АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СОВРЕМЕННЫХ ИС. ПРИМЕНЕНИЕ SIEM-СИСТЕМ ДЛЯ АНАЛИЗА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

Презентация:

Advertisements

Похожие презентации

XV Национальный форум информационной безопасности «Инфофорум-2013» 6 февраля 2013 года Построение комплексной системы информационной безопасности в ОАО.

Advertisements

Политика безопасности компании I-TEAM IT-DEPARTMENT Подготовил: Загинайлов Константин Сергеевич.

SIEM от ООО Инновационые Технологии в Бизнесе Security Capsule SIEM (система мониторинга и корреляции событий)

Первая Российская SIEM Security Capsule, сертифицирована ФСТЭК России, зарегистрирована в едином реестре Минкомсвязи России российских программ

Software Cloud Services DLP – решение для защиты данных и предотвращения промышленного шпионажа. Таран Дмитрий Руководитель направления информационной.

Компьютерная безопасность: современные технологии и математические методы защиты информации.

АСПЕКТЫ РАЗВИТИЯ ФУНКЦИЙ МОНИТОРИНГА СОБЫТИЙ БЕЗОПАСНОСТИ ПРИ УПРАВЛЕНИИ ЗАЩИТОЙ ИНФОРМАЦИИ Басуматоров Олег Олегович инженер по защите информации ООО.

Вероника Копейко Менеджер по организации обучения Консультационные онлайн услуги по продуктам и решениям компании «Код Безопасности»

Управление инцидентами и событиями безопасности на основе решений QRadar SIEM Кривонос Алексей Технический директор HTRU.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.

ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.

Специальность « Организация защиты информации»

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.

Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.

Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.

Информационно-аналитическая система информационной безопасности в системах массовых услуг (электронное правительство) И.А.Трифаленков Директор по технологиям.

1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.

15 лет на рынке информационной безопасности Безопасность «облаков»: проблемы, решения, возможности Евгений Акимов заместитель директора Центра Информационной.

Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.

Транксрипт:

АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СОВРЕМЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. ПРИМЕНЕНИЕ SIEM-СИСТЕМ ДЛЯ АНАЛИЗА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ПЕРСПЕКТИВЫ ПРИМЕНЕНИЯ СЛАЙС-ТЕХНОЛОГИИ В SIEM РОССИЙСКОГО ПРОИЗВОДСТВА РОССИЙСКИЙ НОВЫЙ УНИВЕРСИТЕТ ФАКУЛЬТЕТ ИНФОРМАЦИОННЫХ СИСТЕМ И КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ КАФЕДРА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И ЕСТЕСТВЕННОНАУЧНЫХ ДИСЦИПЛИН РОССИЙСКИЙ НОВЫЙ УНИВЕРСИТЕТ ФАКУЛЬТЕТ ИНФОРМАЦИОННЫХ СИСТЕМ И КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ КАФЕДРА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И ЕСТЕСТВЕННОНАУЧНЫХ ДИСЦИПЛИН

ПОДСИСТЕМЫ В СОСТАВЕ СОВРЕМЕННЫХ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ДАННЫХ Антивирусная защита Антивирусная защита Межсетевые экраны Межсетевые экраны Системы обнаружения и предотвращения вторжений Системы обнаружения и предотвращения вторжений Криптографическая защита информации в процессе ее хранения и передачи по сети Криптографическая защита информации в процессе ее хранения и передачи по сети Управление доступом Управление доступом Регистрация и учет Регистрация и учет Обеспечение целостности Обеспечение целостности Контроль отсутствия недекларируемых возможностей Контроль отсутствия недекларируемых возможностей Средства тестирования и анализа защищённости Средства тестирования и анализа защищённости и др. и др. Антивирусная защита Антивирусная защита Межсетевые экраны Межсетевые экраны Системы обнаружения и предотвращения вторжений Системы обнаружения и предотвращения вторжений Криптографическая защита информации в процессе ее хранения и передачи по сети Криптографическая защита информации в процессе ее хранения и передачи по сети Управление доступом Управление доступом Регистрация и учет Регистрация и учет Обеспечение целостности Обеспечение целостности Контроль отсутствия недекларируемых возможностей Контроль отсутствия недекларируемых возможностей Средства тестирования и анализа защищённости Средства тестирования и анализа защищённости и др. и др.

АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЭКСПЛУАТАЦИИ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ Слишком много устройств, слишком много данных… Ответные действия на угрозы безопасности зачастую должны быть предприняты немедленно! Большое количество разных подсистем и устройств безопасности: – 90% используют антивирусы и межсетевые экраны – 40% используют системы обнаружения вторжений (IDS) – растет количество сетевых устройств – больше программ и оборудования означает большую сложность За короткий период времени происходит много событий по безопасности: – один межсетевой экран может генерировать за день более 1 Гигабайта данных в Log-файле – один сенсор IDS за день может выдавать до 50 тыс. сообщений, до 95% ложных тревог – сопоставить сигналы безопасности от разных систем практически невозможно

ЕСЛИ НЕ SIEM, А ЧЕЛОВЕК? А ЕСЛИ НЕТ SIEM? Инфраструктура объёмом в 1000 единиц генерирует около – EPS* Даже одарённый человек тратит около 38 минут для просмотра событий* Человек не способен воспринимать более 10 событий с секунду на протяжении длительного времени* Огромное число источников событий Есть ли компетенция проанализировать инцидент? Отчёты…отчёты…отчёты… *по данным POSITIVE TECHNOLOGIES

ПОСТОЯННОЕ УВЕЛИЧЕНИЕ ВНЕДРЁННЫХ СЗИ И ОРГАНИЗАЦИОННЫХ МЕР СЗИ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ЕЩЁ БОЛЬШЕ СЗИ И ОРГАНИЗАЦИОННЫХ МЕР И Т.Д. И Т.П.

ЧТО ТАКОЕ SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM)? Сбор любой информации с любых систем Сбор любой информации с любых систем Управление и хранение всех событий Управление и хранение всех событий Анализ событий и инцидентов в реальном времени Анализ событий и инцидентов в реальном времени Идентификация нелегитимного поведения на уровне пользователя Идентификация нелегитимного поведения на уровне пользователя Своевременная реакция для предотвращения потерь Своевременная реакция для предотвращения потерь Отчётность Отчётность

ПЕРЕД СИСТЕМОЙ СТАВЯТСЯ СЛЕДУЮЩИЕ ЗАДАЧИ: ПЕРЕД СИСТЕМОЙ УПРАВЛЕНИЯ СОБЫТИЯМИ И ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТАВЯТСЯ СЛЕДУЮЩИЕ ЗАДАЧИ: Консолидация и хранение журналов событий от различных источников Консолидация и хранение журналов событий от различных источников Предоставление инструментов для анализа событий и разбора инцидентов Предоставление инструментов для анализа событий и разбора инцидентов Корреляция и обработка по правилам Корреляция и обработка по правилам Автоматическое оповещение и инцидент-менеджмент Автоматическое оповещение и инцидент-менеджмент Актуальная информация – самый ценный ресурс !!!

ПРИНЦИП РАБОТЫ СИСТЕМ МОНИТОРИНГА И УПРАВЛЕНИЯ СОБЫТИЯМИ ИБ Тысячи сообщений Десятки сообщений Миллион сообщений Антивирусная подсистема Межсетевые экраны Подсистемы обнаружения вторжений Маршрутизаторы, коммутаторы Серверы, операционные системы Подсистемы аутентификации Приоре- тизация Корреляция Фильтрация Нормализация Агрегирование

СОБЫТИЕ КАК ИСТОЧНИК ИНФОРМАЦИИ собирать хранить понимать действовать События для анализа: активность оборудования и программных средств отказы и конфликты совместимости аномальное поведение действия пользователей и администраторов отчеты сторонних систем отсутствие событий нештатная работа оборудования События для анализа: активность оборудования и программных средств отказы и конфликты совместимости аномальное поведение действия пользователей и администраторов отчеты сторонних систем отсутствие событий нештатная работа оборудования

ОБЩАЯ АРХИТЕКТУРА СИСТЕМ МОНИТОРИНГА И УПРАВЛЕНИЯ СОБЫТИЯМИ ИБ

SIEM-СИСТЕМА СОСТОИТ ИЗ СЛЕДУЮЩИХ КОМПОНЕНТОВ средство сбора данных (программные или аппаратные агенты сбора информации из различных источников) средство сбора данных (программные или аппаратные агенты сбора информации из различных источников) средства хранения собранной информации (сервер баз данных) средства хранения собранной информации (сервер баз данных) средства обработки и анализа (сервер корреляции); средства обработки и анализа (сервер корреляции); средства управления и мониторинга системы, формирования уведомлений и отчетов средства управления и мониторинга системы, формирования уведомлений и отчетов

ПРОДУКТЫ SIEM – СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ И СОБЫТИЯМИ БЕЗОПАСНОСТИ Широкое внедрение продуктов SIEM обусловлено действием двух рыночных факторов – это обеспечение: 1. Соответствия требованиям регуляторов: PCI DSS, SOX и др.; 2. Высокого уровня безопасности для корпоративных сетей. Две главные функции технологий SIEM по сбору и обработке событий безопасности (которые поступают от разных источников – сети и компьютеров, а также от общесистемных и прикладных пакетов программ): 1. SIM («управление информацией безопасности») обеспечивает сбор, хранение и анализ данных (взятых из журналов), подготовка отчетов по соответствию нормативным требованиям; 2. SEM («управление событиями безопасности») обеспечивает в реальном времени мониторинг событий безопасности, выявление и реагирование на инциденты безопасности. Широкое внедрение продуктов SIEM обусловлено действием двух рыночных факторов – это обеспечение: 1. Соответствия требованиям регуляторов: PCI DSS, SOX и др.; 2. Высокого уровня безопасности для корпоративных сетей. Две главные функции технологий SIEM по сбору и обработке событий безопасности (которые поступают от разных источников – сети и компьютеров, а также от общесистемных и прикладных пакетов программ): 1. SIM («управление информацией безопасности») обеспечивает сбор, хранение и анализ данных (взятых из журналов), подготовка отчетов по соответствию нормативным требованиям; 2. SEM («управление событиями безопасности») обеспечивает в реальном времени мониторинг событий безопасности, выявление и реагирование на инциденты безопасности.

ТРИ ОСНОВНЫЕ МОДЕЛИ (ИЛИ НАПРАВЛЕНИЯ) ПО ПРИМЕНЕНИЮ ПРОДУКТОВ SIEM 1. Технологии SEM («мониторинг событий и управление угрозами»): обеспечивают в реальном времени мониторинг событий безопасности обеспечивают в реальном времени мониторинг событий безопасности 1. в первую очередь, от устройств безопасности и сетевых устройств, 2. во вторую очередь, от операционных систем компьютеров и приложений; помогают персоналу, который отвечает за обеспечение безопасности, помогают персоналу, который отвечает за обеспечение безопасности, 1. выявлять внешние и внутренние угрозы, 2. реализовать эффективные ответные меры на обнаруженные угрозы. 2. Технологии SIM («отчетность по соответствию установленным нормативам») реализуют такие главные функции как управление журналами, создание отчетов и выполнение аналитических исследований по событиям безопасности для поддержки: соответствия требованиям регуляторов, соответствия требованиям регуляторов, управления внутренними угрозами и управления внутренними угрозами и соответствия политике безопасности, принятой в организации. соответствия политике безопасности, принятой в организации. 3. Технологии SIEM = SIM + SEM.

ТОП ВЕНДОРОВ ГАРТНЕР (GARTNER) IBM QRadar SIEM IBM QRadar SIEM HP ArcSight HP ArcSight Tibco Loglogic Tibco Loglogic McAfee NitroSecurity McAfee NitroSecurity Symanteс SSIM Symanteс SSIM RSA Envision RSA Envision Splunk Splunk LogRhythm LogRhythm «НПО «Эшелон» КОМРАД «НПО «Эшелон» КОМРАД OSSIM OSSIM

SIEM-СИСТЕМА СПОСОБНА ВЫЯВЛЯТЬ направленные атаки во внутреннем и внешнем периметрах вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны попытки несанкционированного доступа к конфиденциальной информации мошенничество ошибки и сбои в работе информационных систем уязвимости ошибки конфигураций в средствах защиты и информационных системах Использование служебных полномочий в корыстных целях (используя информационные системы или оборудование) направленные атаки во внутреннем и внешнем периметрах вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны попытки несанкционированного доступа к конфиденциальной информации мошенничество ошибки и сбои в работе информационных систем уязвимости ошибки конфигураций в средствах защиты и информационных системах Использование служебных полномочий в корыстных целях (используя информационные системы или оборудование)

ПРИМЕР ВЫВОДИМОЙ SIEM СИСТЕМОЙ ИНФОРМАЦИИ* * использован пример RuSIEM

СЛАЙС-ПОРТРЕТ (ОБРАЗ, СЛАЙС-ФИГУРА) Элементарным представлением является слайс – от английского сечение, срез. Термин предложен С.Л. Пановым в 1991 г. Аббревиатура СЛАИС - структурно- логический ассоциативный интериоризационный синтез. Термин «слайс» отражает конструктивный характер его построения, аббревиатура СЛАИС – механизм отражения объективной реальности в сознании. Слайс и СЛАИС – взаимодополняющая пара терминов. В составе слайса выделяются пять взаимодополняющих пар атрибутов.

ЭТАЛОННЫЕ ФИГУРЫ СЛАЙС-ПОРТРЕТА СИСТЕМЫ КАК ОТРАЖЕНИЕ РЕАЛЬНОСТИ

ПРИМЕР ИСПОЛЬЗОВАНИЯ СЛАЙС-ТЕХНОЛОГИИ

ДОКЛАД ОКОНЧЕН СПАСИБО ЗА ВНИМАНИЕ