Максим Степченков
Генеральный директор в RuSIEM
+ 4 докладчика
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ 2020 | Уфа
6 февраля 2020, Уфа, Россия
Код ИБ 2020 | Уфа
Запросить Q&A
Видеозапись
Вводная дискуссия: Мониторинг событий безопасности
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
31
Мне понравилось 1
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикерах

Максим Степченков
Генеральный директор в RuSIEM
Ольга Поздняк
Директор в Экспо-Линк
Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб
Ильдус Гилязев
Начальник отдела обеспечения информационной безопасности в Центр информационно-коммуникационных технологий Республики Башкортостан

Эксперт в сфере информационной безопасности. Получил образование в Национальном Исследовательском Ядерном Университете «МИФИ». В компании с 2012 года. Ранее - Начальник отдела информационной безопасности в Oberon и Директор департамента системных решений и ООО "Кацит".

Перейти в профиль

С антивирусной безопасностью связался в начале знаменитого 1998го года - и с тех пор ни разу не работал в какой-либо компании, не связанной с этой областью деятельности. Сам писал антивирусные программы и руководил их созданием. Старается постоянно развиваться и узнавать новое.

Перейти в профиль

О докладе

Тематика: Информационная безопасность

5 вопросов к SIEM:


1. Что компания получит от SIEM?

2. К каким вложениям готовиться?

3. О чем нужно спросить своего поставщика SIEM?

4. Не классические способы использования SIEM

5. Насколько жизнеспособен подход неSIEM?

Поделиться

двигаемся до в сторону обсуждения съем А мы на прошлой неделе затронули эту тему в онлайне был на четыре спикера которые поделились своим опытом кстати эти видеозаписи есть опять-таки вот Напомни нашем канале полосатый инфобез кому будет общий объём активно интересуются кому это вообще нужно важно кто понимает кто вообще в теми Хорошо Кто считает что ему вообще эта тема не особо интересна и актуальна В перспективе руки всем актуально Поэтому думаю Да интересно будет получить но собственно тогда вот мы прям 5 вопроса косим времени у нас не

сильно А поэтому поехали что компания получит совсем вообще зачем это нужно и почему стоит в эту сторону посмотреть Ну наверное да начну с Максимом потому что он генеральный директор а которая как раз занимается производством такого продукта пожалуйста Максим первый вопрос кто еще не знает что такое семья есть такие есть Поэтому нулевой вопрос Что такое сиям в каждой компании Есть огромное количество информационных систем в сфере защиты информации которую есть логе Да я на всех конференциях

рассказываю там пару примеров но там некоторые Глеб расскажет но основная суть система мы собираем события в одно единое место на я что происходит например там есть антивирус и антивирусы генератор огромное количество событий например тоже самое событий вирус обнаружен это событие нужно первое время администрировать администратор на это реагирует настраивает оповещения в Хроме папочку заходят смотрят через неделю там несколько сот непрочитанное сообщение и

реагирую на это прекращается Нам же неинтересно на самом деле абсолютно сообщение что вирус обнаружен Поверьте это это мусор ташлак нам интересно коронавирус обнаружен и не помещен в карантин или не удалён соответственно Sia - это собирает информацию в единое место обрабатывает и позволяет реагировать только нам нужно это головной мозг информационной безопасности в соответствии можно подключать средства защиты информации бизнес-системы всё что угодно поэтому что компания получит о внедрении crm-системы 1 основной это

если мы рассматриваем систему как средство защиты информации то это головной мозг информационной безопасности это полноценную работу полноценное использование тех средств которые у вас есть самое главное вы всё можете свести в единую консоль на тихую но скорее всего вы используете da05 10% функционал имеющего средств защиты информации Почему или времени хватает или времени не хватает Не хватает да то на самом деле то основная причина А тут мы всё завели в единое место

смотрим используем тот функционал реагируя на то что нам нужно потому что на свете антивируса У нас есть межсетевой экран у нас есть там например белки системы ещё что ты ещё что-то ещё что-то неважно можно свести в одно-единственное место Это первое Второе компания что может ещё получится Sia Ну мы не забываем то что съем это не только про информационную безопасность тем этого в том числе и в первую очередь Откуда пошло это обработка логов это вначале Log Manager потом поиск по этим событиям Поэтому потом корреляции тогда это Глеб расскажет что это

может дать для бизнеса для бизнеса это может Ну тоже самое антифрод это уже ближе к бизнесу на базе всё можно строить антифрод на базе всё можно собрать информацию и Посмотреть например вас интернет-магазин возникло событие что человек зашел на сайт оформлять покупку и где-то посередине возникла ошибка есть лук который хранится попал ваш блог менеджер съем систему Но человек не дошёл до финальной стадии из-за какой-то вы потеряли клиент вы потеряли деньги Юля это информация

оно обязательно для айтишников соответственно необходимо для бизнеса также не забываем то что на базе сияма Если у вас есть аналитический модуль построить бизнес запросы Кто куда ходил С какими целями Куда дальше пошёл делать кросс-продажи и прочее Всё может быть это инвестиции которые Принесет деньги шоу-бизнеса но это у нас просто нет таких проектов есть который сейчас проходит но не тяжёлые Да это это общение не с информационной безопасности сообщение с бизнесом помимо всего прочего

это также обязательно простое свою говорить Вечно забываю за бизнес 1 читать расследование инцидентов это очень важно если взломали вы собрали доказательная база и тут как раз переходим дальше что О чём нужно спросить своего поставщика Sia во-первых вы для себя должен понять для чего вам всем нужен в первую очередь это только выиграете отреагировать или доказать например некоторые Системы ну скажем так настройки ли некоторой системы агрегирует события агрегированное события тогда вас там например пришло 100 события одинаковых отличается только временной меткой мы взяли эти события

в результате с крупнолистовой один и создали последнее поле с временем все разные времена и Если вы пойдете потом доказывать у вас будет только восстановленное событий если Как заказать на базу вопрос Можно ли это использовать это восстановленное событие поэтому это первый момент это тот функционал который Вам нужен для чего вы хотите использовать вы сами определитесь и Какие вопросы нужно задавать поставщику своего схемы решения до последнего добавили чтобы ничего просто тяжело что-то добавить на самом деле нет

Если вы хотите Добавить его поднимать Так кто спит Кто спит или что Максим сказал То есть мы то все полем эксперты о простом что способна ли остальных не принижай я Я пытаюсь понять понятным для бизнеса языком говоришь для бизнеса рассказывает что они же нет но я говорю Понятно для бизнеса в данном случае для меня без люди сидящие детям А давайте Вот это наоборот только А давайте пройдем вопрос А зачем вот вы думаете для Вас конкретно нужен съем ведь Максим Отлично всё

рассказала детьми всё очень много преимуществ Когда нужно всем это не такая простая вещь как антивирусу не поставил забыл её нужно действительно понимать Для чего её ставить она для разных целей может применяться соответственно Вот кто готов сказать конкретно ему решит его проблемы или его бизнеса его компании a70 1 миф о чём разговаривает Глеб сын ставятся просто ставится A настраиваться эксплуатируется сопровождается это миф то что съем сложно это вы привыкли к сложному систему

настройка у кого уже есть опыт использования съем готовы поделиться в двух словах Расскажите до меня Меня зовут Владимир нашей компании используются съем Ну насчёт того что 7 это сложно это миф но тут видимо зависит от система тот который использует тот который используется у нас это действительно сложно Асим у нас как мы видим и как мы можем это видеть что происходит у нас сети то есть чтобы сидим работу нужно обогатить его событиями со всех источников иначе он будет бесполезен Ну и

дальше уже тут работа который сможет обработать эти события в что-то одно и какой-то результат который мы хотим увидеть например по тем же антивирусом На каких пвм это произошло событие и почему это произошло то есть был выключен или ещё что-то какой-то модулем и так далее В общем как-то так Александр Уралсиб хотел рассказать про про эксплуатации системы Это достаточно с нуля был проект поднимался и достаточно очень ну по поводу просто не всегда достаточно была непростая

задача Так скажем Нет я сейчас не про эту систему говорю я про вообще про другую которая участвует проект ещё начать текущее организация то есть вот и получается это была очень непростая система где нужно было очень сильно сначала провести аналитику Что вы хотели от этой системы что получить в итоге Но это было сделано Но вот насчёт Просто ты я бы не сказал что ты вообще просто то есть нужно сначала подготовиться но потом наверное да это будет уже Просто я просто скажу, давайте не буду рекламировать

свою компанию об этом Глеб рекламирует. Да я в качестве примера скажу, Вы появились съема, которая без правил карается вообще. на базе искусственного интеллекта Machine Running System эксплуатируется Ау теперь вот посмотрим вот в сторону такого система как сложного внедрить их нет Вот и мы понимаем первый вариант прошлый век и будущее или на самом деле не буду сейчас реальность в Америке появились решения в Европе появились решение вот мы разберём с вами я могу

там добавить там то чтобы рассказать Я не говорю можно прямо специально выпустили бесплатную версию У нас есть бесплатная версия которых Клиенты у нас есть Саппорт который поддерживает наших бесплатных клиентов и мне например моё время Дорого очень дорого и моих самого саппорта тоже очень дорого и поэтому если у неё какой-нибудь пожелание подработки система определяет ипполита этот клиента новый коннектор новый парсер новые правила корреляции ещё что-то мы даже для бесплатно клиентов Это Лизун Почему Потому что инсталляции будет для нас ещё быстрее у нас

на 100 лет сейчас если они на тепловых источников занимают один-два дня а это в среднем для рынка такая ну то есть если есть мне не хочешь жить намного больше в среднем намного больше это вопрос имена подходят такой подход Выбери и очень обязательно вопросам продолжай свой небольшой монолог Подожди я ещё вот тут хотела вот у меня записная что системы которые можно получить доход я так записал можно комментарий что за доход Вот Мы вроде бы как потратились на тему Как мы можем бизнес или там другим но я просто это всё это всё кейсу это частное

кейсы да то есть например кросс-продажи чего человек зашёл на сайт мы посмотрели он заходит за тарелками мы передать информацию нас есть клиент который зашёл за тарелочкам эту информацию потом передали в маркетинг или там упущенный бизнес Выгода это же говорила например ввалился с почему это произошло на плюс иногда тоже самоход клиентов из-за слишком длинный логики и заборов И это тоже себя - Нет я просто на основании тех с которым мы сталкиваемся А вот те вот Кто выступал вот у меня к вам вопрос А вы с Васей он

в компании Вот его пользователями другие подразделения является кроме и B или всё-таки только ибо вот как у вас могли бы в двух словах сейчас давайте вчера вам рука а потом вопрос-то коротко либо только ибо используют либо есть возможность в других подразделениях какую-то пользу получать Да конечно при после внедрения системы её использование только ebanoe.it в первую очередь потому что это достаточно большой объем информации который нужен им они могут отслеживать проблемы на сети то же самое то есть по позированию То есть это комплексное достаточно решение

которое не только бы найти первую очередь они тоже заинтересованы это бизнес подразделения уже по запросам то есть какие-то есть необходимые бывали да то есть мы редко но в основном конечно это найти но бизнес тоже мог обратиться если у них Какие задачи возникали то есть достаточно информации очень много действий зависит от источников соответственно которой подключена к ней ваш комментарий Да тоже Встаньте пожалуйста и Представьтесь по возможность Меня зовут Руслан Тоже маленькая ремарочка что если я съем использовать всё-таки в части защита от фрода так то есть они

здесь уже интерес со стороны бизнес потребления возрастает в разы то есть они сразу начинают пользоваться теми кто информации которые не сразу говорил антифрод это было там в причастии говоря это самое интересное для бизнеса это банк Да это просто конкретика конкретика банка это это одна из отрасли подожди Максим Кто ещё тут комментарии банковское сообщество города Уфы и вэб-банком у нас Пока ещё нет мы в стадии выбора есть еще один Аспект это взаимоотношения с регулятором в

частности ABCD если обязывающие уведомлять ЦБ полевых инцидентах произошедших внутри Банка России по-вашему должен быть ещё настроен вот иметь это Цена которая автоматически fincert это понятно Вот эти все события генерит и взаимодействие с отраслевыми всякими сервисами взаимодействует Как через 70 минуток через электронную почту так и через другие каналы Понятное дело что это нужна автоматизация это упрощает ну самое главное не автомате выслать инциденты стороны регуляторов создадите неправильно правила корреляции и улететь аккаунтом 50.000 инцидентом стороны регулятора потомкам

регулятор придёт соответственно еще обязательно же своего поставщика услуг уточнить это скорость на которых работает этот это очень мы часто сталкиваемся особенно в конкурентной борьбе проекты все красивые все так хорошо работает все хорошие производители знает скорее к вам никогда не проводите Пилот в ограниченной среде как бы грубо это не звучало или смотрите где система работает на маленьких мощностях но при этом на высоких скоростях да Или самим себе это Проведите Потому что когда мы

говорим про 510 секунды это некритично это несложно когда нас много проектов там 50-60 80.000 событий в секунду но понимаем какие-то скорости да И к сожалению или к счастью для нас мало кто с этим справляется А для вас это может быть потребности оплатить там 10-12 серверов чтобы справляться с тем объемом события которого сможет генерироваться зачем это им дорого и не факт что вы получите тот эффект которого он необходим по поводу первый вопрос который говорил своим поставщикам съем Это имеется ли у них пустяк всё-таки у нас в гос органах это

прям очень актуальный вопрос дальше чтобы я что спросил по поводу всем Это какие плюшки идут к съем из коробки есть продукт например посетила в котором есть базовый функционал правда урезанный Это multiscanner плюс над в других продуктов в которых Я изучал и тестировал там такого функционала нету И если даже закупать то это за дополнительные деньги то есть второй вопрос который возникает как коннекторы И как я могу подключить дополнительные устройства например

в некоторых продуктах поддерживается 250 устройство всём мире А в некоторых например два я как специалист могу в одном продукте самостоятельно подключить например одесскую без поддержки в другом продукте я например могу столкнуться с тем что съем он не поддерживает простоту внедрения новых источников То есть мне надо будет Договариваться с разработчиками и потратить определённое деньги на функционал которого уже есть в других продуктах. наименование сразу

скажу первое сертификат какие только обратить внимание он нужен или нет ровно год назад здесь присутствовал задали это вопросы Что у вас не с первого уровня не нужен ты зачем у вас ГИС первого уровня точности с первого уровня О'кей у вас ГИС 1 хорошо ладно вы государевых деньги не считаете указано про дорожек четыре раза минимум Итак для зала Видимо у вас небольшое количество рабочих мест там что там проблемы с производительностью устроена multiscanner

О'кей Отлично у вас нет возможности купить одежду какую-нибудь там того что мы производители которые будет дешевле и вопрос глубокая интеграция систем системы со сканером Как часто вы сканер запускаете 1 месяц А информация устаревает Да устаревает неделя запускайте Кто чаще чем раз в месяц запускается сканер уязвимости поднимите пожалуйста руки Ну вот это это ограниченное количество но это в действительности но и самое главное основным моментом что я говорил это искусственный интеллект не люблю это машинное обучение вот Обрати

внимание скорее на это если технология используется занят и самое то же самое агрегация с точки зрения сертификации зачастую даже если Вы сперва уровне Это замечательно хорошо обходится Есть проекты когда Используйте совокупность двух симов в 1 для реальной эксплуатации другой для бумажек дадим покупается за 200000 руб. за другой говорят там млн и улетайте не покупайте систему за 80 млн Но это Это ваш выбор это как вы решите подойти наверное здесь приручить фото нарощены дополнительный функционал в рамках системы он снижает производительность

система повесить Как производителю тоже самое съем бесплатной и вы многие многие многие другие функции можете получить но у нас остаётся буквами две минутки Поэтому да Прям быстро-быстро просто так не классические способы мы прошли и жизнеспособным подход не съем но он да у нас просто вот на прошлой неделе когда была в онлайне тоже тоже тема поднята съем система кроме интерес тем что я Суть в том что мы очень часто сталкиваюсь Как проехать антивирусов по но я думал что другие тоже или то же самое скажут что средства защиты в большинстве компаний у кого один

администратора защиту i2a компания большая Она ставится и забывается до следующей обновлении лицензии просто тупо потому что администратора нет ресурсов на то чтобы мониторить в события информационная безопасность тоже есть Лог у нас там всякие красненьким строчки подсвечиваются выбрасывается на экран тоже уведомление есть администратору она сидеть там за там вот есть антивирус там ещё поставили корпоративным брандмауэр там ещё что-то а вложить все монитором нет этой возможности вот поэтому получается что безопасности остается без внимания этим злоумышленники активно пользуются

они проникают Зато момент когда они контролируют системы но например на выходные на новогодние праздники Скоро будет у нас опять народу в офисе не будет ли министра вполне возможно уедет куда-то в дальние путешествия количества Так возрастет мы по статистике то знаем поэтому ими агрегирование и выделение ключевых признаков Чтобы не отвлекаться на всё подряд это очень важно моё такое но здесь вопрос Мы должны соблюдать Лядова это подход не сидим что такое подход не съем это очень любит разговаривать можно Нет это подход

не съем это немножко просто другой Она позиционирует это подходит то что вам съем по сколько есть айтишные системы Оля там splunk вы можете построить использовать Big Data и тишина и вам всё мне нужен да вы должны совместно эксплуатировать да вы должны эти системы эксплуатировать совместно но говорит что это должен быть не съем Но это неправильно это может быть съем которую вы дадите подключить айтишникам этапе момент второй момент Обязательно что это стоит обратить внимание доверенности айтишников безопаснее кто контролирует если это одна Единая система

ваша эта компания подходит или нет а то есть если основной Если мозг информационной безопасности контролирует это для вас это нормально или нет ну поэтому это первый вопрос с точки зрения подход nesya маски и там я очень уважаю Ману но Пускай она посмотрит тоже сама наш продукт у нас последний клиент сказал то что это вот пацан функционал С банка реализована да и я повторюсь первую очередь нужно посмотреть все имеющиеся на рынке решения и оттуда оттуда уже подхожу поэтому

подход не съем узкие но я тут не соглашусь опять же напал на нашем канале уже лежит видеозапись монархи по выступала это наш Эксперт она у нас регулярно выступает на годик бы проще будет выступать но вроде бы профиль в Москве и вот она делала как раз доклад не съем 20 минут кому интересно будет Посмотрите послушайте такой альтернативный подход Ну что ж на этом закончим нашу сегодняшний водный блок

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Вводная дискуссия: Мониторинг событий безопасности»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Юрий Основский
Руководитель московского подразделения отдела технической поддержки в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Ольга Поздняк
Директор в Экспо-Линк
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Вводная дискуссия: Мониторинг событий безопасности»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Максим Степченков
Ольга Поздняк
Глеб Косоруков
Вячеслав Медведев
Ильдус Гилязев