UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ
Для работы привилегированных пользователей создаются исключения в политиках безопасности и предоставляются преференции в ИТ-процессах. Средства защиты периметра обеспечивают привилегированным пользователям доступ внутрь сети и возможности удаления данных аудита, доступ к данным без уведомления. Получение доступа к контроллеру домена на основании доступного хэша пароля позволяет эскалировать привилегии существующих привилегированных учетных записей и создавать новые. Конечные точки создают плацдарм для атак, доступ к данным и средства эскалации привилегий вглубь инфраструктуры. Хищение привилегированных учетных данных и эскалация привилегий – сегодня являются основными причинами успешности атак.
Для работы привилегированных пользователей создаются исключения в политиках безопасности и предоставляются преференции в ИТ-процессах. Средства защиты периметра обеспечивают привилегированным пользователям доступ внутрь сети и возможности удаления данных аудита, доступ к данным без уведомления. Получение доступа к контроллеру домена на основании доступного хэша пароля позволяет эскалировать привилегии существующих привилегированных учетных записей и создавать новые. Конечные точки создают плацдарм для атак, доступ к данным и средства эскалации привилегий вглубь инфраструктуры. Хищение привилегированных учетных данных и эскалация привилегий – сегодня являются основными причинами успешности атак.
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
Критически высокие риски информационной безопасности возникают в случае злоупотребления привилегиями и ненадлежащего контроля доступа к привилегированным учетным записям.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
Критически высокие риски информационной безопасности возникают в случае злоупотребления привилегиями и ненадлежащего контроля доступа к привилегированным учетным записям.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Similar to UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Similar to UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ (20)
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного назначения: основные ценообразующие факторы и источники получения информации»
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного назначения: основные ценообразующие факторы и источники получения информации»
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Банковское обозрение
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для целей залога», предлагаемые национальной Ассоциацией оценочных компаний финансовых рынков»
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ
1. User Behavior Analytics
ПОВЕДЕНЧЕСКАЯ АНАЛИТИКА,
ОБНАРУЖЕНИЕ АНОМАЛИЙ В ДЕЙСТВИЯХ ПОЛЬЗОВАТЕЛЕЙ
Олег Бакшинский
Руководитель направления Security Intelligence
IBM Россия и СНГ
4. 4 IBM Security
Без чего UBA не взлетит ?
• User Identity System (clean and structured)
• Data sources / Inventory of critical logs
• Security Analysts / People with
organizational knowledge
5. 5 IBM Security
Рейтинг
Риска
Инсайдера
SENSE
ANALYTICSTM
ПОВЕДЕНЧЕСКАЯ
• Паттерны
• Профилирование
• Статистика
• Аномалии
КОНТЕКСТНАЯ
• Бизнес контекст
• Сущность пользователя
• Корреляция с угрозами
ВРЕМЕННАЯ
• Историческая аналитика
• В реальном времени
• Граничные правила
• Выявление угроз
Пользователи
Облачные
сервисы
Приложения
Базы данных
Сервера
DLP
Рабочие станции
Сетевое оборудование
Threat
Intelligence
3rd Party
SIEM feeds
Другая
аналитика
Выявляем подозрительных пользователей
• Конфигурация
• Тюнинг
• Валидация
• Базовая аналитика
• Машинное обучение
6. 6 IBM Security
Зачем нужна UBA ?
• Постоянный мониторинг
пользователей, активов и угроз
• Быстрее получать вводные и
реагировать
• Выстроить процесс расследования
• Упросить работу и улучшить
производительность ИБ
7. 7 IBM Security
Сценарии применения User Behavior Analytics (UBA)
Изменение во времени
Активность пользователя очень
отклоняется от нормальной в
коротком промежутке или постепенно
за длительный промежуток времени
Облачные сервисы
Пользователь обратился к облачным
сервисам или личному облачному
хранилищу для выгрузки важных
данных
Доступ к ценным активам
Пользователь начал обращаться и
скачивать важные данные с ценных
активов с увеличивающейся частотой
UBA Scenarios
Изменение прав уч.записи
Пользователь пытается изменить
права в существующей уч.записи или
создать новую в другой системе
Частота работы с активами
Активность пользователя с активом
резко возросла или доступ к
нескольким активам участился
Отличие поведения от
целевой группы
Паттерн активности пользователя
начинает отклоняться от его целевой
группы
Работа программ под
контролем вредоносного ПО
Атаки bot-сетей или вредоносов на
приложения или доступ к важным
данным
Выявление аномалии через
редкую последовательность
Пользователь совершил
последовательность действий
отличающуюся от всех остальных
Утечка важных данных
Пользователь манипулирует
параметрами запросов - ответов http
для скачивания важных данных
8. 8 IBM Security
Анализ поведения пользователя
Excessive,
suspicious http
activity
Using rarely
used privileges
Change in
account
privileges
Communicating
with malicious
sources on the
internet
Higher than
normal high-
value assets or
server access
Usage of an
account
changes
significantly
over time
Increase in
data transferred
to file sharing
User login
time / space
disagreements
First time
network access
or first-time
account usage
Users
accessing
infrastructure
from an unusual
location
First time
access of high-
value systems
User
accessing more
data from high-
value systems
than normal
Frequency of
privilege
revocation rates
User is an
outlier within
their peer group
Account usage
at unusual
times
Entitlement
anomaly or
user role
change
User HR risk
score or
flight risk
UBA Scenarios
Изменение во времени
Активность пользователя очень
отклоняется от нормальной в
коротком промежутке или постепенно
за длительный промежуток времени
Облачные сервисы
Пользователь обратился к облачным
сервисам или личному облачному
хранилищу для выгрузки важных
данных
Доступ к ценным активам
Пользователь начал обращаться и
скачивать важные данные с ценных
активов с увеличивающейся частотой
9. 9 IBM Security
Скомпрометированные учетки или выявление вредоноса
Detect
unmanaged
accounts
Using rarely
used
privileges
Change in
account
privileges
Accessing
from a jump
or a Tor
server
Internet
communication
with malicious
sources
Higher than
normal high-
value assets or
server access
Excessive,
suspicious
http activity
Usage
frequency of
an account
Login
failures
Access VPN
account from
unusual
location or
times
Users
Accessing
infrastructure
from unusual
location
Abnormal
change in
account
usage /
behavior
Account
usage
deviating from
peer groups
Access
frequency of
an account
Usage of a
canceled,
suspended or
blocked user
privilege
Account
usage at
unusual times
Logins
from multiple
devices,
multiple
places
Dormant
account
accessing
important
assets
UBA Scenarios
Изменение прав уч.записи
Пользователь пытается изменить
права в существующей уч.записи или
создать новую в другой системе
Частота работы с активами
Активность пользователя с активом
резко возросла или доступ к
нескольким активам участился
Отличие поведения от
целевой группы
Паттерн активности пользователя
начинает отклоняться от его целевой
группы
10. 10 IBM Security
Мониторинг интеллектуальной собственности
Dormant
account
accessing
important
assets
Device type
change
Large data
movements
Monitor high
value assets
Application
misuse –
response
parameters
Application
misuse –
session
replaced
Application
misuse by
invalid
sequence of
actions Anomaly in
activity in an
application
Abnormal
asset
access from
a specific
device
Remote
access hole
in corporate
firewall
Anomaly in
accessing
applications
Application
misuse –
sequence
mining Device is
used in a
recent
offense
Exfiltration
of data
Application
misuse –
HTTP
request
UBA Scenarios
Работа программ под
контролем вредоносного ПО
Атаки bot-сетей или вредоносов на
приложения или доступ к важным
данным
Выявление аномалии через
редкую последовательность
Пользователь совершил
последовательность действий
отличающуюся от всех остальных
Утечка важных данных
Пользователь манипулирует
параметрами запросов - ответов http
для скачивания важных данных
11. 11 IBM Security
Помощь аналитику в выявлении отклонений в поведении с течением
времени
• Учетная запись обращается к более ценным активам чем обычно
• Больше чем обычно данных перемещается
на/с серверов и/или внешние локации
• Привилегированная учетная запись имеет
доступ к важным серверам из новой локации
впервые
• Учетная запись используется впервые за
долгий промежуток времени
• Редкая эскалация привилегий
• Учетная запись используется из специфичной локации
• Пользователь проявлял ранее вредоносное
или угрожающее поведение
• Пользователь выделяется из своей группы
• Переход пользователя из группы в группу
Большое Окно Малое Окно
5 часов
2% времени приложение активно
1 час
4% Активности
100% увеличение активности
Большое Окно Малое Окно
Новая активность
12. 12 IBM Security
Какие UBA есть на рынке ?
Отдельный продукт
Часть другого
продукта (функционал)
Source: Gartner (December 2016)