УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Solar Security. Эльман Бейбутов: "Кто присмотрит за смотрящим? Как JSOC выявлял инциденты среди привилегированных пользователей"
1. Г. КАЗАНЬ
15 ОКТЯБРЯ 2015#CODEIB
ЭЛЬМАН БЕЙБУТОВ
РУКОВОДИТЕЛЬ
НАПРАВЛЕНИЯ JSOC
КТО ПРИСМОТРИТ ЗА СМОТРЯЩИМ?
КАК JSOC ВЫЯВЛЯЛ ИНЦИДЕНТЫ СРЕДИ
ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ
SKYPE
EMAIL
PHONE
ELMAN_BEYBUTOV
E.BEYBUTOV@SOLARSECURITY.RU
+7 985 721 66 22
SOLAR SECURITY,
РОССИЯ, МОСКВА
2. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
РОССИЙСКИЙ ПРОДУКТ КЛАССА IDM,
КОТОРЫЙ АВТОМАТИЗИРУЕТ ПРОЦЕССЫ
КОНТРОЛЯ И УПРАВЛЕНИЯ ПРАВАМИ
ДОСТУПА В СИСТЕМАХ
ВЫСОКОПРОИЗВОДИТЕЛЬНАЯ
DLP-СИСТЕМА, ОБЕСПЕЧИВАЮЩАЯ
КОНТРОЛЬ КОММУНИКАЦИЙ СОТРУДНИКОВ
СИСТЕМА ВИЗУАЛИЗАЦИИ
РАЗНОУРОВНЕВОЙ АНАЛИТИКИ И
МОНИТОРИНГА ЭФФЕКТИВНОСТИ ИБ
MSSP- ,ПРОВАЙДЕР ОКАЗЫВАЮЩИЙ СЕРВИСЫ ПО
,МОНИТОРИНГУ ИНЦИДЕНТОВ ИБ ЭКСПЛУАТАЦИИ
СРЕДСТВ ЗАЩИТЫ И ВЫЯВЛЕНИЮ ВЕКТОРОВ АТАК
6. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай первый:
«Как быстро открыть доступ или RFC на FW, ?»зачем это
-ИТ администратор
-Крупный телеком оператор
-Протестировать новое клиент серверное
приложение в предпроде
:Кто
:Где
:Зачем
:Точки контроля
Mount/unmount device
(Отклонения от профиля обращения на новые IP/port)
,Сканирования портов перебор стандартных учеток
:Источники
FW сегмента, Local logs, AV
7. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай второй:
Сломать CRM …и скрыться
-ИТ администратор
Банк
Неудачная попытка улучшить систему
:Кто
:Где
:Зачем
:Точки контроля
Изменение файлов в критичных директориях
/Запуск остановка процессов
Согласованные RFC по критичным приложениям
:Источники
Local logs, AV ( )модуль контроля запуска приложений
8. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай третий:
Инвентаризация с личной выгодой
- ,ИТ администратор работник склада
Оптовый ритейл
« »Вынести и продать лишнее
-Корректировки в СУБД из под учетки
-терминала сканера
:Кто
:Где
:Зачем
:Как
:Точки контроля
Использование служебных username с IP АРМ
Запросы в СУБД с IP АРМ
«Новый useragent»
:Источники
,СУБД LDAP
9. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай четвертый:
Zver-Админ с ZverCD - !!!на АРМ Клиент Банка России
-ИТ администратор
Банк
Установить АРМ КБР на новое место
Развернуть образ ОС с ZverCD,
Поставить ПО АРМ КБР
:Кто
:Где
:Зачем
:Как
:Точки контроля
Вредоносная сетевая активность
Вирусные заражения на хосте
:Источники
AV, FW
10. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай пятый:
Администратор с опытом фриланса
-ИТ администратор
-Крупный телеком провайдер
Чинить сеть из любой точки мира
Пропилил ACL до внутренних консолей
:Кто
:Где
:Зачем
:Как
:Точки контроля
Новые хосты в сегменте
Проверка отчетов сканеров уязвимостей
:Источники
FW, Vuln.Scanner
11. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай шестой:
VoIP-прокси для всех желающих
-ИТ администратор
Ритейл
…Случайно
Ошиблись маской подсети: /30 или /31
и выставили в Интернет VoIP-прокси
:Кто
:Где
:Зачем
:Как
:Точки контроля
Новые хосты в сегменте
Превышение порогов VoIP-трафика
VoIP-трафик в нерабочее время
:Источники
VoIP, FW, Vuln.Scanner
12. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай седьмой:
- - ?Дешевый кредит н н надо
Эффективный менеджер
Банк
Подзаработать
Получить доступ к цепочке
согласований VIP-условий
:Кто
:Где
:Зачем
:Как
:Точки контроля
Входы с разных учеток с одного IP
,Входы пользователей находящихся в
/отпуске больничном
:Источники
,ОС Application, HR, AD
13. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай восьмой:
Использование ресурсов уволенными сотрудниками
Менеджеры мобильных офисов
/Банк Телекомы
Повысить эффективность на новом месте
Просто дружить с пользователем системы
:Кто
:Где
:Зачем
:Как
:Точки контроля
Входы одной учетки с разных IP/hostname
« »Подключения из чужих провайдерских сетей
Входы в системы - ,из под учеток заблокированных в AD
:Источники
FW, AD, Application/WAF
14. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Случай девятый:
-Аудиторы консультанты с зараженными ноутбуками
Аудитор консалтинговой фирмы
Большая энергетическая компания
Провести анализ отчетов
Просто подключение ноутбука в сеть
:Кто
:Где
:Зачем
:Как
:Точки контроля
Callback в центры управления botnet
Вредоносная сетевая активность
Срабатывания антивирусов
Изменения веток реестра
:Источники
FW, AV, Local logs
16. #CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
SOLAR SECURITY,
РОССИЯ, МОСКВА
Работа по гарантированному SLA
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время обнаружения
инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой
диагностики и
информирования
заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи
рекомендаций по
противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч
18. СПАСИБО ЗА ВНИМАНИЕ!
#CODEIB
Г. КАЗАНЬ
15 ОКТЯБРЯ 2015
ЭЛЬМАН БЕЙБУТОВ
РУКОВОДИТЕЛЬ
НАПРАВЛЕНИЯ JSOC
SKYPE
EMAIL
PHONE
ELMAN_BEYBUTOV
E.BEYBUTOV@SOLARSECURITY.RU
+7 985 721 66 22
SOLAR SECURITY,
РОССИЯ, МОСКВА