2. РЕШЕНИЕ ДЛЯ КОНТРОЛЯ ВАШЕГО БИЗНЕСА SIEM : МИФЫ И РЕАЛЬНОСТЬ
1. Siem - мифы и реальность АЛЕКСАНДР УЧИТЕЛЕВ Менеджер по работе с партнерами QAZSIEM 27 ФЕВРАЛЯ ’20 АЛМАТЫ
12. Александр Учителев a.uchitelev@qazsiem.kz +7 916 372 04 40 СПАСИБО ЗА ВНИМАНИЕ # CODEIB
9. Вертикальное (филиалы) и горизонтальное (производительность) «Горячее» расширение без остановки сбора Поддержка слабых каналов между удаленными объектами Корреляция в центральном офисе без необходимости передачи всех событий «наверх» Распределенный поиск по событиям без необходимости «единого хранилища» 9 МАСШТАБИРУЕМОСТЬ
6. Направление развития SIEM систем очень обширно и выбор остается за Вами, что необходимо именно Вам. СЕГОДНЯ ЗАВТРА 6 Нормализация Asset Management Симптоматика GRC Threat Intelligence SOAR Vulnerability management SOC DL/ML/AI UBA
5. Какова причина роста функционала SIEM систем? • Потребность? • Отсутствие персонала? • Рост уровня угроз? ВЧЕРА СЕГОДНЯ Централизованный сбор событий (логов) Графическое представление и визуализация Оповещение Применение неуправляемых алгоритмов Корреляция Compliance 5
7. • Дорого? • Нужен только в зрелой инфраструктуре ? Будем внедрять как внедрим остальные СЗИ ? • Сложно подключить не типовые источники ? • Необходим высококвалифицированный персонал ? • Нужна поддержка 24 *7*365? • Долго настраивать правила корреляций? • Да мы можем сами быстро сделать! SIEM: Мифы и реальность! Стандартные вопросы и заблуждения 7
11. О КОМПАНИИ 11 Программный код c оздан отечественными программистами 2014 с этого года ведется активная разработка > 300 пилотных внедрений 12000 установок free - версии в мире в 2017 - 19 годах >50 партнеров в странах СНГ
3. ЧТО ТАКОЕ SIEM И ЗАЧЕМ ОНА НУЖНА 3 SIEM представляет собой улучшенную систему обнаружения вредоносной активности и различных системных аномалий. Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. SIEM - система собирает, анализирует и представляет информацию из сетевых устройств, средств защиты информации и информационных систем. Также в систему входят приложения для контроля идентификацией и доступом, инструменты управления уязвимостями. Сотни и тысячи устройств живут своей жизнью и генерируют миллионы событий, сообщая о том, что происходит с ними и вокруг. При этом необходимо реагировать только на часть из них. Отдельные устройства, операционные системы только предоставляют события без детального анализа Для полной картины происходящего необходимо собрать воедино состояния с отдельных устройств Для этого и нужна SIEM система
10. КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА 10 Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на одну ноду ) Нет ограничений по количеству событий и источникам Приведенная к общем формату объектная нормализация Сохранение исходных RAW - событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Real - time и историческая корреляция Наличие собственных модульных агентов Разделение нагрузки на несколько серверов или виртуальных машин Легкая вертикальная масштабируемость
8. СОБЫТИЯ НА ВХОД • Windows event log • Web servers • App servers • Load balancing • Network flow • Network payload • Транзакции • Почтовые системы • Межсетевые экраны • IPS • DNS logs • АСУТП • СКУД • Различные датчики • Спам - фильтры • Антивирусные системы • Сетевые устройства • Бизнес - приложения 8
4. • Сетевые атаки • Фрод и мошенничество • Откуда и когда блокировались учетные записи • Изменение конфигураций «не админами» • Повышение привилегий • Выявление несанкционированных сервисов • Обнаружение НСД (вход под учетной записью уволенного сотрудника) • Отсутствие антивирусной защиты на новом установленном компьютере • Изменение критичных конфигураций с VPN подключений • Контроль выполняемых команд на серверах и сетевом оборудовании • Аудит изменений конфигураций (сетевых устройств, приложений, ОС) • Выполнение требований Законодательства и регуляторов ( PCI DSS, СТО БР, ISO 27xx ) • Аномальная активность пользователя (массовое удаление/копирование) • Обнаружение вирусной эпидемии • Обнаружение уязвимости по событию об установке софта • Оповещение об активной уязвимости по запуску ранее отключенной службы • Обнаружение распределенных по времени атаках • Влияние отказа в инфраструктуре на бизнес - процессы ГДЕ МОЖЕТ ПРИМЕНЯТЬСЯ SIEM? Везде, где из журналов событий можно извлечь полезную информацию ПРИМЕРЫ СОБЫТИЙ 4