18. Клиенты

8. RuSIEM | WannaCryptor

9. RuSIEM | Сканеры уязвимостей

10. RuSIEM | Всего найдено

7. RuSIEM | Brute - Force

4. Что происходит? Была вероятность захвата сети злоумышленниками Злоумышленники обещали привести в действие логическую бомбу 11 марта в 12:00

1. Практика Использования SIEM Кейс из жизни Максим Николаевич Степченков, совладелец RuSIEM

19. Ответим на все вопросы Обращайтесь! Контактная информация: Сайт : www.rusiem.com Почта: info@rusiem.com Телефон: +7(495)748 - 83 - 11 Спасибо за внимание!

12. Текущая ситуация Сегодня 22 апреля – Благодаря проделанной работе удалось полностью отразить атаку злоумышленников – Составлен план последующих действий – Новая доменная инфраструктура с чистыми хостами – Процедура архивации – Единая точка входа – NGFW для контроля периметра – Все источники в SIEM и инциденты мониторятся – Усиленная политика ИБ и парольная политика

15. SIEM vs LM Корреляция LM Отчеты Инцидент - менеджмент Риск - менеджмент Поиск по событиям LM | RvSIEM (free) SIEM | RuSIEM 15 Аналитика Сбор событий с источников

11. Реагирование и защита – Контроль всех инцидентов в SIEM – Закрыли все точки входа, оставили 1 – центральную – Была перенастроена сеть по правилу: все, что не разрешено, то запрещено – Доступ только к бизнес - критичному сервису – Бэкап всех критичных сервисов на внешнее хранилище – Новая , защищенная доменная инфраструктура – Изолированная инфраструктура, куда переносятся узлы после тщательной проверки – Зараженные узлы выводятся из сети и обнуляются

14. Линейка продуктов RuSIEM RuSIEM — система мониторинга и управления событиями информационной безопасности на основе симптомов и анализа данных в реальном времени, для крупных и средних компаний RvSIEM (free) – классическое решение класса LM RuSIEM коммерческая версия RuSIEM Analytics RuSIEM Agent – агент под Windows OS

17. О компании RuSIEM Программный код c оздан российскими программистами 2014 с этого года ведется активная разработка >300 пилотных внедрений 10000 установок free - версии в мире в 2017 - 18 годах >50 партнеров в странах СНГ Резидент Сколково Продукт включен в реестр отечественного ПО

16. Конкурентные преимущества Полная поддержка русского языка Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на одну ноду ) Нет ограничений по количеству событий и источникам Приведенная к общем формату объектная нормализация Сохранение исходных RAW - событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Real - time и историческая корреляция Наличие собственных модульных агентов Разделение нагрузки на несколько серверов или виртуальных машин Легкая вертикальная масштабируемость

13. Где может применяться SIEM ? Сетевые атаки Шифрование файлов Откуда и когда блокировались учетные записи Изменение конфигураций «не админами» Выявление несанкционированных сервисов Отсутствие антивирусной защиты на новом установленном компьютере Контроль выполняемых команд на серверах и сетевом оборудовании Аудит изменений конфигураций (сетевых устройств, приложений, ОС) Везде, где из журналов событий можно извлечь полезную информацию Повышение привилегий Аномальная активность пользователя (массовое удаление/копирование) Обнаружение вирусной эпидемии Обнаружение уязвимости по событию об установке софта Оповещение об активной уязвимости по запуску ранее отключенной службы Обнаружение распределенных по времени атаках Влияние отказа в инфраструктуре на бизнес - процессы ПРИМЕРЫ СОБЫТИЙ

6. Что было обнаружено? Следующим шагом за ручным анализом, после подключения основных источников был анализ с помощью SIEM Было обнаружено – Malware 9 шт. – The onion router 1 шт. – WanaCryptor 3 шт. – WannaCry Killswitch Domain HTTP Request 4 шт. – Сканеры уязвимостей 33 шт. – Брутфорс 8 шт. – Syn Flood в сети – Golden Ticket – Скомпрометированный сервер партнеров И множество иных, менее значимых инцидентов

3. СОБЫТИЕ 1 Проникновение, зашифровали пару серверов, потребовали выкуп Инцидент. Хронология СОБЫТИЕ 2 Терминальный сервер скомпрометирован. 2 домена с Golden Ticket СОБЫТИЕ 3 Брутфорс с получением доступа к серверу партнеров 9 МАРТА 2021 Выведены из строя более 10 серверов, потребовали выкуп. Пригрозили убить все 9 МАРТА 2021 Подключение специалистов к расследованию, развернули SIEM , выявили точки проникновения и зараженные узлы 10 МАРТА 2021 Ограничили распространение, изолировали сеть, сняли бэкапы критичных сервисов Параллельно вели переговоры со злоумышленниками – затягивание времени 11 МАРТА – 25 МАРТА 2021 Защита сети ф

2. ЧТО ТАКОЕ SIEM И ЗАЧЕМ ОНА НУЖНА 2 SIEM представляет собой улучшенную систему обнаружения вредоносной активности и различных системных аномалий. Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по - отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. SIEM – система , которая собирает, анализирует и представляет информацию из сетевых устройств, средств защиты информации и информационных систем Также в систему входят приложения для контроля идентификацией и доступом, инструменты управления уязвимостями Сотни и тысячи устройств живут своей жизнью и генерируют миллионы событий, сообщая о том, что происходит с ними и вокруг. При этом необходимо реагировать только на часть из них Отдельные устройства, операционные системы только предоставляют события без детального анализа Для полной картины происходящего необходимо собрать воедино состояния с отдельных устройств Для этого и нужна SIEM - система

5. Развернули SIEM  30 минут на установку системы  2 часа на подключение основных источников Форензика зараженных узлов и сети  Таймлайн и атрибуция атак Настройка логирования с дополнительных источников в SIEM Планирование блокировки заражения и защиты Инцидент. Расследование Результат – Зараженные узлы и точки проникновения – Много закладок с внешним доступом, WannaCryptor и др. – Syn - flood в сети – Golden Ticket – Brute - Force и компрометация сервера партнеров