Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автоматизация хаоса»

1. searchinform.ru
Просто о сложном:
SIEM для отдела информационной безопасности
Евгений Матюшёнок
Заместитель коммерческого
директора SearchInform

2. Офисы во всех ФО России, а также
в Казахстане, Украине, Беларуси, Польше
Более 1600
клиентов в 8
странах мира
10лет на рынке
DLP, 20лет в IT
Более
1 000 000 ПК
под контролем
КИБ SearchInform
10уголовных дел
выиграно клиентами
против инсайдеров
SEARCHINFORM СЕГОДНЯ

3. SearchInform Event Manager (SIEM) – система, предназначенная
для сбора, мониторинга и анализа событий безопасности в
режиме реального времени.
SIEM аккумулирует информацию из различных источников,
анализирует ее, фиксирует инциденты и оповещает о них
заинтересованных лиц.
Что такое SIEM?

4. • Сбор событий из
различных систем
(сетевое оборудование,
программное
обеспечение, средства
защиты, ОС).
ШАГ 1
• Приведение
разнородных
данных к общему
виду.
ШАГ 2
• Анализ данных
и выявление
угроз.
ШАГ 3
• Фиксация
инцидентов и
оповещение
в реальном
времени.
ШАГ 4
Сложный механизм работы SIEM сводится к алгоритму:

5. 1. Сложность внедрения
2. Сложность эксплуатации
3. Высокая стоимость владения
Проблемы большинства SIEM
(цена лицензии + цена внедрения +
цена периодических настроек)

6. 1. Сбор и анализ требований и запросов
ИБ-специалистов.
2. Анализ недостатков современных SIEM.
3. Разработка понятной и простой в
эксплуатации SIEM-системы.
4. Разработка готовых политик, решающих
конкретные задачи клиентов.
SIEM для ИБ-отдела

7. Одновременная работа SIEM и DLP многократно повышает
уровень информационной безопасности компании.
SIEM выявляет аномальное поведение и определяет
способ получения доступа к информации. DLP оценивает
содержимое всех коммуникаций.
Связка систем дает возможность максимально полно
расследовать преступление и собрать доказательную базу.
Симбиоз DLP и SIEM

8.  Сетевые атаки во внутреннем и внешнем периметрах.
 Вирусные эпидемии или отдельные вирусные
заражения.
 Попытки несанкционированного доступа к
конфиденциальной информации.
 Мошенничество и целевые атаки (APT).
 Ошибки и сбои в работе информационных систем.
 Ошибки конфигураций в средствах защиты и
информационных системах.
Какие инциденты выявляет SIEM?

9. Что контролирует
SearchInform Event Manager?
SIEM-система способна анализировать информацию из множества источников.
Однако, есть решения, которые используются в подавляющем большинстве
компаний: Active Directory, антивирусы, Proxy, Exchange, бухгалтерские
программы. Их поддержка необходима в первую очередь.
• Обращения к файловым ресурсам.
• Контроллеры домена Active Directory.
• Антивирусы.
• СУБД (MS SQL, Oracle и т.д.).
• NetFlow (выявление подозрительной
сетевой активности, DDOS-атак и т.д.).
SIEM контролирует:
• Траффик сетевого оборудования
или Proxy.
• Среды виртуализации и
терминальные сервера.
• Агенты контроля рабочих станций.
• Почтовые сервера Exchange.
Появится до конца 2016 года:

10.  Временное переименование учетной записи.
 Подбор паролей и устаревшие пароли.
 Задание пароля администратором домена.
 Временное включение или добавление
учетной записи.
 Контроль старых учетных записей AD.
 Временная выдача прав доступа AD.
Примеры готовых политик
для контроллеров домена Active Directory
 Одна учетная запись на нескольких ПК
 Несколько учетных записей на одном ПК.
 Создание временной учетной записи.
 Изменение критичных групп пользователей.
 Использование служебных учетных записей.
 Очистка журнала событий пользователем.
 Изменение политики аудита.

11.  Обращение к критичным ресурсам.
 Временная выдача прав на файл.
 Временная выдача прав на папку.
 Большое количество пользователей,
работающих с файлом.
 Работа с определенными типами файлов.
Примеры готовых политик
для обращения к файловым ресурсам

12. 1. ЛЕГКОЕ ВНЕДРЕНИЕ
SIEM не требует долгой предварительной
настройки. Предустановленные политики
основаны на перечне типовых задач,
которые используют клиенты SearchInform
из России и стран СНГ.
SIEM дает первые аналитические
результаты «из коробки» – без
предварительных настроек.
2. ПРОСТОТА ИСПОЛЬЗОВАНИЯ
Сложность эксплуатации большинства SIEM-
систем требует привлечения к работе с ними
высококвалифицированных и дорогостоящих
специалистов.
SearchInform Event Manager разработан с
учетом этой проблемы: в решение встроены
универсальные политики безопасности, а
индивидуальные политики клиенту помогает
настраивать Отдел внедрения SearchInform.
Преимущества
SearchInform Event Manager

13. 4. УЧИТЫВАЕТ ОПЫТ
ТЫСЯЧ КЛИЕНТОВ
Мы изучили опыт
крупнейших клиентов
компании, выявили общие
потребности и лучшие
практики, чтобы
использовать их в
SearchInform Event Manager.
3. ПОДХОДИТ СРЕДНЕМУ И
МАЛОМУ БИЗНЕСУ
От 3 890 до 10 000 ₽ за один ПК.
Количество влияет на стоимость:
больше лицензий – меньше цена.
У SIEM низкие требования к
аппаратно-программным
средствам. Решение быстро
интегрируется и требует
минимальной настройки.
5. СИМБИОЗ SIEM И DLP
Одновременная работа SIEM и DLP
«КИБ SearchInform» многократно
повышает уровень информационной
безопасности компании. SIEM
выявляет аномальное поведение и
определяет способ получения доступа
к информации. КИБ оценивает
содержимое всех коммуникаций.
Связка систем дает возможность
максимально полно расследовать
преступление и собрать
доказательную базу.
Преимущества
SearchInform Event Manager

14. Подбор паролей
SIEM оповестит службу безопасности, если кто-то многократно пытается подбирать
пароли к учетным записям сотрудников на одном или нескольких ПК.
Вход пользователя под служебной учетной записью
При использовании SQL Server создается доменная учетная запись с полным доступом ко
всем базам данных. SIEM уведомляет, если при помощи служебных логина и пароля для
SQL Server авторизовался пользователь, поскольку велика вероятность похищения
конфиденциальной информации из этих баз.
Примеры работы SIEM
Несанкционированный доступ к корпоративному почтовому ящику
Администратор почтового сервера может перенастроить систему так, чтобы получить
доступ к почте топ-менеджера или другого работника. SIEM-система своевременно
отреагирует на инцидент и оповестит службу ИБ.

15. Учетные записи AD: разблокировка, переименование, простой пароль
Для похищения данных используются незаблокированные учетные записи уволенных
сотрудников. В зоне риска также работники, которые давно не меняли пароль или передают
его посторонним. Кроме того, администратор может временно переименовать чью-то
учетную запись и предоставить доступ в сеть злоумышленникам.
Корреляция напрямую несвязанных данных
Бывают ситуации, когда внешне безобидные события, полученные из различных источников,
в совокупности несут в себе угрозу. Например, когда происходит сброс пароля учетной
записи топ-менеджера. В единичном случае это событие не привлечет внимание, но если с
этой учетки в последствии происходит обращение к критичным ресурсам, SIEM-система
зафиксирует инцидент.
Примеры работы SIEM

16. «Мертвые души» в компании
IT-специалисты компании бездействием могут ослабить защиту корпоративной сети. SIEM
определит, если администратор не удаляет учетные записи уволившихся сотрудников.
Бывший руководитель использовал логин и пароль, чтобы просматривать коммерческие
документы на сетевом диске. При очередной авторизации SIEM зафиксировала событие на
ПК сотрудника и уведомила службу ИБ.
Обнаружение «нестандартных» нарушений
Один из «продвинутых» сотрудников пытался скопировать базу клиентов необычным
способом. Собственная учетная запись не позволяла ему получить информацию из CRM.
Пользователь создал новую учетную запись СУБД и попытался получить информацию
прямиком из базы данных. Одна из политик SIEM контролировала обращение новых
учетных записей к базе и система оперативно уведомила службу ИБ о нарушении.
Примеры работы SIEM

17. Благодарю за внимание!
Вопросы?
Евгений Матюшёнок
+7 (495) 721-84-06 (доб. 145)
e.matushenok@searchinform.ru
searchinform.ru