Slides were shown at ZeroNights 2016

2. 20% вложений и 80% результата.
Как реализовать требования ИБ и не потерять
внутреннюю свободу.
Наталья Куканова, Игорь Гоц

3. Из чего же сделаны наши
сотрудники

4. Среда
4
01 Более 7 000 рабочих мест
02 Более 95% рабочих мест мобильные или удалённые
03 Более 30 версий операционных систем (Windows, MacOS, *nix)
04 Ежедневное изменение инфраструктуры
05 Разработчики и тестировщики – локальные администраторы
06 Отсутствие средств фильтрации трафика

5. 5

6. Выбор решения для NAC

7. Как получить
данные
7
01 Установленный агент
02 Скачиваемый агент
03 Удаленный вызов процедур (RPC)
04 Сканер уязвимостей
05 Мониторинг

8. Критерии
8
01 Профиль пользователя
• ОС
• Браузер
• Пароль
• Статус
02 Профиль компьютера
• Сертификат
• Имя компьютера
• ОС
• MAC-адрес
03 Антивирус
• Наличие
• Статус
04 Сертификат 802.1х
• Время
• Место
05 Обновление ПО
• Microsoft SCCM
• Casper Suite
• osquery

9. Источники
9
SIEM
802.1x
netflow
MS AD
ACSweb
AV
systems
access

10. Особенности
10
01 Полнота журнала
02 Скорость доставки журнала
03 Скорость индексации в SIEM
04 Скорость появления событий в выдаче
05 Порядок выборок
06 Скорость выборки

11. Принципы
применения
политик
11
01 Мягкое уведомление
• Письмо
• Тикет
02 Жесткое уведомление
• Письмо
• Тикет
• Сотрудник HD
• Руководитель
03 Блокировка
• Карантинный VLAN
• Доступ к email
• Обращение в HD

12. Тикет
12

13. Контроль
исполнения
политик
13

14. Примеры работы с
данными

15. Пользователь –
компьютер
15
service radius (802.1x)
enriched service log
Имя пользователя и имя на
сертификате совпадают?

16. Пользователь
или компьютер
16
antivirus log computer$
Это компьютер или
пользователь?

17. Разрешённое ПО
17
Какой браузер использует
пользователь?
service netflow
http_user_agent
download AV check
srt stats

18. Счастливые
часов не
наблюдают
18
Сейчас рабочее время?

19. 19

20. Контакты
sterh@yandex-team.ru
Наталья Куканова
gots@yandex-team.ru
Спасибо за внимание!
Игорь Гоц