1 / 25

Алексей Сова Информзащита

Системы сбора и обработки событий информационной безопасности. Алексей Сова Информзащита. Статистика Ernst&Young. Статистика от Verizon. Предварительный сбор информации злоумышленниками. Обнаружение злоумышленником возможности для совершения запланированных действий.

raine
Download Presentation

Алексей Сова Информзащита

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Системы сбора и обработки событий информационной безопасности Алексей Сова Информзащита

  2. Статистика Ernst&Young

  3. Статистика от Verizon Предварительный сбор информации злоумышленниками Обнаружение злоумышленником возможности для совершения запланированных действий Обнаружение действий злоумышленника Пресечение действий злоумышленника

  4. Показательный пример • в результате внешнего вторжения хакерам в течение 1,5 лет удавалось воровать данные из центральной базы данных TJX • скомпрометированы данные более 45 миллионов клиентов: • 45,7 млн. записей о платежных картах покупателей • данные о 455 тыс. водительских прав людей, вернувших покупки без чека • убытки от ликвидации последствий утечки – $150 млн. (без учета налогов). По оценкам Forrester долгосрочные потери корпорации могут составить порядка $1 млрд.

  5. В чем же проблема? Степень ущерба и время восстановления напрямую зависят от скорости с которой организация выявит, проанализирует и среагирует на инцидент… Даже лучшая инфраструктура безопасности не может гарантировать того, что инцидент безопасности не произойдет Критичным для организации является наличие эффективных способов ответной реакции при возникновении инцидента ИБ

  6. В чем же проблема? Mainframes DirectoryServices UserAttributes PhysicalInfrastructure BusinessProcesses Anti-Virus Сотнимиллионов событий в день Applications Applications Applications Applications Sign-On Applications Sign-On Applications IdentityManagement Applications Applications Firewalls Applications Firewalls Applications Firewalls Firewalls Firewalls Firewalls/VPN IntrusionDetectionSystems Server andDesktop OS VulnerabilityAssessment NetworkEquipment AntiVirus AntiVirus Databases Невозможность… понимания происходящего в сети Риск… Уязвимость… к возрастающему числу угроз доступности сервисов

  7. Ищем решение

  8. Ищем решение

  9. Системы класса SIEM ArcSight ESMобеспечивает централизованный сбор, обработку и визуализацию происходящего в сети SecurityDevices PhysicalAccess IdentitySources NetworkDevices Servers Desktop Email Databases Apps Mobile

  10. Системы класса SIEM Преимущества Корреляция Взаимодействие Масштабируемость

  11. Взаимодействие Сбор и обработка событий с любых источников 275+ продуктов, 50+ категориях, 80+ партнеров Единый формат данных

  12. Корреляция Кто: идентификация оценка: Что Где: место в системе время: Когда Корреляция Как От миллионов событий к единицам, которые действительно важны

  13. Масштабируемость Управление событиями ИБ в режиме реального времени

  14. Архитектура системы ArcSightConsoleTM ArcSightWebTM Database Oracle 10g Web-интерфейс Консоль управления Анализ и корреляция ArcSightManagerTM Сбор данных SmartConnector FlexConnector

  15. Архитектура системы. Коннекторы Фильтрация Агрегация ArcSightManager Кэш Основные функции: • Сбор данных • Нормализация • Категоризация • Фильтрация • Агрегация События Централизованные обновления ArcSightConnector События SSL

  16. Архитектура системы. Manager Основные функции: • Приоритезация • Корреляция • Мониторинг и Расследования • Оповещения • Отчетность

  17. Manager: Приоритезация Основные факторы приоритезации: • Важность события • История событий (System Active Lists) • Критичность актива (Very High,High, Medium, Low, Very Low)

  18. Manager: Корреляция • Корреляция в режиме реального времени • >100 установленных правил корреляции • Статистическая корреляция • Историческая корреляция • Корреляция основанная на данных об уязвимостях • Корреляция основанная на данных о пользователе и его роли • Графический редактор для создания правил (без использования программирования)

  19. Manager: Мониторинг и расследование Active Channels для интерактивных расследований • Статистический обзор • Гисторграмма • Табличный вид • Возможности глубокой • детализации (drill down)

  20. Manager:Dashboards • Dashboards – наглядно и информативно • Графический и табличный вид • 169 графических блоков • 41 шаблон dashboards • Возможности глубокой детализации (drill down)

  21. Manager: Оповещения • Оповещения в режиме реального времени • Email, SMS • Оповещения в формате SNMP • Возможность интеграции с Service Desk

  22. Manager: Отчетность • 400 стандартных шаблонов отчетов • Отчетность касающаяся активов • Отчетность касающаяся событий • Отчетность касающаяся соответствия требованиям стандартов (SOX, PCI DSS, ISO 17799) • Графический пользовательский интерфейс • Гибкая схема создания отчета • Без использования программирования

  23. Результаты внедрения • Централизованный сбор, хранение и обработка событий ИБ • Автоматический анализ основанный на правилах корреляции • Мониторинг в режиме реального времени (до 24*7) • Использование средств визуализации и детализации инцидента • Снижение времени расследования и реагирования на инциденты • Снижение рисков информационной безопасности и повышение устойчивости бизнес-процессов за счет своевременного обнаружения и обработки инцидентов информационной безопасности

  24. 5 сертифицированных специалистов (ArcSight Certified Security Analyst, ArcSight Certified Integrator/Administrator) Проекты Банк из TOP50 РФ (Проект завершен, запланировано развитие) Банк из TOP50 РФ (Завершена первая стадия проекта, запланировано развитие) Один из крупнейших Белорусских банков (Проект завершен) Крупная финансовая корпорацияРФ (Проект завершен) Крупная государственная компания РФ (Проект начат, запланировано развитие) Одна из крупнейших телекоммуникационных компаний СНГ (Начато полномасштабное внедрение) В настоящее время проходит несколько тестовых внедрений в банках и государственных организациях Опыт компании ИНФОРМЗАЩИТА

  25. ВОПРОСЫ ? • (495) 980 23 45 • a.sova@infosec.ru Алексей Сова

More Related