Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Уфа
6 февраля 2020, Уфа, Россия
Код ИБ 2020 | Уфа
Запросить Q&A
Видеозапись
Siem - мифы и реальность
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
26
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

сегодня в первую очередь скажу В целом осень - что это такое соответственно Для чего она используется на данный момент каким до этого и куда он говорится стремится вот Ну и конечно же постараюсь развеять эти мифы о сложившейся За столь долгий период существования сын от Ну и прыскать о том насколько Он важен действительно по структуре заказчик коллеги друзья ещё раз Доброго дня люблю начинает свой рассказ на самом деле Точнее с вопроса кто уже использует

съем и так далее но мы сегодня уже поняли что не так много народу Как сказал в моей школе учится лес рук Вот но надеюсь это скором времени изменится вот мне хотелось наверное сегодня понять что же всё Ты такой съем как с ним работать Что за зверь и как его едят Как говорится так вот что же такое съем Ну понятно что сама система это аббревиатура переводится как Security Information and Event менеджмент и управление событиями информационной безопасности ни для кого в принципе не секрет что многие

компании там среднего уровня крупные компании Да и уже и более маленькие давно используют всем решения как одного из основных средств по защите информационной безопасности Вот и зачастую от даже по информационной безопасности офицеров можно услышать такую фразу у нас ем работает 24/7 Ну и как бы защищая тем самым периметр Вот это достаточно скажем так режет слух так съем по сути даже исходя из названия она не сама не способна что-то защищать на самом деле это скорее инструмент для работы с событиями информационной

безопасности соответственно источниками для неё служат те же там дела системы Firewall межсетевые экраны соответственно антивирусы там сетевое серверное оборудование кому и многое другое соответственно о соответствии информация поступает дальше системы и анализирует и скажем так предупреждает о том что если какие-то аномалии либо по тем или иным параметрам как сегодня уже говорили что есть такая вещь как человеческий фактор о том что есть инсайдеры внутри компании

даже уже несколько кейсов хотелось бы сказать допустим человек да сотрудник компании соответственно отправляет сообщение на скажи как на адрес вне зоны стандартных адресов Вот соответственно 15 и системы не всегда может распознать и чаще всего не распознает но с тем же уже накопив статистику опыт какой-то скажем так создать инцидент который в будущем можно использовать там для скажем так внутренних разбирается разбирательство в судебных хотелось Дарья Россия не переключается у меня

вот где же может применяться сидим здесь Наверное хотелось бы больше рассказать о том Откуда взялся наш съем вот ну немножко кейсах расскажу недалекий 2014 год одного крупного банка который сейчас слава Богу работает и процветает была поставлена задача от них соответственно сотрудник который зашел на территорию здания но авторизовался в системе если такие инциденты как бы ну и как с этим следить за на тот момент было взято скажем так коллаборация программы с открытым

кодом некая Ну что нужно было сделать по сути взять logis Одесса календари взять logis системы контроля управления доступом системы сделать корреляцию построить соответственно и понять есть такой инцидент Нет это был сделан и соответственно мы показали что Да есть ряд сотрудников которая прожила системе не проходя в здании говори рабочем месте кто-то в 30 задних А это был такой Один из таких скажем этот момент зародыше система нашего который уже потом Добавился и перестал только уже в смысле продукт ещё наверное

один из кейса которым хотелось бы рассказать ну 6 серия Я вас понял хорошо по поводу ещё одного кейса мы сегодня уже обсуждали это касаемо антивирусов лучи некий маленький чемоданчик окраски А я понял да я извиняюсь по поводу ещё одного киса киса всё же нет давай не совсем понял давай попробуй снова кисни использовать есть это и есть маленький чемоданчик хорошо Ещё один скажем так случай пример пример пример да давайте так сегодня разбирали уже по поводу антивируса что шьют информация

масалов идёт грубо говоря ну и соответственно звериный доли больше идут скажем так части вендоров автоматом и нас таким образом что соответственно приходит сообщение об обнаружении там вредоносного файла администратору на почту месяц проходит два это просто 1000 там иногда десятки тысяч сообщений с которыми К сожалению никто не работает Такова задача всем соответственно опять же Google создать инцидент о том что связано с активностью медоносные файл был найден но в течение 10 минут не

удалён ребане помещен в карантин колеса об этом всем создать инцидент и оповестит необходимых людей как говорится Ну и наверное ещё бы хотел один случай рассказать Максим любимая тема как анекдот даже на эту тему Как китайцы взломали сайт Пентагона знаете наверняка знаете я здесь уже рассказывал раза Ну все знают кто не знает я всё-таки закончу Конечно каждый скидывается просто взял ввёл пароль Мао Цзэдун Ну и на миллион Эйр Астана согласился В итоге Вот соответственно ты думаешь почему я тебя видел выступать потому что с одним и

тем же самым докладом выступает это не тяжело Да я понимаю я понимаю прекрасно ну эту тему всё равно решил затронуть вот по поводу того же там брутфорса да Киса я наверное не буду повторяться А был в плане тоже 1 финансовый соответственно была внедрена система обнаружения вторжений спустя 5 лет мы внедрили в нашу систему погрузили логе видели что Да на протяжении 5 лет броситься с Китая соответственно V1 давайте наверное дальше пойдем соответственно Посему

хотелось бы тоже разобраться с чего начинался по сути по сути централизованный сбор событий для так называемой Log Management которые можно развернуть небольшой компании своими силами стандартными средствами далее соответственно событиям любой системный администратор знает команду гриб соответственно поиск сделали распалась нашли 23 стало неудобно получается скажем так необходимость в графическом представлении визуализации одну секунду так вот появилась потребность визуализации соответственно сделали дашборды вывели информацию поступаем дашборда стало

удобнее Но уверен что желающих сидеть весь день смотреть в монитор 24 на семь и смотри что происходит в инфраструктуре соответственно так вот Какие события поступать что происходит вот этого появился скажем так следующая потребность это потребность в оповещении Вот соответственно после чего применение неуправляемых алгоритмов словесный соус 11 там повторяется 5-10 раз происходит Что происходит в тесном помещении Ну и скажем так алгоритм становится управляемым так далее вот Ну и конечно же то о чём

вообще основу скажем так сама съем его принцип работы корреляция событий Ну вот рассказал один из скажем так случаев по работе с системой Высади соответственно выставлено было корреляция мы понимаем что инцидент есть и когда он произошёл там с каким сотрудникам Там и так далее Ну так вот какую же Настя Идём сегодня на самом деле у нас тут на одном проекте Какую из такой ситуации что работаешь бизнес системой и у нас одно Один в один пользователь генерит порядка 40 по-моему до событий в секунду

на да-да-да правильность битной системы Да работает один в один пользователь генерит порядка 40 событий там до 10мб соответственно огромный поток не нормализованный Toyota идёт только в один большой Лог так скажем сырой Вот от этого что такое нормализация по сути нормализация это процесс разложения по полочкам информации после чего разложили по полочкам скажем так обогатили события и с этим уже можно работать как раз то что мы сегодня говорили про работа Талдом бизнес-аналитиков там про кросс-продажи не буду повторяться про там то что

почему люди там посети сайт грубо говоря там хотели сделать покупку но и не совершили понятно что это и веду к тому что это не только информационной безопасности Мы не только информационной безопасности это также и эти также и в целом Ну не буду Анапа управление там уязвимостями говорить Это понятно что что сок можно построить на основе система Здесь наверное интересно Куда движется в целом съем движется в сторону машинного обучения как мы уже говорили ни в коем случае не искусственный интеллект ему ещё не

готова с вами К сожалению А может быть к счастью вот поэтому Да всё по сути СМС по своей сути сидим работает на построение алгоритмов вот Ну да что там 200 алгоритмов мало подавляется новые системы там оборудование так далее добавляем создаем еще новые правила стал их там 400 800 это не потолок Да как с этим работать этого всё равно мало соответственно задача состоит в том чтобы собирать максимальное количество лагов анализировать уже их и соответственно те или иные действия

а Ну соответственно Суар технологии скажем так это ну система автоматизации то что нас пришла события мы не должны его вручную с ним что-то делать Она должна авто грубо говоря Ну распределяться куда-то идти дальше Ну наверное Вот теперь пришла пора поговорить о мифах О чём мифы и реальности первые конечно Миф это дорого зачастую слышим это вот ну сейчас сам скажу как допустим наше решение было сделано таким способом что у него образование достаточно гибкая То есть у нас есть заказчики у

которых 50 сотрудников компании и они используются им по сути есть стадо есть там межсетевой экран есть антивирус можно ада использовали извиняюсь всем использовать Что касаемо допустим проектов класса энтерпрайз допустим чем больше проект тем и становишься ещё дешевле доходило по-моему нас в классе энтерпрайз где-то до 40 40 раз вам мы были да вы дешевле златом уже соотношение также не представлены 20 40 1 Ну да то есть разница достаточно большая поэтому насчет дороговизны система приобретения он тут вопрос Спорт Плюс опять же если его использовать не только как там систем мониторинга

или информационной безопасности а также допустим для бизнеса его использовать но на нём можно еще и заработать вот то что сидим нужен только в зрелый инфраструктуре ну здесь уже понятно раз у нас есть заказчики там да там ну 50 рабочих мест в принципе и они используют съем и мы можем показать действительно события которые происходят инциденты которые происходят в даже в столь Малый инфраструктуре и они зачастую становятся немаловажным для бизнеса в целом сложно подключить нетиповой источники по источникам сегодня тоже много говорили все

источники на самом деле Ну на нашей стране мы их сами разрабатываем У нас есть там целые скажем так провела как их разрабатывать там В какие сроки мы сами разрабатываем но и даём инструментарий вам дам да совершенно верно них необходим как высококвалифицированный персонал здесь Да здесь есть такое скажем так это некая реальная система потому что сидим Да такая сложная система которая нужна уход скажем так но как мы обошли данные скажем так миф У нас есть семьи которые можно скачать в принципе сайта установить в инфраструктуре

свои ну и посмотреть как он работает что там происходит говорю одно единственное что Free версия на урезанная Ну об этом чуть позже техподдержка 24/7 365 в неделю Ну если не секрет у кого-то действительно там идти работать в таком режиме есть такие ну на бумаге понятно что на бумаге Да скорее всего так всё работает но в реальности такого нет поэтому необходимости в такой техподдержки что войти что ывыв ывыв принципе нет На самом деле вот зашёл Как раз за свою любимую

пункта на настройка правил корреляции буквально вчера перед вылетом в Уфу был с утра на встрече в одной страховой компании крупный они внедряют наш съем сейчас и за несколько дней до этого поступил звонок мне друзья там необходима ваша помощь нам нужна помощь с настройкой правил коляски вашей системе Можете ли вы подъехать показать мы-то там запишем как это делается Ну я предложил сделать эту удалённо мне сказать три сотрудника не хотят видеть потому что я достаточно сложно Я не стал спорить решил Показать наглядно Я приехал ny11 техническими специалистами и у

нас встреча заняла 20 минут из них соответственно половину этого времени мы пришли подключили пока ноутбук обменялись любезностями о том что там пример зима пришла Мы уже не ждали Там и так далее по сути показали просто надели на вывесках в инфраструктуре заказчика Как называется правила корреляции как они пишутся они пишут в режиме единого окна просто интуитивно Понятно Вот соответственно заказчик Так посмотри Они между собой переглянулись сказали что мы не думали что это настолько так просто мы пожали друг другу руки и

договорились мы соответственно дальнейших действиях и разъехались Как говорится Вот пункт Да мы можем сами быстро сделать Максимка тебе прекрасный вопрос Ты бы хотел заново съем новый сделать с нуля свой такой огромный опыт ни в жизни то есть вернись я на 5000 назад но в жизни бы я этим не занимался это долго дорого Это очень дорого и на самом деле очень сложно да Ну и зачем в принципе изобретать велосипед Как говорится если он уже есть а ты что много Ага Ну соответственно нашим решением ножка такая как и говорю что есть при версия приварной версия соответственно

ЭВМ фри по сути это сбор событий поиск по событиям Ну там построение отчетов неких Да её можно скачать сайты диска как я уже говорил что она урезанная что в ней нет аналитики в ней нет правил корреляции скажем так мы возможности корреляции событий AD соответственно мы сейчас предлагаем есть возможность протестировать наш сын полноценный то есть мы выпускаем лицензии там от 1 до 3 месяцев Если необходимо больше там по согласованию думаю предоставим опять же это полноценный съем то есть с

аналитикой то есть можете вернуться полноценный фильм посмотреть как это работает новости добавлю по сколько живу в Уфе дата наверное для уфимских делаю такого акцию если у вас нет купить в этом году готовы полноценную версию предоставить до следующего года а то есть мы понимаем что есть цикл бюджетирования в этом году не зарегистрировали то на следующий год Даже я не был к этому готов к такому спецпредложению. Приезжай в Уфу так Ну наверное сравнение такое

время истекло поэтому я как модератор тебя тихо-мирно отодвигаю Спасибо быстренько за тебя отвечу ты долго говоришь мы используем на базе у Open Source из своих разработок консульство баз данных и операционная система соответственно Мы в реестре отечественного по в процессе коннекторы пишем практически К любым системам поэтому обращайтесь наши преимущества то что мы работаем реально на очень высоких скоростях адекватная цена и очень удобная эксплуатация адекватная

техническая поддержка ну и плюс Я рядышком да вопрос-то Да коллеги не получала неоднократно звучала фраза что сертификация сертификация А по каким природным наследием как radiesse Или как что система для систем и систем мониторинга сертифицируются Сейчас я пойду я знаю зависимости или вообще это не нужна сертификация А если нужно скорее всего ud4 ни одной системы системы в России на ud4 нет поэтому уровень 141 доверия Поэтому если кто-то что-то говорит что там мы сертифицированы готов хорошо Вы сертифицирована по старой системе сертификации которые в любой момент может так

сказать Типа ходит Да как мы сейчас хорошо знаю с первого января сертификации должна быть по уровню доверия

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Siem - мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Максим Степченков
Генеральный директор в RuSIEM
+ 4 докладчика
Ольга Поздняк
Директор в Экспо-Линк
+ 4 докладчика
Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
+ 4 докладчика
Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб
+ 4 докладчика
Ильдус Гилязев
Начальник отдела обеспечения информационной безопасности в Центр информационно-коммуникационных технологий Республики Башкортостан
+ 4 докладчика
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Ольга Поздняк
Директор в Экспо-Линк
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Юрий Основский
Руководитель московского подразделения отдела технической поддержки в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Siem - мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно