solar security. Эльман Бейбутов: "Кто присмотрит за...
TRANSCRIPT
Г. КАЗАНЬ15 ОКТЯБРЯ 2015#CODEIB
ЭЛЬМАН БЕЙБУТОВРУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ JSOC
КТО ПРИСМОТРИТ ЗА СМОТРЯЩИМ? КАК JSOC ВЫЯВЛЯЛ ИНЦИДЕНТЫ
СРЕДИ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ
SKYPEEMAILPHONE
+7 985 721 66 22
SOLAR SECURITY,РОССИЯ, МОСКВА
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
РОССИЙСКИЙ ПРОДУКТ КЛАССА IDM,КОТОРЫЙ АВТОМАТИЗИРУЕТ ПРОЦЕССЫ КОНТРОЛЯ И УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА В СИСТЕМАХ
ВЫСОКОПРОИЗВОДИТЕЛЬНАЯ DLP-СИСТЕМА, ОБЕСПЕЧИВАЮЩАЯ КОНТРОЛЬ КОММУНИКАЦИЙ СОТРУДНИКОВ
СИСТЕМА ВИЗУАЛИЗАЦИИ РАЗНОУРОВНЕВОЙ АНАЛИТИКИ И МОНИТОРИНГА ЭФФЕКТИВНОСТИ ИБ
MSSP-ПРОВАЙДЕР, ОКАЗЫВАЮЩИЙ СЕРВИСЫ ПО МОНИТОРИНГУ ИНЦИДЕНТОВ ИБ, ЭКСПЛУАТАЦИИ СРЕДСТВ ЗАЩИТЫ И ВЫЯВЛЕНИЮ ВЕКТОРОВ АТАК
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай первый: Как быстро открыть доступ или «RFC на FW, зачем это?»
ИТ-администратор Крупный телеком-операторПротестировать новое клиент-серверное приложение в предпроде
Кто:Где:Зачем:
Точки контроля:Mount/unmount deviceОтклонения от профиля (обращения на новые IP/port)Сканирования портов, перебор стандартных учетокИсточники:FW сегмента, Local logs, AV
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай второй: Сломать CRM и скрыться…
ИТ-администратор БанкНеудачная попытка улучшить систему
Кто:Где:Зачем:
Точки контроля:Изменение файлов в критичных директорияхЗапуск/остановка процессовСогласованные RFC по критичным приложениям
Источники:Local logs, AV (модуль контроля запуска приложений)
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай третий: Инвентаризация с личной выгодой
ИТ-администратор, работник складаОптовый ритейлВынести и продать «лишнее»Корректировки в СУБД из-под учеткитерминала-сканера
Кто:Где:Зачем:Как:
Точки контроля:Использование служебных username с IP АРМЗапросы в СУБД с IP АРМНовый «useragent»
Источники:СУБД, LDAP
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай четвертый: Zver-Админ с ZverCD на АРМ Клиент-Банка России!!!
ИТ-администраторБанкУстановить АРМ КБР на новое местоРазвернуть образ ОС с ZverCD, Поставить ПО АРМ КБР
Кто:Где:Зачем:Как:
Точки контроля:Вредоносная сетевая активностьВирусные заражения на хосте
Источники:AV, FW
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай пятый: Администратор с опытом фриланса
ИТ-администраторКрупный телеком-провайдерЧинить сеть из любой точки мираПропилил ACL до внутренних консолей
Кто:Где:Зачем:Как:
Точки контроля:Новые хосты в сегменте Проверка отчетов сканеров уязвимостей
Источники:FW, Vuln.Scanner
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай шестой: VoIP-прокси для всех желающих
ИТ-администраторРитейлСлучайно…Ошиблись маской подсети: /30 или /31и выставили в Интернет VoIP-прокси
Кто:Где:Зачем:Как:
Точки контроля:Новые хосты в сегменте Превышение порогов VoIP-трафикаVoIP-трафик в нерабочее время
Источники:VoIP, FW, Vuln.Scanner
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай седьмой: Дешевый кредит н-н-надо?
Эффективный менеджерБанкПодзаработатьПолучить доступ к цепочке согласований VIP-условий
Кто:Где:Зачем:Как:
Точки контроля:Входы с разных учеток с одного IPВходы пользователей, находящихся в отпуске/больничном
Источники:ОС, Application, HR, AD
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай восьмой: Использование ресурсов уволенными сотрудниками
Менеджеры мобильных офисовБанк/ТелекомыПовысить эффективность на новом местеПросто дружить с пользователем системы
Кто:Где:Зачем:Как:
Точки контроля:Входы одной учетки с разных IP/hostnameПодключения из «чужих» провайдерских сетейВходы в системы из-под учеток, заблокированных в AD
Источники:FW, AD, Application/WAF
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Случай девятый: Аудиторы-консультанты с зараженными ноутбуками
Аудитор консалтинговой фирмыБольшая энергетическая компанияПровести анализ отчетовПросто подключение ноутбука в сеть
Кто:Где:Зачем:Как:
Точки контроля:Callback в центры управления botnetВредоносная сетевая активностьСрабатывания антивирусовИзменения веток реестра
Источники:FW, AV, Local logs
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Как устроен JSOC?
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Работа по гарантированному SLA
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время обнаружения инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой диагностики и
информирования заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи рекомендаций по противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
SOLAR SECURITY,РОССИЯ, МОСКВА
Ключевые преимущества JSOC
СПАСИБО ЗА ВНИМАНИЕ!
#CODEIB Г. КАЗАНЬ15 ОКТЯБРЯ 2015
ЭЛЬМАН БЕЙБУТОВРУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ JSOC
SKYPEEMAILPHONE
+7 985 721 66 22
SOLAR SECURITY,РОССИЯ, МОСКВА