Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
RBAC & ABAC: гибридное решение для управления правами доступаCUSTIS
Выступление Вячеслава Муравлева, нашего ведущего разработчика, на международной выставке InfoSecurity Russia (20 сентября 2016 года, Москва).
Видеозапись выступления:
https://vimeo.com/183804752
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
RBAC & ABAC: гибридное решение для управления правами доступаCUSTIS
Выступление Вячеслава Муравлева, нашего ведущего разработчика, на международной выставке InfoSecurity Russia (20 сентября 2016 года, Москва).
Видеозапись выступления:
https://vimeo.com/183804752
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
Solar inRights - IdM, каким он должен бытьSolar Security
Solar inRights – российский продукт класса (IdM), который позволяет автоматизировать процессы контроля и управления правами доступа сотрудников в информационных системах.
Решения HP для обеспечения информационной безопасностиКРОК
Более чем 20-летний опыт КРОК и лучшие технологии HP легли в основу единственного в России Центра решений HP по информационной безопасности (HP Solutions Center Security). Центр представляет собой лабораторию с функционирующими в реальных условиях системами, которые интегрированы как между собой, так и с базовой инфраструктурой.
Подробнее на http://www.croc.ru/promo/hpsc/?&tab=ES
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииLETA IT-company
Презентация Малявкина Александра Сергеевича,
заместитель директора Департамента консалтинга
компании LETA,
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Solar inRights - IdM, каким он должен бытьSolar Security
Solar inRights – российский продукт класса (IdM), который позволяет автоматизировать процессы контроля и управления правами доступа сотрудников в информационных системах.
Решения HP для обеспечения информационной безопасностиКРОК
Более чем 20-летний опыт КРОК и лучшие технологии HP легли в основу единственного в России Центра решений HP по информационной безопасности (HP Solutions Center Security). Центр представляет собой лабораторию с функционирующими в реальных условиях системами, которые интегрированы как между собой, так и с базовой инфраструктурой.
Подробнее на http://www.croc.ru/promo/hpsc/?&tab=ES
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииLETA IT-company
Презентация Малявкина Александра Сергеевича,
заместитель директора Департамента консалтинга
компании LETA,
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Руководство по формату событий для разработчиков программного обеспечения в целях полноценного логирования и интеграции с любыми системами SIEM (Security information and event management) и LM (log management).
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииDialogueScience
На вебинаре проведен обзор основных аспектов утечки конфиденциальных данных и методов противодействия утечкам, предлагаемых рынком информационной безопасности - решениям класса Data Leak Prevention, а также рассмотрены вопросы эффективности различных DLP-систем.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин, предоставляем доступ к нашим сбережениям и банковским счетам и т.д.
Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Приглашаем вас прослушать вебинар "Целенаправленные атаки на мобильные устройства", на котором получите советы по защите ваших мобильных устройств, увидите примеры атак и получите ответы на волнующие вас вопросы.
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
Обзор российского продукта SafeInspect.
SafeInspect - полнофункциональное российское решение для контроля привилегированных учетных записей и сессий в современных информационных системах.
Спикер: Сергей Шерстюк, Менеджер по развитию продуктов, Новые технологии безопасности (ООО НТБ).
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYDialogueScience
I. LACK OF EXPERTISE AND COMMUNICATION
II. LACK OF RIGHTS TO ACT
CONCLUSION
Dmitry Yarushevskiy | CISA | CISM
Head of ICS Cyber security department
JSC DialogueScience
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
Комплексная система защиты Websense TRITON APX, обеспечивает защиту от веб-угроз и управление доступом к ресурсам сети Интернет, защиту электронной почты и полноценную промышленную систему защиты от утечек.
Спикер:
Роман Ванерке, Руководитель отдела технических решений ЗАО «ДиалогНаука»
2. Создана в 1992 году СП «Диалог» и ВЦ РАН
Первыми и самыми известными отечественными
продуктами, поставляемыми компанией, были
ревизор ADinf, Doctor Web и Aidstest
В настоящее время ДиалогНаука является
системным интегратором в области
информационной безопасности
О КОМПАНИИ «ДИАЛОГНАУКА»
3. Содержание
• Общие сведения о SIEM системах
• Основные требования к данным системам
• Функциональность HP ArcSight Logger ESM
• Модель пользователя модель ресурса сетевая модель
• Дополнительные модули
• Базовые примеры использования
3
4. Общие сведения о SIEM
4
• LMS "Система управления журналами" (Log Management System) –
централизованная система сбора и хранения событий,
предоставляющая единый интерфейс доступа к поученным и
хранимым данным.
• SLM /SEM "Система управления событиямижурналами ИБ"
(Security Log/Event Management) - по сути система управления
журналами событий, но с минимальным анализом данных.
• SIM "Управление данными ИБ" - система управления активами,
ориентированная на ИБ. Содержит сведения об уязвимостях
хостов, результаты антивирусных сканирований и т.д.
• SEC "Корреляция событий ИБ" (Security Event Correlation) -
Система для поиска и выявления шаблонов повторяющихся
действий в журналах событий ИБ.
• SIEM "Система управления информационной безопасностью "
(Security Information and Event Management) - Система,
включающая в себя возможности всех перечисленных систем,
предназначенная для централизованного управления событиями
и данными ИБ.
5. Основные требования к SIEM системам
5
1. Сбор событий и получение сведений и контексте событий
2. Нормализация полученных данных
3. Корреляция
4. Приоритезация
5. Оповещения
6. Отчетность и визуализация
7. Документооборот
10. Модель пользователя модель ресурса сетевая модель
10
Расположение
Физическое
расположение
объекта
Атрибуты
Защищаемая сеть
Внешняя сеть
«Тёмная» сеть
Подсеть
Подсеть пользователей
или серверный сегмент?
Политики
Каково влияние
активности в данной
сети на бизнес?
Сетевая модель
11. Модель пользователя модель ресурса сетевая модель
11
Роль
Соответствует ли
активность роли
сотрудника?
Профиль
пользователя
С чем обычно
работает данный
пользователь?
Сопоставление
Кто стоит за данным
логином?
Политики
Каково влияние
события на бизнес?
Модель пользователя
12. Модель пользователя модель ресурса сетевая модель
12
Уязвимости
Подверженность
ресурса атакам
Репозиторий
ресурсов
Критичность
ресурса
Насколько критичен
данный ресурс
для бизнеса?
Важность
ресурса
Модель ресурса
13. Визуализация
13
• Интерфейс реального
времени с географическим
расположением объектов
и представлением
отклонений в параметрах
безопасности
• Отображение событий по
подразделениям или
устройствам
• Выбор между опасностью
события или его
категорией
• Интуитивно понятный
инструментальный
интерфейс для подготовки
табличных и графических
отчетов о безопасности
или показ карты
нарушений безопасности
15. Документооборот
15
• Этапы: обработка инцидентов в
соответствии с заранее заданным,
предназначенном для совместной
работы процессом
• Аннотирование инцидентов для более
полного анализа
• Интеграция со сторонними системами
документооборота
16. Дополнительные модули
16
• Соответствие стандартам
• PCI DSS
• HIPAA…
• Автоматизация и интеграция
• Threat Detector
• User Behavior Analytics
• System Monitoring
• Reputation Security Monitor
• Domain Name System Malware Analytics
18. О возможностях корреляции событий ИБ
Пример 1:
• Будем считать, что некоторая СМ имеет возможность определять
географическое расположение объекта по его IP-адресу
• Рассмотрим далее такую ситуацию:
СМ регистрирует факт удаленного доступа по VPN-каналу с IP-
адреса, который находится за пределами России, а в настройках
указано, что данный сотрудник не находится в зарубежной
командировке и может удаленно работать только внутри страны,
тогда система СМ автоматически сигнализирует о возможной
компрометации логина и пароля, при помощи которого был
выполнен удаленный доступ
19. О возможностях корреляции событий ИБ
Пример 2:
• Для операторов связи, предоставляющих доступ в Интернет по
логину и паролю, СМ при помощи корреляции может выявлять
факты одновременного доступа с одним и тем же логином и
паролем из географически разных точек, что может являться
признаком компрометации
Пример 3:
• СМ при помощи корреляции может сопоставлять
зарегистрированные действия пользователей с их
должностными ролями. Например, таким образом СМ может
зарегистрировать факт получения доступа рядового сотрудника
к бухгалтерской информации, к которой он не должен иметь
доступ
Пример 4:
• СМ при помощи корреляции может выявлять факты доступа к
конфиденциальной информации в ночное (или в нерабочее)
время
20. О возможностях корреляции событий ИБ
Пример 5:
• СМ при помощи корреляции может выявлять факт добавления и
удаления у обычного пользователя административных прав в
течение заданного промежутка времени. Это может
свидетельствовать о том, что пользователю не
санкционированно были добавлены права, и после того как он
выполнил определённые действия, эти права были удалены
Пример 6:
• СМ при помощи корреляции событий ИБ может выявить факт
доступа к конфиденциальной информации с одним и тем же
логином и паролем с разных компьютеров в течение
небольшого промежутка времени (например, одного часа)
• Это может свидетельствовать о компрометации логина и пароля
пользователя
• Точно также СМ может регистрировать факт доступа к
информации с одного компьютера, но с разными логинами и
паролями
21. О возможностях корреляции событий ИБ
Пример 7:
• Предположим, что система обнаружения вторжений,
установленная в какой-то автоматизированной системе,
регистрирует атаку типа «SQL injection» на сервис СУБД Oracle
сервера X
• Поскольку данная атака может нарушить работоспособность
базы данных, система обнаружения вторжений устанавливает
ей высокий уровень приоритета
• Однако СМ может проверить собственно сам факт наличия на
сервере Х базы данных Oracle, и только если она действительно
установлена, и подвержена указанной атаке, то тогда система
SIEM оставляет уровень приоритета без изменений
• В противном случае СМ позволяет понизить уровень приоритета
выявленного события
22. Вопросы?
Tel: +7 (495) 980-67-76 доб. 151
Web: www.DialogNauka.ru
E-mail: Rodion.Chekharin@DialogNauka.ru
117105, г. Москва, ул. Нагатинская, д.1
22