1. www.searchinform.ru СЁРЧИНФОРМ SIEM СЁРЧИНФОРМ SIEM Система мониторинга и корреляции событий информационной безопасности

4. Решение «СёрчИнформ» – это не «очередная SIEM», которая идет по пути, проложенному другими вендорами. Мы видим проблемы и действуем в «мире клиента», а не «представляем простое сложным» в собственных интересах. SIEM – продукт, который решает задачи безопасности, значит, любой ИБ- или IT-специалист должен свободно настраивать систему, работать с ней и оперативно реагировать на инциденты. «СёрчИнформ SIEM» учитывает это: не требует наличия навыков программирования и предлагает к использованию готовые скрипты и правила корреляции событий. Среди ключевых преимуществ программы – простота внедрения и возможность работы фактически «из коробки». Система поставляется с набором готовых политик и учитывает опыт и задачи компаний из всех областей бизнеса и отраслей экономики. Система работает по принципу «берем практические задачи и решаем их с помощью SIEM». Мы собрали мнения, практику и потребности клиентов «СёрчИнформ» и оформили их в виде готовых политик. Развиваться система будет аналогично: с добавлением поддержки новых источников данных клиент получает предустановленный набор правил. «СёрчИнформ SIEM» способна анализировать информацию из множества источников. Однако, есть решения, которые используются в подавляющем большинстве компаний: Active Directory, антивирусы, СУБД, почтовые серверы, файловые хранилища. Их поддержка реализована в первую очередь. «СЁРЧИНФОРМ SIEM» РЕШАЕТ ПРАКТИЧЕСКИЕ ЗАДАЧИ БИЗНЕСА “ — Если вы не можете объяснить это просто, то вы сами не понимаете предмет достаточно хорошо. Альберт Эйнштейн 4

5. КЕЙСЫ ПОДБОР ПАРОЛЕЙ SIEM оповестит службу безопасности о многократных попытках подобрать пароли к учетным записям сотрудников на одном или нескольких ПК. ВХОД ПОЛЬЗОВАТЕЛЯ ПОД СЛУЖЕБНОЙ УЧЕТНОЙ ЗАПИСЬЮ При использовании SQL Server создается доменная учетная запис ь с полным доступом ко всем базам данных. SIEM уведомляет, если при помощи служебных логина и пароля для SQL Server авторизовался пользователь, поскольку велика вероятность похищения конфиденциальной информации из этих баз. НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К КОРПОРАТИВНОМУ ПОЧТОВОМУ ЯЩИКУ Администратор почтового сервера может перенастроить систему так, чтобы получить доступ к почте топ-менеджера или другого работника. SIEM-система своевременно отреагирует на инцидент и оповестит службу ИБ. КОРРЕЛЯЦИЯ НАПРЯМУЮ НЕ СВЯЗАННЫХ ДАННЫХ Бывают ситуации, когда внешне безобидные события, полученные из различных источников, в совокупности несут угрозу. Например, когда происходит сброс пароля учетной записи топ-менеджера. В единичном случае это событие не привлечет внимание, но если с этой учетной записи впоследствии произойдет обращение к критичным ресурсам, SIEM-система зафиксирует инцидент. «МЕРТВЫЕ ДУШИ» В КОМПАНИИ IT-специалисты компании могут ослабить защиту корпоративной сети бездействием. SIEM определит, если администратор не удалит учетные записи уволившихся сотрудников. Например, бывший руководитель использует логин и пароль, чтобы просматривать коммерческие документы на сетевом диске. При очередной авторизации SIEM зафиксирует событие на ПК сотрудника и уведомит ИБ-службу. УЧЕТНЫЕ ЗАПИСИ AD: РАЗБЛОКИРОВКА, ПЕРЕИМЕНОВАНИЕ, ПРОСТОЙ ПАРОЛЬ В зоне риска также работники, которые давно не меняли пароль или передали его посторонним. Кроме того, администратор может временно переименовать чью-то учетную запись и предоставить доступ в сеть злоумышленникам. «СёрчИнформ SIEM» сообщит, если обнаружит подобные инциденты. A D 5 www.searchinform.ru

7. Преимущества «СёрчИнформ SIEM» ЛЕГКОЕ ВНЕДРЕНИЕ «СёрчИнформ SIEM» не требует долгой предварительной настройки. Предустановленные политики основаны на перечне типовых задач из практики клиентов «СёрчИнформ» в России и странах СНГ. SIEM дает первые аналитические результаты «из коробки». ПРОСТОТА ИСПОЛЬЗОВАНИЯ Работа с «СёрчИнформ SIEM» не требует навыков программирования. С настройкой пользовательской конфигурации SIEM справится любой специалист. Решение поставляется с набором готовых правил, что избавляет от необходимости создавать скрипты, писать правила корреляции событий. ПОДХОДИТ СРЕДНЕМУ И МАЛОМУ БИЗНЕСУ У «СёрчИнформ SIEM» низкие требования к аппаратно-программным средствам и приемлемая даже для малого бизнеса ценовая политика. Решение быстро интегрируется и требует минимальной настройки. УЧИТЫВАЕТ ОПЫТ ТЫСЯЧИ КЛИЕНТОВ Мы изучили опыт крупнейших клиентов компании, выявили общие потребности и лучшие практики, чтобы использовать их в «СёрчИнформ SIEM». РОССИЙСКИЙ ПРОДУКТ «СёрчИнформ SIEM» – продукт российского разработчика, удовлетворяющий требованиям закона об импортозамещении. СОЗДАЕТ УСЛОВИЯ ДЛЯ ПОЛНОЦЕННОГО ИНЦИДЕНТ-МЕНЕДЖМЕНТА SIEM постоянно обращается к источникам событий и обрабатывает н овые события еще на входе в систему. Специалист по безопасности получает запас времени, чтобы оперативно отреагировать на угрозу и сохранить стабильность защиты. СИМБИОЗ SIEM И DLP Одновременная работа SIEM и DLP-системы «КИБ СёрчИнформ» многократно повышает уровень информационной безопасности компании. SIEM в ыявляет аномальное поведение и определяет, как получен доступ к информации. КИБ оценивает содержимое всех коммуникаций. Связка систем дает возможность максимально полно расследовать инцидент и собрать доказательную базу. 7 www.searchinform.ru

8. ВЕЛИКОБРИТАНИЯ Лондон Телефон: +44 (0) 203 808 4340 Email: uk@searchinform.com АРГЕНТИНА Буэнос-Айрес пр-т Леандро Н. Алем 896, C1001AAQ Телефоны: +54 11 5984 2618 +54 911 5158 8557 Email: r.martinez@searchinform.com БРАЗИЛИЯ Сан-Паулу Вила-Олимпиа, Руа Гомес де Карвальо 1356, оф.16 Телефоны: +55 11 9 8973 2037 Email: v.prestes@searchinform.com Контакты РОССИЯ Москва (головной офис) 121069, Скатертный пер., 8/1, строение 1, этаж 2 Телефоны: +7 (495) 721-84-06 +7 (495) 721-84-06, доб. 125 (техническая поддержка) +7 (499) 703-04-57 Emails: info@searchinform.ru – общие вопросы support@searchinform.ru – технические вопросы order@searchinform.ru – вопросы приобретения pr@searchinform.ru – для прессы Санкт-Петербург Коломяжский пр., 27, лит. А, пом. 27Н Телефоны: +7 (812) 309-73-35 +7 (495) 721-84-06, доб. 119 Email: a.yanchuk@searchinform.ru БЕЛАРУСЬ Минск ул. Измайловская, 30 Телефон: +375 (29) 649-77-79 Email: ab@searchinform.ru КАЗАХСТАН Алматы ул. Ауэзова, 84, оф. 200 Телефоны: +7 (495) 721-84-06, доб. 137 +7 (727) 222-17-95 Email: d.stelchenko@searchinform.ru Казань ул. Островского, 57В, оф. 301–302 Телефоны: +7 (495) 721-84-06, доб. 126 +7 (843) 206-07-43 +7 (965) 600-53-07 Email: t.latushkina@searchinform.ru Хабаровск ул. Пушкина, 54, оф. 403 Телефоны: +7 (495) 721-84-06, доб. 131 +7 (4212) 47-59-92 +7 (914) 201-69-86 Email: d.kirilenok@searchinform.ru Екатеринбург ул. Серафимы Дерябиной, 24, оф. 801 Телефоны: +7 (495) 721-84-06, доб. 105, 117 +7 (343) 344-50-88 +7 (343) 344-51-38 Email: a.popov@searchinform.ru Новосибирск ул. Владимировская, 2/1, оф. 109 Телефоны: +7 (495) 721-84-06, доб. 106 +7 (913) 772-60-06 Email: alena.bugaenko@searchinform.ru

3. КАК РАБОТАЕТ СИСТЕМА? ПРОБЛЕМЫ СОВРЕМЕННЫХ SIEM Решение перечисленных проблем – «СёрчИнформ SIEM»! ШАГ 1 ШАГ 2 ШАГ 3 ШАГ 4 Сбор событий из различных источников: сетевое оборудование, ПО, средства защиты, ОС Приведение разнородных данных к общему виду Анализ данных и выявление угроз Фиксация инцидентов и оповещение в реальном времени 3 Важно, что SIEM проводит комплексный аудит и выявляет угрозы по совокупности событий, которые по отдельности выглядят безобидными. При всех достоинствах современных SIEM-систем большинство решений обладают одними и теми же недостатками: Сложность внедрения 1. Вендоры и интеграторы заявляют срок внедрения SIEM-системы от нескольких месяцев до года. Первые результаты – через 5-6 месяцев работы системы в «боевом режиме». 2. Сложность эксплуатации Большинство SIEM-систем требуют привлечения к работе высококвалифицированных специалистов: они пишут правила реагирования, настраивают источники событий, корректируют правила корреляции и т.д. В итоге компания-клиент не только платит за программный продукт, но и выплачивает немалую зарплату обслуживающему систему персоналу. 3. Сложность интеграции с существующей IT-инфраструктурой SIEM-система должна быть гибкой в интеграции с существующей IT-инфраструктурой, собирать и анализировать данные от большого числа разнородного оборудования и программного обеспечения. С этим может справиться далеко не каждая SIEM-система. Кроме того, заказчику необходима возможность разработки отдельного коннектора под индивидуальные потребности, что также предлагает не каждый вендор. 4. Высокая цена владения Некоторые продукты настолько дороги, что доступны лишь для узкого круга компаний. При этом цена владения системой складывается из цены покупки и цены обслуживания (техническая поддержка решения, стоимость услуг специалистов по настройке). В итоге SIEM-систему могут себе позволить лишь крупные корпорации с годовым оборотом в десятки миллионов рублей. www.searchinform.ru

2. IT-инфраструктура современной компании – сложный механизм, состоящий из множества корпоративных систем: ПРОБЛЕМА Многие из этих систем являются источниками данных, интересных злоумышленникам, а значит, нуждаются в особой защите. Угрозой для компании могут стать как действия администраторов систем (несанкционированное предоставление прав, неправомерное создание и удаление учетных записей, отключение фаервола), так и уязвимости в программном и аппаратном обеспечении, через которые преступники могут получить доступ к данным. Любые события в системах «логируются» (протоколируются). Однако вручную отследить, проанализировать и оперативно отреагировать на все события не представляется возможным. SIEM ВЫЯВЛЯЕТ: Вирусные эпидемии или отдельные вирусные заражения. Попытки несанкционированного доступа к данным. Ошибки и сбои в работе информационных систем. Критические события в средствах защиты. РЕШЕНИЕ «СёрчИнформ SIEM» – система для сбора и анализа событий безопасности в режиме реального времени, выявления ИБ-инцидентов и реагирования на них. SIEM аккумулирует информацию из различных источников, анализирует ее, фиксирует инциденты и оповещает о них. Сетевые экраны Базы данных ОС сервера и ПК Active Directory Почтовые сервера Приложения Антивирусы Сетевые устройства © ООО «СёрчИнформ», 2018 © ООО «СёрчИнформ», 02’2019 Лицензия No 0015110 ЦЛСЗ ФСБ России на разработку и производство средств защиты конфиденциальной информации год основания компании головной офис 2006 первый релиз DLP-системы 2010 открыли Учебный центр 2011 2014 2015 статус резидента «Сколково» 2016 Единый реестр российского ПО первый релиз «СёрчИнформ SIEM» 2017 в России DLP-система в «магическом квадранте» Gartner 2018 первый релиз модуля «КИБ СёрчИнформ ProfileCenter» Сертификат ФСТЭК России No 3924 на соответствие «СёрчИнформ SIEM» четвертому уровню контроля НДВ и технических условий 2000+ клиентов 1 200 000+ ПК под защитой DLP-системы первый релиз программы учета рабочего времени TimeInformer первая серия Road Show SearchInform в России 6 филиалов 6 представительств за рубежом 1995 Москва, Россия открыли направление профайлинга первая серия Road Show SearchInform в странах Латинской Америки, Ближнего Востока и Африки

6. Примеры готовых политик «СёрчИнформ SIEM» 6 И еще 200+ политик, которые используются в различных сочетаниях. Список коннекторов и правил непрерывно пополняется. DLP пересылает «СёрчИнформ SIEM» все наиболее важные события для оперативного реагирования: сработки по политикам и технические статусы компонентов. ДЛЯ ПОЧТОВЫХ СЕРВЕРОВ Доступ к почтовому ящику не владельцем Смена владельца почтового ящика Предоставление доступа к ящику Доступ к почтовому ящику не владельцем Смена владельца почтового ящика Предоставление доступа к ящику ДЛЯ КОНТРОЛЛЕРОВ ДОМЕНА И РАБОЧИХ СТАНЦИЙ Подбор паролей и устаревшие пароли Временное включение/добавление учетной записи Одна учетная запись на нескольких ПК Подбор паролей и устаревшие пароли Временное включение/добавление учетной записи Одна учетная запись на нескольких ПК ДЛЯ СЕРВЕРОВ И РАБОЧИХ СТАНЦИЙ LINUX Вход неизвестного пользователя Вход с повышенными привилегиями Многочисленные попытки неверной аутентификации SSH Вход с повышенными привилегиями Многочисленные попытки неверной аутентификации SSH ДЛЯ СУБД Изменение пароля имени входа админом БД Временное включение имени входа в состав роли Временная выдача доступа к объекту БД Изменение пароля имени входа админом БД Временное включение имени входа в состав роли Временная выдача доступа к объекту БД ДЛЯ ПОДКЛЮЧАЕМЫХ УСТРОЙСТВ Операции с исполняемыми файлами на устройствах Выполнение файла со съемного устройства Копирование большого числа файлов/объема данных на съемное устройство Выполнение файла со съемного устройства Копирование большого числа файлов/объема данных на съемное устройство ДЛЯ ОБРАЩЕНИЯ К ФАЙЛОВЫМ РЕСУРСАМ Обращение к критичным ресурсам Временная выдача прав на файл/папку Большое количество пользователей, работающих с файлом Временная выдача прав на файл/папку Большое количество пользователей, работающих с файлом ДЛЯ SYSLOG События ядра операционной системы События пользовательского уровня События системных демонов События ядра операционной системы События пользовательского уровня События системных демонов Самозащита антивируса отключена Выявлена вирусная эпидемия Выявлена сетевая атака ДЛЯ АНТИВИРУСОВ Самозащита антивируса отключена Выявлена вирусная эпидемия Выявлена сетевая атака ДЛЯ СРЕДЫ ВИРТУАЛИЗАЦИИ События входа/выхода VMview/VMware Неправильные пароли Удаление снапшотов События входа/выхода VMview/VMware Неправильные пароли Удаление снапшотов ДЛЯ СЕТЕВЫХ ЭКРАНОВ И УСТРОЙСТВ КОМПЛЕКСНОЙ СЕТЕВОЙ БЕЗОПАСНОСТИ События маршрутизации локального/запрещенного/ разрешенного трафика Изменение конфигурации брандмауэра События VPN-соединений и работы с оборудованием контроля и сбора данных разрешенного трафика Изменение конфигурации брандмауэра События VPN-соединений и работы с оборудованием контроля и сбора данных ДЛЯ ЖУРНАЛОВ 1С И КОНТРОЛЬНО-ВЕСОВЫХ АППАРАТОВ Вход в систему в нерабочее время Изменение данных проведенного документа События, генерируемые при резких скачках веса Вход в систему в нерабочее время Изменение данных проведенного документа События, генерируемые при резких скачках веса ДЛЯ CISCO Вход под встроенной учетной записью Вход с повышенными привилегиями Ошибки маршрутизации Вход под встроенной учетной записью Вход с повышенными привилегиями Ошибки маршрутизации Активность пользователя вне рабочего времени Активность давно отсутствующего пользователя ПО АКТИВНОСТИ ПОЛЬЗОВАТЕЛЯ Активность пользователя вне рабочего времени Активность давно отсутствующего пользователя