Ведущий разработчик решения по выявлению, мониторингу и защите от внутренних угроз ИБ
1,200+ КЛИЕНТОВ
ТИПЫ УГРОЗ ПОДРЯДЧИКИ ПРИВИЛЕГИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ СОТРУДНИКИ ВНУТРЕННИЕ УГРОЗЫ ВНЕШНИЕ УГРОЗЫ
Аудит и соответствие стандартам Сотрудники ____________________________ ______________ Копирование и передача информации С доступом к ключевым приложениям, люди под подозрением, на испытательном Подрядчики ____________________________ ______________ Кража интеллект. собственности и сбой в работе систем Контрактники, поддержка вендоров, аутсорсинг Привилег. пользователи ____________________________ ______________ Превышение доступа и утечка данных Help Desk, администраторы ТИПЫ УГРОЗ Внутренний аудит, соответвие внешним стандартам ИБ и внутренним политикам
Колл центры _________________________________________ ____________ Удаленный доступ НСД в HR Копирование данных Несанкц. доступ Облачные сервисы МОНИТОРИНГ СОТРУДНИКОВ Просмотр закрытой информации в приложениях, ошибки пользователя, использование запрещенных облачных сервисов
МОНИТОРИНГ ПРИВИЛЕГ. ПОЛЬЗОВАТЕЛЕЙ UNIX / LINUX _________________________________________ ____________ Windows _________________________________________ ____________ DBA ______________________________________ _______________ Сеть _________________________________________ ____________ Help Desk _________________________________________ ____________ Разрабочики WireShark PuTTY Toad RDPWinSCP Reg EditorCMD PowerShell DR JavaSSH Запрещенные изменения / доступ, передача привилегий, доступ к системным УЗ AD SQL PLUS
МОНИТОРИНГ ПОДРЯДЧИКОВ Подрядчики Консультанты Вендоры Аутсорсинг Внешние разработчики _________________________________________ ____________ Поставщики услуг ______________________________________ _______________ Несогласованные задачи, аномальная активность, несанкционированные изменения
ПРОБЛЕМЫ ПРИ БОРЬБЕ С ВНУТРЕННИМИ УГРОЗАМИ “Трудно отличить обычную работу от подозрительных действий” 3 из 4 профессионалов ИБ 260,000+ подписчиков
ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT Сбор ВыявлениеРеакция • Аналитика поведения пользователя • Уведомления о подозрительной активнсоти • Оценка рисков • Запись экрана • Логирование активности • Тегирование элементов приложений • Воспроизведение сессии • Информирование пользователя • Блокировка сессии ПРОСМОТР АКТИВНОСТИ ГЛАЗАМИ ПОЛЬЗОВАТЕЛЯ ВЫЯВЛЕНИЕ НСД К ДАННЫМ И ПРИЛОЖЕНИЯМ РАССЛЕДОВАНИЕ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ И НСД ЛЮДИ
Подрядчики РИСКИ ПОЛЬЗОВАТЕЛЕЙ Бизнес пользователи IT пользователи
КТО ЧТО ДЕЛАЛ
Пользователь Наше Решение Рабочий компьютер Служба безопасности КТО чем занимается в нашей сети??? ‘Admin‘ = Alex Запись Видео Сессии 2. Создание видеозаписи 1. Идентификация 3. Подробный анализ видеозаписи База Данных Аудита Список программ, файлов, URL-адресов Пользователь Смотрите Текстовый лог Alex Видео! Приложений Сисадмин Входит как ‘Administrator’ Класс! Теперь я знаю ответ!. Любой из протоколов
Может проще нажать кнопку ‘Replay Video’? Replay Video Видео запись покажет что именно происходило Можете объяснить – что тут происходит?
Мониторинг активности пользователей: Windows «Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей Every session that took place, identified with user name server, client etc. Why was this user editing the ‘hosts’ file??? Просто нажмите кнопку воспроизведения, чтобы увидеть что происходило! Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя В аудит попадают • Облачные приложения • Системные утилиты • Стандартные приложения Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки
Идентификация пользователя 16 Вход по общей учетной записью “administrator” Уведомление о записи действий Подтверждение доступа
Аудит третьих лиц • Мгновенный отклик – Всегда точно знаете чем занимается третья сторона •Воздействие на поведение пользователя – Захотите ли вы нарушать скоростной режим, если знаете, что впереди стоят камеры видеофиксации? •Прозрачность SLA и подтверждение правильности затрат – Не будет сомнений в том: что было сделано и в какие сроки •Нет «тыканья пальцами» – Моментальное нахождение проблемы и ее устранение 3rd-Party Vendor Monitoring
ObserveIT Video and Logs in CA UARM 18
ObserveIT Video and Logs in Splunk 19
АНАЛИЗ УГРОЗ
Simply mark all sensitive application elements V6.0 APPLICATION MARKING TOOL
УВЕДОМЛЕНИЯ ДЕЙСТВИЙ В ПРИЛОЖЕНИЯХ
АНАЛИЗ ПОВЕДЕНЧЕСКОГО РИСКА New Role On Watch List John Smith (Sales Engineer) EMEA Sales User Context User Activity 4 weeks ago +10 Connecting after hours +20 Changing sensitive configuration 3 weeks ago 2 weeks ago 1 week ago +10 Updating Customer Contact Details +20 Attempt to turn Firewall OFF +15 Running sensitive report in SAP 85 +15 +25 Viewing VIP patient records
ОТЧЕТНОСТЬ
ВАРИАНТЫ РАЗВЕРТЫВАНИЯ
Стандартное развертывание: клиенты Удаленные пользователи ObserveIT Сервер Управления Сервер базы данных Логи метаданных & Видеозахват Пользователи Данные аудита ObserveIT Агенты Локальный вход Desktop Internet
Шлюзовое решение (Без агентов) Корпоративный сервер (нет агентов) Корпоративные машины (нет агентов) Сервер Терминалов или Citrix сервер Published AppsPuTTY ObserveIT Агент Сессии пользователей Данные аудита Удаленные пользователи ObserveIT Сервер управления Сервер базы данных Метаданные & Видеозахват Internet • Агент устанавливается только на шлюз. Записываются все сессии проходящие через шлюз
Смешанное развертывание 28 Любой корпоративный сервер (нет агентов) Корпоративные машины (нет агентов) Чувствительные к нагрузке сервера (агенты установлены) Сервер Терминалов или Citrix сервер ObserveIT агент Удаленные и Локальные пользователи ObserveIT Сервер управления Сервер базы данных Метаданные & Видеозахват Internet Прямое подключение (не через шлюз) ObserveIT агент • Аудит всех пользователей проходящих через шлюз (вне зависимости от цели ресурса в сети) • Дополнительно установленные агенты на чувствительных серверах для большей глубины охвата Сессии пользователей Данные аудита
ЧТО ДАЛЬШЕ?  Тестовая версия http://www.observeit.com/tryitnow  Вопросы / пилот / цены observe@bakotech.com  Расписание вебинаров http://bakotech.ua/event-list/

Recommended

ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
 
Audit intro
Audit introAudit intro
Audit introcnpo
 

Recommended

ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
Alexey Kachalin
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Kaspersky
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
DialogueScience
 
Юзабилити лаборатория как процесс
Юзабилити лаборатория как процессЮзабилити лаборатория как процесс
Юзабилити лаборатория как процесс
Дмитрий Силаев
 

More Related Content

What's hot

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
Alexey Kachalin
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Kaspersky
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 

What's hot (20)

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 

Similar to Внутренняя угроза: выявление и защита с помощью ObserveIT

Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
DialogueScience
 
Юзабилити лаборатория как процесс
Юзабилити лаборатория как процессЮзабилити лаборатория как процесс
Юзабилити лаборатория как процесс
Дмитрий Силаев
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
Expolink
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
Expolink
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Expolink
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Expolink
 
Лекция 1 введение в тестирование ПО, основные понятия и принципы
Лекция 1 введение в тестирование ПО, основные понятия и принципыЛекция 1 введение в тестирование ПО, основные понятия и принципы
Лекция 1 введение в тестирование ПО, основные понятия и принципы
Sergey Chuburov
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
Презентация системы Экран
Презентация системы ЭкранПрезентация системы Экран
Презентация системы Экран
callips
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
Apps4All: Никита Любимов - Базовые понятия аналитики
Apps4All: Никита Любимов - Базовые понятия аналитикиApps4All: Никита Любимов - Базовые понятия аналитики
Apps4All: Никита Любимов - Базовые понятия аналитикиApps4All
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1
Компания УЦСБ
 
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
Expolink
 
Usability_testing
Usability_testingUsability_testing
Usability_testing
Iryna Kutsevych
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
SelectedPresentations
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Expolink
 
Системы мониторинга элементов системы безопасности распределённых объектов
Системы мониторинга элементов системы безопасности распределённых объектовСистемы мониторинга элементов системы безопасности распределённых объектов
Системы мониторинга элементов системы безопасности распределённых объектов
BDA
 
Usability ppt-last-140313103534-phpapp01
Usability ppt-last-140313103534-phpapp01Usability ppt-last-140313103534-phpapp01
Usability ppt-last-140313103534-phpapp01
Nickola14
 
Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016
Sergey Khodakov
 
Security Testing - Polazhenko Sergey
Security Testing - Polazhenko SergeySecurity Testing - Polazhenko Sergey
Security Testing - Polazhenko Sergey
QA Club Minsk
 

Similar to Внутренняя угроза: выявление и защита с помощью ObserveIT (20)

Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
 
Юзабилити лаборатория как процесс
Юзабилити лаборатория как процессЮзабилити лаборатория как процесс
Юзабилити лаборатория как процесс
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
 
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
InfoWatch. Дмитрий Бабушкин. "Жизненный цикл внедрения решения InfoWatch: от ...
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.
 
Лекция 1 введение в тестирование ПО, основные понятия и принципы
Лекция 1 введение в тестирование ПО, основные понятия и принципыЛекция 1 введение в тестирование ПО, основные понятия и принципы
Лекция 1 введение в тестирование ПО, основные понятия и принципы
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Презентация системы Экран
Презентация системы ЭкранПрезентация системы Экран
Презентация системы Экран
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
 
Apps4All: Никита Любимов - Базовые понятия аналитики
Apps4All: Никита Любимов - Базовые понятия аналитикиApps4All: Никита Любимов - Базовые понятия аналитики
Apps4All: Никита Любимов - Базовые понятия аналитики
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1
 
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
SearchInform. Николай Сорокин. "Как выбрать идеальную DLP-систему?"
 
Usability_testing
Usability_testingUsability_testing
Usability_testing
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Системы мониторинга элементов системы безопасности распределённых объектов
Системы мониторинга элементов системы безопасности распределённых объектовСистемы мониторинга элементов системы безопасности распределённых объектов
Системы мониторинга элементов системы безопасности распределённых объектов
 
Usability ppt-last-140313103534-phpapp01
Usability ppt-last-140313103534-phpapp01Usability ppt-last-140313103534-phpapp01
Usability ppt-last-140313103534-phpapp01
 
Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016Startups in cybersecurity - CISO Forum, April 18, 2016
Startups in cybersecurity - CISO Forum, April 18, 2016
 
Security Testing - Polazhenko Sergey
Security Testing - Polazhenko SergeySecurity Testing - Polazhenko Sergey
Security Testing - Polazhenko Sergey
 

More from BAKOTECH

SOAR
SOARSOAR
SOAR
BAKOTECH
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
BAKOTECH
 
Threat Detection & Response
Threat Detection & ResponseThreat Detection & Response
Threat Detection & Response
BAKOTECH
 
WatchGuard SD-WAN
WatchGuard SD-WAN WatchGuard SD-WAN
WatchGuard SD-WAN
BAKOTECH
 
WatchGuard WIPS
WatchGuard WIPSWatchGuard WIPS
WatchGuard WIPS
BAKOTECH
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
BAKOTECH
 
McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019 McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019
BAKOTECH
 
F5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложенийF5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложений
BAKOTECH
 
Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270
BAKOTECH
 
WatchGuard Internet Security Report
WatchGuard Internet Security ReportWatchGuard Internet Security Report
WatchGuard Internet Security Report
BAKOTECH
 
BreakingPoint от Ixia
BreakingPoint от IxiaBreakingPoint от Ixia
BreakingPoint от Ixia
BAKOTECH
 
Cloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIACloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIA
BAKOTECH
 
Network Visibility for Dummies
Network Visibility for DummiesNetwork Visibility for Dummies
Network Visibility for Dummies
BAKOTECH
 
SIEM for Beginners
SIEM for BeginnersSIEM for Beginners
SIEM for Beginners
BAKOTECH
 
SIEM для чайников
SIEM для чайниковSIEM для чайников
SIEM для чайников
BAKOTECH
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии
BAKOTECH
 
Надежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТНадежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТ
BAKOTECH
 
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
BAKOTECH
 
Обзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов OracleОбзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов Oracle
BAKOTECH
 
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможностиToad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
BAKOTECH
 

More from BAKOTECH (20)

SOAR
SOARSOAR
SOAR
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Threat Detection & Response
Threat Detection & ResponseThreat Detection & Response
Threat Detection & Response
 
WatchGuard SD-WAN
WatchGuard SD-WAN WatchGuard SD-WAN
WatchGuard SD-WAN
 
WatchGuard WIPS
WatchGuard WIPSWatchGuard WIPS
WatchGuard WIPS
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
 
McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019 McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019
 
F5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложенийF5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложений
 
Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270
 
WatchGuard Internet Security Report
WatchGuard Internet Security ReportWatchGuard Internet Security Report
WatchGuard Internet Security Report
 
BreakingPoint от Ixia
BreakingPoint от IxiaBreakingPoint от Ixia
BreakingPoint от Ixia
 
Cloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIACloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIA
 
Network Visibility for Dummies
Network Visibility for DummiesNetwork Visibility for Dummies
Network Visibility for Dummies
 
SIEM for Beginners
SIEM for BeginnersSIEM for Beginners
SIEM for Beginners
 
SIEM для чайников
SIEM для чайниковSIEM для чайников
SIEM для чайников
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии
 
Надежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТНадежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТ
 
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
 
Обзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов OracleОбзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов Oracle
 
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможностиToad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
 

Внутренняя угроза: выявление и защита с помощью ObserveIT

  • 1. ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT Евгений Гончаренко - БАКОТЕК
  • 2. КТО ТАКИЕ OBSERVEIT?  Главный офис – Бостон, США  Разработка – Тель-Авив, Израиль  На рынке с 2006 года  Более 1200 клиентов в мире  $20M инвестиций от Bain Capital Ведущий разработчик решения по выявлению, мониторингу и защите от внутренних угроз ИБ
  • 5. Аудит и соответствие стандартам Сотрудники ____________________________ ______________ Копирование и передача информации С доступом к ключевым приложениям, люди под подозрением, на испытательном Подрядчики ____________________________ ______________ Кража интеллект. собственности и сбой в работе систем Контрактники, поддержка вендоров, аутсорсинг Привилег. пользователи ____________________________ ______________ Превышение доступа и утечка данных Help Desk, администраторы ТИПЫ УГРОЗ Внутренний аудит, соответвие внешним стандартам ИБ и внутренним политикам
  • 6. Колл центры _________________________________________ ____________ Удаленный доступ НСД в HR Копирование данных Несанкц. доступ Облачные сервисы МОНИТОРИНГ СОТРУДНИКОВ Просмотр закрытой информации в приложениях, ошибки пользователя, использование запрещенных облачных сервисов
  • 7. МОНИТОРИНГ ПРИВИЛЕГ. ПОЛЬЗОВАТЕЛЕЙ UNIX / LINUX _________________________________________ ____________ Windows _________________________________________ ____________ DBA ______________________________________ _______________ Сеть _________________________________________ ____________ Help Desk _________________________________________ ____________ Разрабочики WireShark PuTTY Toad RDPWinSCP Reg EditorCMD PowerShell DR JavaSSH Запрещенные изменения / доступ, передача привилегий, доступ к системным УЗ AD SQL PLUS
  • 8. МОНИТОРИНГ ПОДРЯДЧИКОВ Подрядчики Консультанты Вендоры Аутсорсинг Внешние разработчики _________________________________________ ____________ Поставщики услуг ______________________________________ _______________ Несогласованные задачи, аномальная активность, несанкционированные изменения
  • 9. ПРОБЛЕМЫ ПРИ БОРЬБЕ С ВНУТРЕННИМИ УГРОЗАМИ “Трудно отличить обычную работу от подозрительных действий” 3 из 4 профессионалов ИБ 260,000+ подписчиков
  • 10. ЗАЩИТА ОТ ВНУТРЕННИХ УГРОЗ С OBSERVEIT Сбор ВыявлениеРеакция • Аналитика поведения пользователя • Уведомления о подозрительной активнсоти • Оценка рисков • Запись экрана • Логирование активности • Тегирование элементов приложений • Воспроизведение сессии • Информирование пользователя • Блокировка сессии ПРОСМОТР АКТИВНОСТИ ГЛАЗАМИ ПОЛЬЗОВАТЕЛЯ ВЫЯВЛЕНИЕ НСД К ДАННЫМ И ПРИЛОЖЕНИЯМ РАССЛЕДОВАНИЕ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ И НСД ЛЮДИ
  • 13. Пользователь Наше Решение Рабочий компьютер Служба безопасности КТО чем занимается в нашей сети??? ‘Admin‘ = Alex Запись Видео Сессии 2. Создание видеозаписи 1. Идентификация 3. Подробный анализ видеозаписи База Данных Аудита Список программ, файлов, URL-адресов Пользователь Смотрите Текстовый лог Alex Видео! Приложений Сисадмин Входит как ‘Administrator’ Класс! Теперь я знаю ответ!. Любой из протоколов
  • 14. Может проще нажать кнопку ‘Replay Video’? Replay Video Видео запись покажет что именно происходило Можете объяснить – что тут происходит?
  • 15. Мониторинг активности пользователей: Windows «Дневник Сервера» выдает список всех пользовательских сессий, на каждом сервере, для каждого из пользователей Every session that took place, identified with user name server, client etc. Why was this user editing the ‘hosts’ file??? Просто нажмите кнопку воспроизведения, чтобы увидеть что происходило! Четкая фиксация каждого запущенного приложения , каждого открытого окна и действия пользователя В аудит попадают • Облачные приложения • Системные утилиты • Стандартные приложения Воспроизведение Видео всей деятельности пользователя с любой заданной временной точки
  • 16. Идентификация пользователя 16 Вход по общей учетной записью “administrator” Уведомление о записи действий Подтверждение доступа
  • 17. Аудит третьих лиц • Мгновенный отклик – Всегда точно знаете чем занимается третья сторона •Воздействие на поведение пользователя – Захотите ли вы нарушать скоростной режим, если знаете, что впереди стоят камеры видеофиксации? •Прозрачность SLA и подтверждение правильности затрат – Не будет сомнений в том: что было сделано и в какие сроки •Нет «тыканья пальцами» – Моментальное нахождение проблемы и ее устранение 3rd-Party Vendor Monitoring
  • 18. ObserveIT Video and Logs in CA UARM 18
  • 19. ObserveIT Video and Logs in Splunk 19
  • 21. Simply mark all sensitive application elements V6.0 APPLICATION MARKING TOOL
  • 23. АНАЛИЗ ПОВЕДЕНЧЕСКОГО РИСКА New Role On Watch List John Smith (Sales Engineer) EMEA Sales User Context User Activity 4 weeks ago +10 Connecting after hours +20 Changing sensitive configuration 3 weeks ago 2 weeks ago 1 week ago +10 Updating Customer Contact Details +20 Attempt to turn Firewall OFF +15 Running sensitive report in SAP 85 +15 +25 Viewing VIP patient records
  • 26. Стандартное развертывание: клиенты Удаленные пользователи ObserveIT Сервер Управления Сервер базы данных Логи метаданных & Видеозахват Пользователи Данные аудита ObserveIT Агенты Локальный вход Desktop Internet
  • 27. Шлюзовое решение (Без агентов) Корпоративный сервер (нет агентов) Корпоративные машины (нет агентов) Сервер Терминалов или Citrix сервер Published AppsPuTTY ObserveIT Агент Сессии пользователей Данные аудита Удаленные пользователи ObserveIT Сервер управления Сервер базы данных Метаданные & Видеозахват Internet • Агент устанавливается только на шлюз. Записываются все сессии проходящие через шлюз
  • 28. Смешанное развертывание 28 Любой корпоративный сервер (нет агентов) Корпоративные машины (нет агентов) Чувствительные к нагрузке сервера (агенты установлены) Сервер Терминалов или Citrix сервер ObserveIT агент Удаленные и Локальные пользователи ObserveIT Сервер управления Сервер базы данных Метаданные & Видеозахват Internet Прямое подключение (не через шлюз) ObserveIT агент • Аудит всех пользователей проходящих через шлюз (вне зависимости от цели ресурса в сети) • Дополнительно установленные агенты на чувствительных серверах для большей глубины охвата Сессии пользователей Данные аудита
  • 29. ЧТО ДАЛЬШЕ?  Тестовая версия http://www.observeit.com/tryitnow  Вопросы / пилот / цены observe@bakotech.com  Расписание вебинаров http://bakotech.ua/event-list/

Editor's Notes

  1. Today we are going to talk about why User activity monitoring the most effective way to combat insider threats.
  2. And these are just 4 examples of the over 1,200 customer we have using ObserveIT everyday to identify and manage their user-based risk --click to next slide--
  3. We have over invested in Firewalls, A/V, DLP…. And yet, we still only have half the picture, we don’t understand what it is our users are actually doing.
  4. Now that we talked about how the solution works at a high-level, let’s quickly cover where other customers are leveraging our solution. From our Qualification call I know you’re interested in a specific use case, but I wanted to share other areas that might be of interest and why customer are using us. The scope of Insider threats expands Employees, Privileged users and even trusted third-parties. When dealing with Employees most customers are concerned data extraction and fraudulent activity within core applications. The use case can range from monitoring call center employees to individuals on HR Watch-lists. With Privileged Users, we see customer looking to see if users are abusing their access or concerned about data leakage. It can range from Help Desk user to DBAs to enforcing Segregation of Duties. We also see a lot of customers looking to track all High Privilege Accounts like system admins on all their servers. Third-parties is a big one and where our roots tie back too. Most customers are monitoring third-parties to trust, but verify their work and make sure IP isn’t leaving with them or that they aren’t bring down any servers. We see customers monitoring Contractors, Remote Vendors to Completely Outsourced IT shops. Underpinning monitoring all of these groups is Audit and Compliance – whether it’s to satisfy Audit controls or map to a Security Framework. Now that we’ve covered the use cases at a high-level, which do you feel is most relevant to cover in the next part of this discussion?
  5. Because of the increasing use of applications that can leak data (e.g. Web Email, Drop Box, WeTransfer) and user that have access to sensitive information. Our customers are looking to monitoring employees to see if they are viewing information they shouldn’t be, are concern about User Error and if users are leveraging unauthorized cloud apps. Fraud SoD violations Financial Systems ERP CRM Call Centers Custom Apps Data Leaks “Snooping” Customer data PII /PHI / PCI Employee Turnover / New Hires HR Watch list Layoffs Two weeks notice Remote Workers IP Theft E-mail and instant messaging Thumb drive Exporting & Printing Reports Large copy paste operations   Sharing sensitive files on P2P networks
  6. Exchange Admins!! Today we see a lot of customers handing out root privileges like after-dinner mints. And when it comes to Privileged user monitoring, customer are concerned with unauthorized changes or access, admins abusing their privileges or what users are doing with local accounts. Unauthorized Changes Entitlement changes Creation of Local Accounts Password resets Abusing Privileges Admin / “Root” logins Lateral Movement ‘rm’ ‘cp’ with ‘sudo’ Creating “backdoors” ‘leapfrog’ logins Unnecessary Access Unauthorized access Unsecure ‘shell’ Unapproved ‘setuid’
  7. When it comes to 3rd Party Monitoring are customer want to identify any unscheduled tasks, detect abnormal remote access and look into any unauthorized changes. Abnormal Remote Access Using shared accounts through Terminal Services, Citrix and GoToMyPC “leapfrog” to a more restricted machine VPN. RDP, Telnet, SSH during non-business hours Unauthorized Changes Configuration files Entitlement changes Domain Admin rights su or sudo commands Creation of Local Accounts DROP TABLE or DROP INDEX command Password resets Unscheduled Tasks Installing applications (TeamViewer) Installing “backdoors “Snooping” or viewing information they shouldn’t be Data exfiltration Exporting reports large copy operations
  8. 3 out of 4 Security professionals say they Can’t distinguish between legitimate business use and abuse Crowd-based research in cooperation with the 260,000+ member Information Security Community
  9. Let’s talk about Insider Threat Intelligence with ObserveIT and what makes us different. First, we focus on the USER – after all – Insider Threats are a People Problem. This approach allows us to provide a clear picture of the risk users present and enables you to do something about it too. Second, we have a 3-step approach for providing the best Insider Threat Intelligence out there: ObserveIT is an agent based solution and essentially screen scrapes all activity and index the textual information on the screen. This includes “Collecting” the information need to distinguish abuse from legitimate use via Visual Screen Recording Technology, and transcribe what’s taking place into User Activity Logs. Next, we have unique capabilities to detect risky insider activity with rule-based User Behavior Analytics, and Activity Alerting. Finally, we have the ability to take action and quickly respond to users putting your business at risk with Live Session Response and Session Shutdown. We’ll dig into each of these capabilities in the demonstration portion of this meeting, but I wanted to give you and idea of how the solution works.
  10. When we dive deeper into the risk associated with our Users, we see there are many different types of users Business Users, IT Users and Contractors
  11. This is where ObserveIT comes in ObserveIT solves this critical missing gap – we answer the “WHO’S DOING WHAT” question We capture, record and monitor all user activity whether you Business Users, IT Users, and Thirst Party Contractors We provide video-like playback of the actual activity of your users and we create User Activity Logs that provide searchable, easy-to-understand audit trails for every action performed Our solutions alerts when we detect abnormal and suspicious user activity providing both an actual video replay of the user’s actions and a step by step use activity log of exactly what they did --- Click to Next Slide ---
  12. So, this is ObserveIT’s intuitive approach: Today, We have an IT Admin logging on to our servers, using generic ID’s such as ‘Administrator’ or ‘dba’ click At the same time, Sam the Security Officer is asking: Who is doing What? click Adding ObserveIT, the situation becomes much more clear. First of all, ObserveIT provides Shared-User Identification. So now, we know that this ‘Admin’ is really ‘Alex’ click Next, ObserveIT steps in with video recording of every user action, as looking over Alex’s shoulder while he is working. The result is a video recording that can easily be played back. click And even more, ObserveIT then analyzes this video session… We extract all the details of what Alex did… The apps he ran, files he opened, and more. click These three pieces of information: user identification, video capture, and video metadata are then collected in a centralized audit database click This of course makes Sam very happy
  13. Provider [Name] Microsoft-Windows-Security-Auditing   [Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4656 Version 1 Level 0 Task 12800 Opcode 0 Keywords 0x8020000000000000 TimeCreated   [ SystemTime] 2012-04-03T12:37:04.239600000Z EventRecordID 679838 Correlation - Execution  [ProcessID] 476   [ThreadID] 492 Channel Security Computer UNI-W08-Prod Security - EventData   SubjectUserSid S-1-5-21-3376939521-1815728488-1984618326-500   SubjectUserName Administrator   SubjectDomainName UNI-W08-Prod   SubjectLogonId 0x6489b   ObjectServer Security   ObjectType File   ObjectName C:\Windows\ObserveIT\Web\ObserveIT\Web.config HandleId 0xd8 TransactionId {00000000-0000-0000-0000-000000000000} AccessList %%1538 %%1541 %%4416 %%4417 %%4418 %%4419 %%4420 %%4423 %%4424 AccessReason %%1538: %%1801 D:(A;ID;FA;;;BA) %%1541: %%1801 AccessMask 0x12019f PrivilegeList - RestrictedSidCount 0 ProcessId 0x44c ProcessName C:\Windows\System32\notepad.exe  
  14. Point to the Server Diary Tab Point
  15. Here’s a few examples even. Here we see ObserveIT logs, as presented within CA’s UARM product…
  16. And here the ObserveIT logs are presented within Splunk.
  17. With 6.0 we add Insider Threat Intelligence to our User Activity Monitoring Solution to Cover the full scope of insider threat.
  18. A simple point-and-click Marking Tool allows you to mark - during configuration time – any in-app data elements that you wish to monitor in both your Desktop or Web applications. You can mark an area being viewed in the application, a specific button being clicked, and any data element such as customer names, email addresses, or phone numbers - as you can see in this mockup. ObserveIT agent will record any user exposures and interactions with these marked in-app elements. Once recorded, you can search the Recording Database for these data elements, create Reports, define Alerts, and export to SIEM In addition, Information collected for marked elements is displayed in ObserveIT session diaries and Video Player – providing an important application context while reviewing recorded sessions.
  19. A calculated user-based risk score will allow you to quickly identify your risky users. The score is a smart aggregation of risky user activities during the last period, taking into account various risk factors such as – how risky is the application involved?
  20. A dynamic report can automatically show all the sensitive data elements being viewed per user for each business application involved. In this mockup, John Smith viewed 2 customer records in Salesforce – and you can see the EXACT sensitive data that was viewed!
  21. There are 2 ways that you can deploy ObserveIT…
  22. The first is the standard deployment according to the architecture that we’ve seen so far… An agent is installed on each server that is being monitored, which feeds log data to the management server.
  23. A second deployment option is via a gateway server. If users are accessing your servers via a gateway, you can deploy a gateway-based agent only, which then captures the user actions that go through that gateway to each corporate server.
  24. ObserveIT’s flexibility allows you to deploy both ways simultaneously… A gateway for full network coverage for all standard user access… Plus agents on specific sensitive servers that require more detailed audit