Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации
Solar inRights - IdM, каким он должен бытьSolar Security
Solar inRights – российский продукт класса (IdM), который позволяет автоматизировать процессы контроля и управления правами доступа сотрудников в информационных системах.
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними.
2. Как узнать, какие изменения произошли в продукте?
3. Проблемы changelog и release note.
4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
SIEM - мониторинг безопасности в Вашей компанииSoftline
Единая консоль, где аккумулируется информация о событиях информационной безопасности
компании, что дает возможность получить полную картину уровня ИБ защищенности, сопоставлять
события и реагировать на них максимально быстро,
поддерживать соответствие состояния информационной безопасности внутренним
регламентам и внешним стандартам,
таким как PCI DDS, SOX и т. д.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
В условиях тотальной экономии и необходимости развития банка в мире онлайн-сервисов, обеспечение информационной безопасности становится неподъемной задачей. Использование управляемых услуг по информационной безопасности позволяют реализовать любые сценарии в максимально сжатые сроки при минимальном бюджете.
Корпоративное воровство. Как взять его под контроль Solar Security
14 апреля 2016 г. прошел вебинар "Корпоративное воровство. Как взять его под контроль". Галина Рябова, руководитель направления Solar Dozor, рассказала про аналитический функционал DLP-системы Solar Dozor и о том, как с его помощью можно выявлять мошеннические схемы в организациях.
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
3. solarsecurity.ru +7 (499) 750-07-70
Про Solar Security
3
Основные факты
Компания Solar Security разработчик ПО и провайдер
сервисов ИБ
Компания Solar Security основана компанией
«Инфосистемы Джет» – интегратором № 1 по
информационной безопасности на коммерческом рынке
Solar Security – это команда с двадцатилетним опытом
разработки продуктов и собственная исследовательская
лаборатория по анализу и прогнозированию инцидентов
информационной безопасности
4. Security as a Service =
= JSOC
Только представьте себе на минуту…
5. Позиционирование JSOC
• Подключение к сервисам ИБ здесь и сейчас, вместо проектирования,
внедрения, обучения и эксплуатации собственных систем
• Агрегация компетенций, партнерских связей и лучших технологий в
едином поставщике
Представление об аутсорсинге ИБ
• Мы первые в России развили идеи аутсорсинга SOC до первых
коммерческих подключений к центру мониторинга инцидентов
• В-первую очередь интересно предлагать емкие аналитические темы
• Мы гарантируем выполнение SLA по реагированию и разбору
инцидентов
Позиционирование Solar Security и JSOC
6. Опыт MSSP заграницей*
• Базовый мониторинг логов и хранение событий
(Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN)
• Предоставление Software as a Service (Web-, Email- security,
antiDDoS, MDM) в аренду с базовым мониторингом
Сервисы, доступные за рубежом
• Анализ хакерской активности в окружении конкретных
компаний-клиентов (APT detection)
• SIEM as a Service (не путать с SOC!)
• Практически не встречается – SOC as a Service
Малодоступные услуги западных MSSP
*Gartner, MSSP report, декабрь 2014
7. Почему аутсорсинг стал
интересен в России
От SIEM к SOC – Дорогу осилит смотрящий?
• Когда-то мы внедрили более 35 SIEM
• «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5
– 1.5 человека
• Примерно 80% компаний так и не построили SOC
• У 20% компаний через год обнаружились сложности с доступом в консоль SIEM
из-за забытых логинов и паролей
• Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и
дозакупки оборудования и ПО
Мы по-настоящему гордимся теми клиентами,
которые смогли построить SOC сами!
8. Зрелость SOC в России
Уровень зрелости SOC по
индустриям
Количество выполненных
проектов по SIEM с 2010 года
9. Почему это стало важным
Переход на APT – Кто еще не стал жертвой киберпреступности?
• «Рынок антивирусов умер» (с) вице-президент Symantec, 2014
• Взлет рынка «песочниц» для автоматического анализа ПО
• Смещение акцентов на атаки против инфраструктуры конкретной компании
10. Неудобные вопросы, но всё же…
Мониторинг
инцидентов
Вы потратили 200K$ на SIEM,
а сколько критичных
инцидентов в месяц вы
выявляете и разбираете?
Говорят, что опытный
специалист по SIEM – на вес
золота. Сможете ли вы
удержать сотрудника в
компании после года его
стажировок и практики?
Администрирование
систем ИБ
У вас около 15 решений в
области ИБ, а штат
сотрудников – не более 5
человек. Они успевают хотя
бы обновлять версии систем
безопасности, не говоря уже
о тонкой настройке правил?
Как быстро вы обычно
регистрируете сбой в
системах ИБ? Как вы думаете,
обо всех ли сбоях становится
вам известно?
Анализ кода
приложений
Правда ли, что безопасность
мало вовлечена в процесс
разработки кода, а
инциденты взлома
приложений приходится
разбирать пачками?
Не так то просто найти
специалиста ИБ, сильного в
программировании? Да,
впрочем, и наоборот тоже
12. Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять
таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств
защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за
инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
13. У нас есть, что предложить…
• Мониторинг инцидентов
• Противодействие киберпреступности
• Контроль защищенности
• Эксплуатация систем ИБ
• Анализ кода приложений
• Защита web-приложений
• Анти-DDoS
Предлагаем
SECaaS
15. Команда JSOC
Группа разбора инцидентов
Руководитель
департамента JSOC
(Дрюков В.)
Группа администрирования
Группа развития JSOC
(пресейл-аналитик,архитектор,
ведущий аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
16. JSOC: Мониторинг инцидентов –
если SIEM нет
Как это выглядит:
1. Оборудование и лицензии – арендная схема
2. Мониторинг и анализ инцидентов – силами JSOC
3. Подключение – установка сервера коннекторов и
настройка источников
Преимущества:
• Нет стартовых капитальных вложений
• Быстрый запуск услуги – до 1,5 месяцев
• Перекрестное информирование схожих по инфраструктуре клиентов об
обнаруженных атаках нулевого дня
• Агрегация информации об угрозах в одном центре мониторинга
17. JSOC: Мониторинг инцидентов –
если ArcSight уже есть
Как это выглядит:
1. Оборудование и лицензии – в собственности
клиента
2. Правила SIEM обогащаются сценариями JSOC
3. Команда JSOC анализирует все инциденты в SIEM
Преимущества:
• Обновление SIEM, тюнинг источников под задачи
• Более 1500 корреляционных правил, объединенных в 174 таргетированных
сценариев инцидентов ИБ
• Мониторинг и разбор инцидентов в режиме 24х7 при полном соблюдении
гарантированного уровня SLA
18. JSOC – Противодействие
киберпреступности
Как это выглядит:
1. Мы сообщим о том, что ваши учетные записи
были взломаны и выложены в Интернет.
Проведем анализ последствий такой
компрометации
2. Оперативный поиск zero-day троянов,
обнаруженных через JSOC, Group-IB, Kaspersky
3. Круглосуточное выявление обращений к
вредоносным ресурсам и входящих
подключений с опасных ресурсов
Преимущества:
• Наиболее релевантная российскому рынку информация об атаках, основанная на
информации бот-сетей и сенсорах, установленных в компаниях
• Информирование об атаке, когда она случилась у других, а не у вас
• Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в
различных сегментах российского рынка
19. JSOC – Эксплуатация систем ИБ
Как это выглядит:
Обеспечение работоспособности систем ИБ:
– Мониторинг «здоровья» систем,
восстановление работоспособности;
– Обновление версий, администрирование и
профилактика
Эксплуатация систем ИБ:
– Администрирование, разработка и
оптимизация политик;
– Оповещение о новых угрозах и обновление
сигнатур
Преимущества:
• Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной
смены специалистов JSOC;
• Применение лучших практик и высокой экспертизы команды JSOC для обеспечения
вашей безопасности;
20. JSOC – безопасность
внешних сервисов
Как это выглядит:
Защита от DDoS
– Мониторинг атак и переключение трафика на
очистку в облако Kaspersky
– Для клиентов Ростелекома услуга по очистке
трафика и защита канала с помощью Arbor
Web application firewall
– Предоставление WAF в аренду с полным
администрированием из JSOC
– Подключение к JSOC имеющегося WAF (Imperva,
F5) и эксплуатация/рекомендации настроек
Преимущества:
• Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и
конфиденциальность
• Минимальное вовлечение специалистов клиента и оперативная настройка политик и
сигнатур WAF при обнаружении новых угроз
21. JSOC - Контроль
защищенности
Как это выглядит:
• Инвентаризация систем
• Инструментальный анализ уязвимостей
• Адаптация отчетов о сканировании
• Формирование конечных рекомендаций для ИТ-
специалистов по устранению критичных
уязвимостей
• Сопровождение устранения уязвимостей
• Регулярная оценка защищённости от zero-day
Преимущества:
• Получение реальной картины уязвимостей инфраструктуры с учетом всех
особенностей архитектуры
• Технический и организационный контроль процесса закрытия уязвимостей ИТ-
службами
• Возможность высвободить время собственных специалистов от рутинных задач
обработки отчетов сканирования
22. JSOC – Анализ кода
Как это выглядит:
• Проверка исходного кода Java, PHP, C# и
более десятка других языков по запросу
• Анализ безопасности мобильных
приложений iOS, Android по бинарному
файлу
• Встраивание проверки безопасности кода в
процесс разработки ПО в компании
Преимущества:
• Результаты анализа предоставляются в формате конкретных рекомендаций по устранению
уязвимостей кода приложений с оценкой трудоемкости исправлений;
• Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия
уязвимостей без изменения кода;
• Возможность анализа приложений, разработанных на любых языках программирования:
как современных, так и устаревших