Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и управлении инцидентами информационных систем организации

DialogueScience
DialogueScience

Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.

1 of 26
Download to read offline
MaxPatrol SIEM: система выявления инцидентов ИБ в реальном времени ptsecurity.com
Вас тихо “порадуют” 1 Почувствовать! 2 Вас громко “обрадуют” 3 Пригласить экспертов провести аудит 4 Внедрить систему выявления инцидентов ИБ: инструмент + специалисты + процессы 5 Как узнать об инциденте?
• Единая точка контроля ИБ и работы средств СЗИ • Унификация поступающей информации и её перекрестный анализ в едином интерфейсе • Средство выявления и расследования инцидентов ИБ • Средняя компания создает терабайты информации в месяц • Десятки систем различных типов, информация о сетевой активности и пользователях • Для качественного выявления инцидентов необходимо анализировать большую часть этой информации Почему необходим SIEM?
● Инцидент был вчера, а логи только за сегодня ● С рестартом служб перезаписывается лог файл ● Пока смотрели логи, часть уже затерлась ● Когда это было? Какой временной метке верить и кому верить вообще? Почему еще необходим SIEM
Мировая тенденция – разрыв увеличивается Дни, часы, минуты занимает компрометация Недели, месяцы проходят до обнаружения • Согласно Netwrix 2014 SIEM Efficiency Survey Report* 74% компаний (из 800 в 30 отраслях), внедривших SIEM, заявили, что SIEM почти не повлияли на число инцидентов безопасности в лучшую сторону • Согласно 2015 Trustwave Global Security Report** среднее время до обнаружения вторжения/ компрометации составляет 188 дней * http://www.netwrix.com/download/documents/2014_SIEM_Efficiency_Survey_Report.pdf ** https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf
Проблемы индустрии SIEM: мнения экспертов и аналитиков • 69% респондентов ищут возможность сократить стоимость SIEM • Разрастание персонала – причина №1 увеличения стоимости SIEM • Около 55% респондентов ищут дополнительных сотрудников для работы с SIEM • Почти 81% респондентов отметили что отчеты SIEM содержат много «шума» (ложных срабатываний). В 2014 году эту проблему отметили лишь 75% респондентов • При этом 63% респондентов отметили что отчеты SIEM недостаточны В опросе SIEM Efficiency приняли участие 234 enterprise-компании Выступление НТЦ «Вулкан» на уральском форумеАлексей Лукацкий, Эксперт ИБ
MaxPatrol SIEM: Активоцентрический подход Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ
MaxPatrol SIEM: Единая платформа Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ Network Compliance & Control Threat Modeling Host Compliance & Control Network Storage & Forensic Vulnerability Management
Поддержка источников – 100 – – 200 – – 400 – MaxPatrol SIEM: система выявления инцидентов ИБ
Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ Endpoint-агент для контроля: • Служб, сервисов, процессов • Файловой активности • Действий пользователей • Сетевой активности MaxPatrol SIEM: Сбор данных с конечных точек
MaxPatrol SIEM: Управление активами ` ОРГАНИЗАЦИОННАЯ ТЕРРИТОРИАЛЬНАЯ ФУНКЦИОНАЛЬНАЯ OS IP FQDN Soft version Hard ware CONFIG ASSET#2 ASSET#3ASSET#1 ASSET#1 1 2 3 4 5
MaxPatrol SIEM: Как это работает всё вместе 1
MaxPatrol SIEM: Модельные корреляции Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ
MaxPatrol SIEM: Топология сети
ptsecurity.ru MaxPatrol 8
Почему инфраструктура уязвима Программное обеспечение Социальная инженерия Слабые пароли Ошибки в настройках: • сетевого оборудования • систем защиты периметра • веб-приложений • баз данных Уязвимости веб-приложений Небезопасные беспроводные сети
Процесс управления уязвимостями Инвентаризация ресурсов Приоритизация задач Анализ защищенности ресурсов Устранение уязвимостей Проверка результатов устранения – Требует наличия узкопрофильных специалистов – Длительное время обслуживания каж- дого компонента ИС – Высокая роль человеческого фактора + Использует единые подходы для анализа всех компонентов ИС + Производится на регулярной основе автоматически + Формирует унифицированную отчетность 1 2 34 5
Maxpatrol 8 – решение Инвентаризация и контроль конфигураций Комплексная оценка защищенности Автоматизация контроля соответствия требованиям Технические и высокоуровневые отчеты Ежедневно обновляемая база знаний продукт года в категории Vulnerability Management по версии британской премии Cyber Security Awards 2016 1 2 3 4 5
Дополнительные сценарии R/3 R/3 ENTERPRISE ERP АСУ ТП ТЕЛЕКОМ NetWeaverTM
MaxPatrol 8 для SCADA MaxPatrol имеет встроенные проверки для специализированного сетевого оборудования, такого как Cisco Connected Grid, реализует поддержку Modbus, S7, DNP3, IEC104 и других промышленных протоколов. База знаний содержит более 30 000 проверок на уязвимости и требования по безопасности для HMI/SCADA, PLC, RTU ведущих производителей: Siemens, Schneider Electric, Rockwell Automation, ABB.
MaxPatrol 8 для Телеком 0 УСТРАНЕНИЕ ПЕТЕЛЬ КОММУТАЦИИ HUAWEI ПОСТРОЕНИЕ ТОПОЛОГИИ MEN-СЕТЕЙ КОНТРОЛЬ СООТВЕТСТВИЯ LOW LEVEL DESIGN АУДИТ MEN-СЕТЕЙ 1 3 GGSN RNC Node B 2 4
MaxPatrol 8 для SAP ИНВЕНТАРИЗАЦИЯ КОМПОНЕТОВ СИСТЕМЫ  серверы приложений SAP  серверы СУБД  рабочие станции  сетевое оборудование  средства защиты СООТВЕТСВИЕ ТРЕБОВАНИЯМ ТЕХНИЧЕСКИХ СТАНДАРТОВ  для прикладного  для системного  для сетевого  для пользовательского уровней АНАЛИЗ КОНФИГУРАЦИЙ СИСТЕМЫ И ЕЕ КОМПОНЕТОВ  системные параметры  бизнес модули (ERP, HR, MM)  сервисы SAP системы  настройки шифрования  неиспользуемые RFC-соединения  статус учетных записей и критичные полномочия ВЫЯВЛЕНИЕ И УСТРАНЕНИЕ ТЕХНИЧЕСКИХ УЯЗВИМОСТЕЙ  SAP R/3 и SAP R/3 Enterprise;  SAP NetWeaver AS ABAP;  SAP NetWeaver AS JAVA;  Бизнес модулей SAP  SAPRouter
Схема работы 1 ОТЧЕТНОСТЬ УПРАВЛЕНЧЕСКАЯ АНАЛИТИЧЕСКАЯ ТЕХНИЧЕСКАЯ  Соответствие стандартам  Инвентаризация активов  Динамика изменений  Данные по уязвимостям COMPLIANCE AUDIT PENTEST • Контроль соответствия стандартам • Системные проверки • Анализ конфигураций • Анализ ПО • Инвентаризация • Поиск уязвимостей • Сетевое сканирование • Аудит веб-приложений • Сканирование СУБД РЕСУРСЫ Настольные Приложения Операционные системы Сетевое оборудование СУБД SAP ВЕБ Виртуальные среды VPN АСУ ТП Антивирусы PCI DSS, ISO 27001, Персональные данные Корпоративные стандарты База знаний уязвимостей и ПО
Аналитический онлайн-портал: общая картина
Аналитический онлайн-портал: детализация
Спасибо! ptsecurity.ru Контакты: marketing@DialogNauka.ru 8 (495) 980-67-76

More Related Content

Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и управлении инцидентами информационных систем организации

  • 1. MaxPatrol SIEM: система выявления инцидентов ИБ в реальном времени ptsecurity.com
  • 2. Вас тихо “порадуют” 1 Почувствовать! 2 Вас громко “обрадуют” 3 Пригласить экспертов провести аудит 4 Внедрить систему выявления инцидентов ИБ: инструмент + специалисты + процессы 5 Как узнать об инциденте?
  • 3. • Единая точка контроля ИБ и работы средств СЗИ • Унификация поступающей информации и её перекрестный анализ в едином интерфейсе • Средство выявления и расследования инцидентов ИБ • Средняя компания создает терабайты информации в месяц • Десятки систем различных типов, информация о сетевой активности и пользователях • Для качественного выявления инцидентов необходимо анализировать большую часть этой информации Почему необходим SIEM?
  • 4. ● Инцидент был вчера, а логи только за сегодня ● С рестартом служб перезаписывается лог файл ● Пока смотрели логи, часть уже затерлась ● Когда это было? Какой временной метке верить и кому верить вообще? Почему еще необходим SIEM
  • 5. Мировая тенденция – разрыв увеличивается Дни, часы, минуты занимает компрометация Недели, месяцы проходят до обнаружения • Согласно Netwrix 2014 SIEM Efficiency Survey Report* 74% компаний (из 800 в 30 отраслях), внедривших SIEM, заявили, что SIEM почти не повлияли на число инцидентов безопасности в лучшую сторону • Согласно 2015 Trustwave Global Security Report** среднее время до обнаружения вторжения/ компрометации составляет 188 дней * http://www.netwrix.com/download/documents/2014_SIEM_Efficiency_Survey_Report.pdf ** https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf
  • 6. Проблемы индустрии SIEM: мнения экспертов и аналитиков • 69% респондентов ищут возможность сократить стоимость SIEM • Разрастание персонала – причина №1 увеличения стоимости SIEM • Около 55% респондентов ищут дополнительных сотрудников для работы с SIEM • Почти 81% респондентов отметили что отчеты SIEM содержат много «шума» (ложных срабатываний). В 2014 году эту проблему отметили лишь 75% респондентов • При этом 63% респондентов отметили что отчеты SIEM недостаточны В опросе SIEM Efficiency приняли участие 234 enterprise-компании Выступление НТЦ «Вулкан» на уральском форумеАлексей Лукацкий, Эксперт ИБ
  • 7. MaxPatrol SIEM: Активоцентрический подход Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ
  • 8. MaxPatrol SIEM: Единая платформа Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ Network Compliance & Control Threat Modeling Host Compliance & Control Network Storage & Forensic Vulnerability Management
  • 9. Поддержка источников – 100 – – 200 – – 400 – MaxPatrol SIEM: система выявления инцидентов ИБ
  • 10. Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ Endpoint-агент для контроля: • Служб, сервисов, процессов • Файловой активности • Действий пользователей • Сетевой активности MaxPatrol SIEM: Сбор данных с конечных точек
  • 11. MaxPatrol SIEM: Управление активами ` ОРГАНИЗАЦИОННАЯ ТЕРРИТОРИАЛЬНАЯ ФУНКЦИОНАЛЬНАЯ OS IP FQDN Soft version Hard ware CONFIG ASSET#2 ASSET#3ASSET#1 ASSET#1 1 2 3 4 5
  • 12. MaxPatrol SIEM: Как это работает всё вместе 1
  • 13. MaxPatrol SIEM: Модельные корреляции Полная модель инфраструктуры Платформа MaxPatrol База знаний РТКВ
  • 16. Почему инфраструктура уязвима Программное обеспечение Социальная инженерия Слабые пароли Ошибки в настройках: • сетевого оборудования • систем защиты периметра • веб-приложений • баз данных Уязвимости веб-приложений Небезопасные беспроводные сети
  • 17. Процесс управления уязвимостями Инвентаризация ресурсов Приоритизация задач Анализ защищенности ресурсов Устранение уязвимостей Проверка результатов устранения – Требует наличия узкопрофильных специалистов – Длительное время обслуживания каж- дого компонента ИС – Высокая роль человеческого фактора + Использует единые подходы для анализа всех компонентов ИС + Производится на регулярной основе автоматически + Формирует унифицированную отчетность 1 2 34 5
  • 18. Maxpatrol 8 – решение Инвентаризация и контроль конфигураций Комплексная оценка защищенности Автоматизация контроля соответствия требованиям Технические и высокоуровневые отчеты Ежедневно обновляемая база знаний продукт года в категории Vulnerability Management по версии британской премии Cyber Security Awards 2016 1 2 3 4 5
  • 20. MaxPatrol 8 для SCADA MaxPatrol имеет встроенные проверки для специализированного сетевого оборудования, такого как Cisco Connected Grid, реализует поддержку Modbus, S7, DNP3, IEC104 и других промышленных протоколов. База знаний содержит более 30 000 проверок на уязвимости и требования по безопасности для HMI/SCADA, PLC, RTU ведущих производителей: Siemens, Schneider Electric, Rockwell Automation, ABB.
  • 21. MaxPatrol 8 для Телеком 0 УСТРАНЕНИЕ ПЕТЕЛЬ КОММУТАЦИИ HUAWEI ПОСТРОЕНИЕ ТОПОЛОГИИ MEN-СЕТЕЙ КОНТРОЛЬ СООТВЕТСТВИЯ LOW LEVEL DESIGN АУДИТ MEN-СЕТЕЙ 1 3 GGSN RNC Node B 2 4
  • 22. MaxPatrol 8 для SAP ИНВЕНТАРИЗАЦИЯ КОМПОНЕТОВ СИСТЕМЫ  серверы приложений SAP  серверы СУБД  рабочие станции  сетевое оборудование  средства защиты СООТВЕТСВИЕ ТРЕБОВАНИЯМ ТЕХНИЧЕСКИХ СТАНДАРТОВ  для прикладного  для системного  для сетевого  для пользовательского уровней АНАЛИЗ КОНФИГУРАЦИЙ СИСТЕМЫ И ЕЕ КОМПОНЕТОВ  системные параметры  бизнес модули (ERP, HR, MM)  сервисы SAP системы  настройки шифрования  неиспользуемые RFC-соединения  статус учетных записей и критичные полномочия ВЫЯВЛЕНИЕ И УСТРАНЕНИЕ ТЕХНИЧЕСКИХ УЯЗВИМОСТЕЙ  SAP R/3 и SAP R/3 Enterprise;  SAP NetWeaver AS ABAP;  SAP NetWeaver AS JAVA;  Бизнес модулей SAP  SAPRouter
  • 23. Схема работы 1 ОТЧЕТНОСТЬ УПРАВЛЕНЧЕСКАЯ АНАЛИТИЧЕСКАЯ ТЕХНИЧЕСКАЯ  Соответствие стандартам  Инвентаризация активов  Динамика изменений  Данные по уязвимостям COMPLIANCE AUDIT PENTEST • Контроль соответствия стандартам • Системные проверки • Анализ конфигураций • Анализ ПО • Инвентаризация • Поиск уязвимостей • Сетевое сканирование • Аудит веб-приложений • Сканирование СУБД РЕСУРСЫ Настольные Приложения Операционные системы Сетевое оборудование СУБД SAP ВЕБ Виртуальные среды VPN АСУ ТП Антивирусы PCI DSS, ISO 27001, Персональные данные Корпоративные стандарты База знаний уязвимостей и ПО