ݺߣ

ݺߣShare a Scribd company logo

титов российские Siem системы миф или реальность v03

C
cnpo

SIEM

1 of 28
Downloaded 19 times
Российские SIEM-системы: миф или реальность Алексей Титов, к.т.н. Руководитель проекта SIEM ЗАО «НПО «Эшелон»
Что такое SIEM 2 Security Information and Event Management (SIEM) Cистемы управления информацией и событиями в безопасности (СУИСБ) Класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия
Развитие технологии SIEM 3 Технология SIEM = SIM+ SEM SIM («управление информацией безопасности») сбор, хранение и анализ данных (взятых из журналов) подготовка отчетов по соответствию нормативным требованиям SEM («управление событиями безопасности») мониторинг событий безопасности в реальном времени выявление и реагирование на инциденты безопасности
Лидеры мирового рынка решений класса SIEM по мнению Gartner (2015 год) 4 • IBM Security QRadar SIEM; • HP ArcSight ; • Splunk Enterprise; • McAfee NitroSecurity; • LogRhythm.
Задачи SIEM Пример из практики 5 Аномалия работы маршрутизатора Загрузка процессора 97%0 попыток входа на АРМ Нарушение регламента работы c почтовой системой Повышенный уровень привелегий работы процесса Нарушена доступность системы
6 Традиционное управление АС без SIEM МЭ Антивирусы СОВ/СПВ (IDS/IPS) СКУД, IAM, МДЗ DLP Стационарные АРМ Мобильные АРМ Серверы Виртуальные машины Коммутаторы, мосты, маршрутизаторы Точки доступа Средства защиты информации Объекты АС
7 Система управления информацией и событиями в области безопасности МЭ Антивирусы СОВ/СПВ (IDS/IPS) СКУД, IAM, МДЗ DLP Стационарные АРМ Мобильные АРМ Серверы Виртуальные машины Коммутаторы, мосты, маршрутизаторы Точки доступа Средства защиты информации Объекты АС
Источники информации об инцидентах 8 Операционные системы СУБДСетевое оборудование Средства Защиты Информации Системы Управления Контролем Доступа и многое другое…
A.12.4 Logging and monitoring A.16 Information security incident management A.18 Compliance A.9.2 User access management A.9.4 System and application access control A.8.1.2 Ownership of assets A.8.2 Information classification A.8.1.1 Inventory of assets Нормативная база ISO 27001 9
10 Нормативная база СТО БР ИББС П. 8.12 Требования к мониторингу информационной безопасности и контролю защитных мер П. 8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности П. 8.15. Требования к анализу функционирования системы обеспечения информационной безопасности
Структура мер по обеспечению защиты 11 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) II. Управление доступом субъектов доступа к объектам доступа (УПД) III. Ограничение программной среды (ОПС) IV. Защита машинных носителей информации (ЗНИ) V. Регистрация событий безопасности (РСБ) VI. Антивирусная защита (АВЗ) VII. Обнаружение вторжений (СОВ) VIII. Контроль (анализ) защищенности информации (АНЗ) IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности информации (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) П 21 ФСТЭК П 17 ФСТЭК V. Регистрация событий безопасности (РСБ) XIV. Выявление инцидентов и реагирование на них (ИНЦ)
Практическое выполнение мер 12 П21 ПДН П17 ГИС Мера Содержание мер по обеспечению безопасности информации 4 3 2 1 _4 _3 _2 _1 ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных ? ? ? ? ? ? + + РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения + + + + + + + + РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации + + + + + + + + РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения + + + + + + + + РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти ? ? ? ? + + + + РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них ? ? + + + + + + РСБ. 7 Защита информации о событиях безопасности + + + + + + + + РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе - - - - ? ? ? ? ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации - - - - ? ? + + ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов ? ? + + - - - - ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами ? ? + + - - - - ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий ? ? + + - - - - ИНЦ. 5 Принятие мер по устранению последствий инцидентов ? ? + + - - - - РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения ++++++++
Рынок SIEM в России 13 ТУ • ArcSight ESM • RSA enVISION • RSA Security Analytics • IBM Security Qradar РД НДВ 4 и ТУ • McAfee SIEM • ПАК «Комрад» проходит сертификацию Сертифицированные ФСТЭК SIEM-системы
Схема уровней внедрения SIEM 14 Инвентаризация Анализ доступности Мониторинг параметров Корреляция событий Построение схем Сбор журналов и событий
Протоколы 15 Поддерживаемые протоколы и интерфейсы для передачи информации о событиях:  Syslog and Syslog-ng  SNMPv2 and SNMPv3  HTTP, HTTPS  SQL  WMI  FTP, SFTP  SSH  Rsync  Samba
Уровни масштабирования 16
Уровни масштабирования 17
Сканирование портов 18
Информация о домене 19 #whois 85.202.231.172 inetnum: 85.202.224.0 - 85.202.239.255 netname: MTK-MOSINTER-NET descr: ZAO MTK MOSINTER country: RU org: ORG-MMI5-RIPE admin-c: BDV67-RIPE tech-c: BDV67-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-by: MNT-MTK-MOSINTER mnt-routes: MNT-MTK-MOSINTER mnt-domains: MNT-MTK-MOSINTER source: RIPE # Filtered sponsoring-org: ORG-NA225-RIPE
Инвентаризация 20
Мониторинг доступности 21
Сканер уязвимостей 22
Отображение дампа трафика 23
Совместимость с открытым ПО 24
 ИТ-инфраструктура: – около 50 серверов, обслуживающих портал торговой площадки – сложная архитектура: МЭ, СОВ, СУБД, веб-серверы, шлюзы безопасного доступа – около 150 рабочих станций в офисной сети – более 50 операторов торговой площадки – более 1000 зарегистрированных пользователей торговой площадки История успеха: высоконагруженное web- приложение (торговая площадка). 25
 внедрение единого стандарта на сбор, хранение и обработку событий ИБ в обслуживаемой корпоративной сети Заказчика;  контроль параметров конфигурации и работы объектов ИТ-инфраструктуры в масштабе времени, близком к реальному;  оперативное оповещение администратора безопасности и обеспечение возможности реагирования на внутренние и внешние угрозы безопасности;  повышение эффективности управления событиями ИБ в ИТ-инфраструктуре за счёт автоматизации и упрощения процедур администрирования и периодического контроля журналов событий; Результаты внедрения 26
Перспективы развития 27  Разработка модуля хранения ненормализованных событий с возможностью поиска и агрегации  Разработка модуля корреляции ненормализованных событий  Разработка модуля отказоустойчивой кластеризации
Контактная информация 107023, ул. Электрозаводская, д. 24 +7(495) 223-23-92 +7(495) 645-38-11 http://www.npo-echelon.ru mail@npo-echelon.ru

Recommended

Siem
SiemSiem
Siem
cnpo
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
Expolink
защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
cnpo
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
Vlad Styran
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
Positive Hack Days
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Компания УЦСБ
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
Компания УЦСБ
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
Альбина Минуллина
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Компания УЦСБ
2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис
Компания УЦСБ
ВызовыИБРешения
ВызовыИБРешенияВызовыИБРешения
ВызовыИБРешения
Айдар Гилязов
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
Компания УЦСБ
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
Компания УЦСБ
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
RuSIEM
RuSIEMRuSIEM
RuSIEM
Olesya Shelestova
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
DialogueScience
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
trenders
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
Alexey Kachalin

More Related Content

What's hot (20)

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
Альбина Минуллина
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Компания УЦСБ
2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис
Компания УЦСБ
ВызовыИБРешения
ВызовыИБРешенияВызовыИБРешения
ВызовыИБРешения
Айдар Гилязов
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
Компания УЦСБ
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
Компания УЦСБ
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
RuSIEM
RuSIEMRuSIEM
RuSIEM
Olesya Shelestova
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
DialogueScience
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
Альбина Минуллина
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Компания УЦСБ
2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис
Компания УЦСБ
ВызовыИБРешения
ВызовыИБРешенияВызовыИБРешения
ВызовыИБРешения
Айдар Гилязов
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
Компания УЦСБ
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
Компания УЦСБ
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
RuSIEM
RuSIEMRuSIEM
RuSIEM
Olesya Shelestova
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
DialogueScience

Similar to титов российские Siem системы миф или реальность v03 (20)

Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
trenders
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
Alexey Kachalin
ePlat4m Security GRC
ePlat4m Security GRCePlat4m Security GRC
ePlat4m Security GRC
Компания КИТ
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Expolink
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
Softline
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможности
Андрей Кучеров
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
Как правильно выбрать и внедрить SIEM-систему?
Как правильно выбрать и внедрить SIEM-систему? Как правильно выбрать и внедрить SIEM-систему?
Как правильно выбрать и внедрить SIEM-систему?
Positive Hack Days
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Solar Security
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
DialogueScience
Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)
SIEM Analytics
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
Softline
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
BAKOTECH
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
DialogueScience
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
trenders
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
Alexey Kachalin
ePlat4m Security GRC
ePlat4m Security GRCePlat4m Security GRC
ePlat4m Security GRC
Компания КИТ
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Expolink
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
Softline
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможности
Андрей Кучеров
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
Как правильно выбрать и внедрить SIEM-систему?
Как правильно выбрать и внедрить SIEM-систему? Как правильно выбрать и внедрить SIEM-систему?
Как правильно выбрать и внедрить SIEM-систему?
Positive Hack Days
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Solar Security
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
DialogueScience
Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)
SIEM Analytics
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
Softline
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
BAKOTECH
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
DialogueScience

More from cnpo (20)

Net graph
Net graphNet graph
Net graph
cnpo
Net topology
Net topology Net topology
Net topology
cnpo
Russian information security market
Russian information security marketRussian information security market
Russian information security market
cnpo
Certification
CertificationCertification
Certification
cnpo
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
cnpo
Politics
PoliticsPolitics
Politics
cnpo
Licensing
LicensingLicensing
Licensing
cnpo
Certification
CertificationCertification
Certification
cnpo
P dn docs
P dn docsP dn docs
P dn docs
cnpo
Social engineering
Social engineeringSocial engineering
Social engineering
cnpo
Audit intro
Audit introAudit intro
Audit intro
cnpo
Rubicon
RubiconRubicon
Rubicon
cnpo
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
cnpo
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
cnpo
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
cnpo
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
Net graph
Net graphNet graph
Net graph
cnpo
Net topology
Net topology Net topology
Net topology
cnpo
Russian information security market
Russian information security marketRussian information security market
Russian information security market
cnpo
Certification
CertificationCertification
Certification
cnpo
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
cnpo
Politics
PoliticsPolitics
Politics
cnpo
Licensing
LicensingLicensing
Licensing
cnpo
Certification
CertificationCertification
Certification
cnpo
P dn docs
P dn docsP dn docs
P dn docs
cnpo
Social engineering
Social engineeringSocial engineering
Social engineering
cnpo
Audit intro
Audit introAudit intro
Audit intro
cnpo
Rubicon
RubiconRubicon
Rubicon
cnpo
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
cnpo
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
cnpo
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
cnpo
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo

титов российские Siem системы миф или реальность v03

  • 1. Российские SIEM-системы: миф или реальность Алексей Титов, к.т.н. Руководитель проекта SIEM ЗАО «НПО «Эшелон»
  • 2. Что такое SIEM 2 Security Information and Event Management (SIEM) Cистемы управления информацией и событиями в безопасности (СУИСБ) Класс решений в области информационной безопасности, ориентированных на поддержку процессов управления как безопасностью, так и всей IT-инфраструктурой предприятия
  • 3. Развитие технологии SIEM 3 Технология SIEM = SIM+ SEM SIM («управление информацией безопасности») сбор, хранение и анализ данных (взятых из журналов) подготовка отчетов по соответствию нормативным требованиям SEM («управление событиями безопасности») мониторинг событий безопасности в реальном времени выявление и реагирование на инциденты безопасности
  • 4. Лидеры мирового рынка решений класса SIEM по мнению Gartner (2015 год) 4 • IBM Security QRadar SIEM; • HP ArcSight ; • Splunk Enterprise; • McAfee NitroSecurity; • LogRhythm.
  • 5. Задачи SIEM Пример из практики 5 Аномалия работы маршрутизатора Загрузка процессора 97%0 попыток входа на АРМ Нарушение регламента работы c почтовой системой Повышенный уровень привелегий работы процесса Нарушена доступность системы
  • 6. 6 Традиционное управление АС без SIEM МЭ Антивирусы СОВ/СПВ (IDS/IPS) СКУД, IAM, МДЗ DLP Стационарные АРМ Мобильные АРМ Серверы Виртуальные машины Коммутаторы, мосты, маршрутизаторы Точки доступа Средства защиты информации Объекты АС
  • 7. 7 Система управления информацией и событиями в области безопасности МЭ Антивирусы СОВ/СПВ (IDS/IPS) СКУД, IAM, МДЗ DLP Стационарные АРМ Мобильные АРМ Серверы Виртуальные машины Коммутаторы, мосты, маршрутизаторы Точки доступа Средства защиты информации Объекты АС
  • 8. Источники информации об инцидентах 8 Операционные системы СУБДСетевое оборудование Средства Защиты Информации Системы Управления Контролем Доступа и многое другое…
  • 9. A.12.4 Logging and monitoring A.16 Information security incident management A.18 Compliance A.9.2 User access management A.9.4 System and application access control A.8.1.2 Ownership of assets A.8.2 Information classification A.8.1.1 Inventory of assets Нормативная база ISO 27001 9
  • 10. 10 Нормативная база СТО БР ИББС П. 8.12 Требования к мониторингу информационной безопасности и контролю защитных мер П. 8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности П. 8.15. Требования к анализу функционирования системы обеспечения информационной безопасности
  • 11. Структура мер по обеспечению защиты 11 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) II. Управление доступом субъектов доступа к объектам доступа (УПД) III. Ограничение программной среды (ОПС) IV. Защита машинных носителей информации (ЗНИ) V. Регистрация событий безопасности (РСБ) VI. Антивирусная защита (АВЗ) VII. Обнаружение вторжений (СОВ) VIII. Контроль (анализ) защищенности информации (АНЗ) IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности информации (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) П 21 ФСТЭК П 17 ФСТЭК V. Регистрация событий безопасности (РСБ) XIV. Выявление инцидентов и реагирование на них (ИНЦ)
  • 12. Практическое выполнение мер 12 П21 ПДН П17 ГИС Мера Содержание мер по обеспечению безопасности информации 4 3 2 1 _4 _3 _2 _1 ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных ? ? ? ? ? ? + + РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения + + + + + + + + РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации + + + + + + + + РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения + + + + + + + + РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти ? ? ? ? + + + + РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них ? ? + + + + + + РСБ. 7 Защита информации о событиях безопасности + + + + + + + + РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе - - - - ? ? ? ? ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации - - - - ? ? + + ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов ? ? + + - - - - ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами ? ? + + - - - - ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий ? ? + + - - - - ИНЦ. 5 Принятие мер по устранению последствий инцидентов ? ? + + - - - - РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения ++++++++
  • 13. Рынок SIEM в России 13 ТУ • ArcSight ESM • RSA enVISION • RSA Security Analytics • IBM Security Qradar РД НДВ 4 и ТУ • McAfee SIEM • ПАК «Комрад» проходит сертификацию Сертифицированные ФСТЭК SIEM-системы
  • 14. Схема уровней внедрения SIEM 14 Инвентаризация Анализ доступности Мониторинг параметров Корреляция событий Построение схем Сбор журналов и событий
  • 15. Протоколы 15 Поддерживаемые протоколы и интерфейсы для передачи информации о событиях:  Syslog and Syslog-ng  SNMPv2 and SNMPv3  HTTP, HTTPS  SQL  WMI  FTP, SFTP  SSH  Rsync  Samba
  • 19. Информация о домене 19 #whois 85.202.231.172 inetnum: 85.202.224.0 - 85.202.239.255 netname: MTK-MOSINTER-NET descr: ZAO MTK MOSINTER country: RU org: ORG-MMI5-RIPE admin-c: BDV67-RIPE tech-c: BDV67-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-by: MNT-MTK-MOSINTER mnt-routes: MNT-MTK-MOSINTER mnt-domains: MNT-MTK-MOSINTER source: RIPE # Filtered sponsoring-org: ORG-NA225-RIPE
  • 25.  ИТ-инфраструктура: – около 50 серверов, обслуживающих портал торговой площадки – сложная архитектура: МЭ, СОВ, СУБД, веб-серверы, шлюзы безопасного доступа – около 150 рабочих станций в офисной сети – более 50 операторов торговой площадки – более 1000 зарегистрированных пользователей торговой площадки История успеха: высоконагруженное web- приложение (торговая площадка). 25
  • 26.  внедрение единого стандарта на сбор, хранение и обработку событий ИБ в обслуживаемой корпоративной сети Заказчика;  контроль параметров конфигурации и работы объектов ИТ-инфраструктуры в масштабе времени, близком к реальному;  оперативное оповещение администратора безопасности и обеспечение возможности реагирования на внутренние и внешние угрозы безопасности;  повышение эффективности управления событиями ИБ в ИТ-инфраструктуре за счёт автоматизации и упрощения процедур администрирования и периодического контроля журналов событий; Результаты внедрения 26
  • 27. Перспективы развития 27  Разработка модуля хранения ненормализованных событий с возможностью поиска и агрегации  Разработка модуля корреляции ненормализованных событий  Разработка модуля отказоустойчивой кластеризации
  • 28. Контактная информация 107023, ул. Электрозаводская, д. 24 +7(495) 223-23-92 +7(495) 645-38-11 http://www.npo-echelon.ru mail@npo-echelon.ru