7. LAN Internet
1. Практика использования систем управления информацией о безопасности и событиями безопасности Сергей Шерстюк АйТи Таск
8. Есть авторизация на АРМ ... ... не зафиксирован проход через СКУД . ИНЦИДЕНТ ? Контроль доступа на разных уровнях
4. SIEM и регуляторы Article 30 EU GDPR "Records of processing activities" Requirement 10: Track and monitor all access to network resources and cardholder data Logging mechanisms and the ability to track user activities are critical in preventing, detecting, or minimizing the impact of a data compromise. The presence of logs in all environments allows thorough tracking, alerting, and analysis when something does go wrong. Determining the cause of a compromise is very difficult, if not impossible, without system activity logs. «1. Each controller and, where applicable, the controller’s representative, shall maintain a record of processing activities under its responsibility... »
11. Сергей Шерстюк s.sherstyuk@it - task.ru +7 (916) 100 - 77 - 68 it - task.ru rusiem.com Испытайте RuSIEM в вашей инфраструктуре ! Пилоты бесплатные ! Пилотная лицензия - 3 месяца Выделенный инженер По итогам составляется ПМИ и проводятся испытания
6. Доступ к критичным ресурсам в нерабочее время Доступ извне к внутренним критичным ресурсам Изменение конфигурации сетевого оборудования Контроль межзонных соединений (DMZ to Internet, Test zone – Production Очистка журналов событий на оборудовании Многочисленные попытки соединения с множеством хостов Обнаружение траффика на нестандартных портах Сетевые инциденты Многочисленные неуспешные попытки авторизации на точке доступа
10. Real - time и историческая корреляция с возможностью настройки правил пользователем Отсутствие необходимости приобретения дополнительного ПО Собственный Workflow для инцидент - менеджмента Файл в формате Json , txt, csv, txt Строки в БД MS SQL ( любой ) как события Windows event log ( любой , даже созданный пользователем журнал ) Бизнес - приложения СКУД АСУ ТП Syslog UDP/TCP с любых источников * nix/BSD/cisco/juniper/windows Реляционные БД
5. Примеры реализации Фрод и мошенничество Изменение конфигураций « не админами » Обнаружение НСД ( вход под учетной записью уволенного сотрудника ) Выявление несанкционированных сервисов Повышение привилегий Аудит изменений конфигураций ( сетевых устройств , приложений , ОС ) Выполнение требований законодательства и регуляторов Аномальная активность пользователя ( массовое удаление / копирование ) Контроль выполняемых команд на серверах и сетевом оборудовании
3. SIEM не отразит все атаки , но поможет упорядочить хаос , расследовать уже произошедшие инциденты и не допускать новых Сохранять все события так как это может сказаться на расследовании инцидентов , собрать доказательную базу Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания Оператор не должен просматривать все события , а только важные инциденты ( уже готовые выводы ) Применяемые методы позволяют оператору понимать « о чем это событие » Инвентаризация и комплайнс
9. Собственная разработка Приведенная к общему формату объектная нормализация Встроенная управляемая и редактируемая корреляция Высокая производительность ( Свыше 90000 событий на одну ноду ). Нет ограничений по количеству событий и источникам Сохранение исходных RAW - событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Наличие собственных модульных агентов . Разделение нагрузки на несколько серверов или виртуальных машин . Легкая вертикальная масштабируемость .
2. Что творится в инфраструктуре ? Большое количество сетевых устройств , приложений Стирание , переполнение журнала событий Непонятный исходный формат событий Кто дал полный доступ к базе данных для нового сотрудника Реагировать на каждый чих систем безопасности – неправильно ! Не будем смотреть логи – об инцидентах узнаем из газет Увидеть инцидент в логах нереально . Необходима масса факторов А « насколько плох вот этот алерт ?» - нет данных о критичности и влияния на процессы Распределенная инфраструктура