Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Ростов-на-Дону
13 февраля 2020, Ростов-на-Дону, Россия
Код ИБ 2020 | Ростов-на-Дону
Запросить Q&A
Видеозапись
Siem - мифы и реальность
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
23
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

сегодня в первую очередь скажу В целом 8 - что это такое соответственно Для чего она используется на данный момент каким до этого и куда он говорится стремится вот Ну и конечно же постараюсь развеять эти мифы о сложившейся За столь долгий период существования сын от Ну и пускай потом насколько Он важен действительно простуде заказчик хотелось бы начать своё повествование с вопросом в зал если представители компании которые уже активно используем систему может быть тестировали пилотировал ли

лес рук я понял Ну отлично хотя бы есть люди Ну так в целом если честно помогает в работе вообще отлично Ну тогда Проси я мне много что такое съем понятно что это аббревиатура которое переводится как сильно помешан на менеджмент или управление информационной безопасностью и событиями информационной безопасности зачастую можно услышать скажем так от офицеров безопасности что Да у нас есть съем она в не догнала нас работает 24/7 нас всё защищено всё прекрасно но это режет слух так как всем по сути понятно

даже название что она ничего не защищает по сути Это продукт который собирает информацию из различных источников таких так-то Lil peep там сетевое оборудование Apple айди если там Firewall и антивирус и так далее соответствие источники могут разные вот после чего соответственно происходит глубокий анализ работы с правилами корреляции Вот и создаются Телен инциденты давайте наверное на примерах расскажу недалекий 2000 а ты домой из банков которые сейчас слава Богу цветёт процветает и

всё у него хорошо была поставлена задача сотрудник не зашёл на территории нос предавался системе соответственно на тот момент была взята скажем так не коллаборация программных продуктов с открытым кодом ну и соответственно что нужно было сделать собрать logis Одесса собрать логи системы контроля доступом Системы скуд ну и соответственно написать правила корреляции вот ну и понимать есть такие инциденты или нет Он соответственно было это был такой первый наш зародыш съема грубо говоря с чего всё началось вот Ну соответственно доля Начали его развивать Ну на примере

Давайте антивируса разберём вендров настроена скажем так по умолчанию работа антивируса ESET антивирус находит водоносных файлы активность и отправляет письмо System administrator о том что вирусная был найден вирус проходит там неделя 2/3 это просто сотни иногда 1000 сообщений соответственно Ну с которым никто не работает так вот задача самой съем если вирус был обнаружен и в течение 10 минут там не удалён не помещен в карантин Конкретно сказать об этом инцидент я оповестить всех кого нужно Как говорится

Ну и ещё наверное один пример тоже там четырнадцатый год по-моему мы внедрили в один из банков Нет не вру это не банк был ну в общем в одну систему обнаружения вторжений Ну и на протяжении 5 лет пока мы делали свой съем она собирала логе спустя 5 лет Когда начнём уже стал самостоятельным продуктом мы всё мку и погрузили логе систем обнаружения вторжений и увидели что на протяжении 5 лет из Китая брутфорс один из серверов соответственно подборка пароли была постоянно протяжении 5 лет вот слабо там ничего не подобрали Как говорится но сам факт наверное да в

принципе С чего начинался всем понятно что по сути толок менеджмент управление услугами сбор его можно развернуть Ну В любой компании любой там System administrator to grab для поиска там по событиям и так далее Вот но появилась скажем так необходимость Ну один раз нашли там два гриппом три стало неудобно соответственно появилась необходимость визуализации соответственно сделали дашборды но вряд ли тут найдется человек который хочет 24 часа в сутки 7 дней в неделю сидеть дашборды соответственно появилась необходимо помещение соответствует один был создан Ну точнее

инцидент происходит какой-то находится ем соответственно задают инциденты оповещает необходимых сотрудников об этом Если ты инциденты происходят Там постоянно также оповещение приходит это Что касаемо применение неуправляемых алгоритмов Ну и корреляция событий понятно это то о чём я уже говорил в принципе например контроль доступа и от Куда движется съем не буду вам рассказывать там про нормализацию событий и так далее промо-сайт менеджмент и так далее Понятно Сейчас у нас есть на Дальнем Востоке Ну на базе нашего решения развернуто которая

обслуживает порядка 80 компаний данный момент в реальном режиме реального времени ты куда же двигаться сиям любая система система работает на правилах корреляции по сути Мы создали там 100 200 300 800 правила стерилизации инфраструктура растёт и скажем так правильно кидаться становится недостаточно вот поэтому у нас есть такая вещь как аналитический блок Ну это отдельный скажем так лицензия она внедряется наступну заказчика и на протяжении двух недель она обучается соответственно смотрит что происходит инфраструктуре источники сообщают

информацию собирает вот ну и соответственно после чего там она начинает уже активно работать если вдруг какой-то изменения или там ну отклонение идёт от тех норм которым она уже отучилась соответственно создается также Ну так это пиковой нагрузки ещё что-то Ну вот поэтому сейчас я надвигается Да в сторону искусство интеллекта не говорил Нет мы к нему еще сами не готовы к машину могу Ну и наверное про мифы хотелось поговорить посидим дорого первый миф который действительно есть и первое что мы слышим Что сидим это дорого я бы не

сказал что это дорого так как мы создали продукт действительно Для различных скажем так отраслей и отраслей и направлений в бизнесе вот у нас есть компании которые Ну до 50 человек есть у них есть там один Firewall грубо говоря там межсетевой экран ну и соответственно всё этого достаточно для того чтобы использовать сидим Вот и решению не получается недорогой у нас нет привязки к нам там количеству там рабочих мест и так далее У нас исключительно лицензируется по количеству происходящих событий в секунду обрабатываемых событий в секунду нужен только в зрелом в структуре Ну как я

уже сказал что есть межсетевой экран там рабочее место пользователей там всё можно спокойно использовать съем и она уже тогда даже в таком стуле будет показывать самом деле инциденты происходят сложно подключить нетиповое источники Что касаемо источников во все основные системы там сетевое оборудование программное обеспечение Там и так далее У нас в принципе уже написаны вот если есть какие-то эксклюзивы У нас есть партнёры которые занимаются написанием коннекторов мы сами Соответственно что разработчики пишут коннекторы Ну в рамках внедрения моих всегда пишем

это не так долго не занимает насчёт необходимых высококвалифицированный персонал тут соглашусь Да действительно так и есть потому что съем система достаточно большая такая тяжелый продукт с одной стороны вот ну как бы от этого ушли во-первых сделали Привет Всё которые можно скачать с сайта установить по сути толок менеджмент посмотреть пощупать ознакомиться с продуктом ты сейчас со многими институтами мы предоставляем полноценной версии институтом вот которые занимаются обучением специалистов по информационной безопасности и они на скажем так возмездной основе

обучают соответственно сотрудников которые потом в будущем уже будут готовы персонал для нас также по поводу поддержки 241 я думаю тут вообще не стоит говорить так как вряд ли есть там ну в какой-то компании есть вообще скажем где информационной безопасности либо и типа работы 24/7 Нина бумаги на бумаге Понятно есть отлично это вот это интересно вот Ну в целом на самом деле это всё на бумаге это ну в основном чаще всего долго настраивать правила корреляции отлично

прошло у нас кот был в Уфе перед тем как улететь в Уфу мне одна крупная страховая компания в которой мы проводим пилот и говорит Давайте приезжайте к нам написание там проверяться Покажите как делать это очень сложно нам нужно чтобы показали как это пишется предъявлялся буду в технических специалистов с их стороны было 2 технические специалисты специалисты и Партнеры был встреча прошла за 12 минут но полностью Показать как пишется приватизация это всё интуитивно Понятно Они просто переглянулись между другое то

зачем он у вас вы скажем так правильно пишется на эту тему Понятно в режиме одного окна то есть не проблема Да мы можем сами быстро сделать жалко нет Максима здесь Я у неё спросил люблю задавать это просто ты бы заново собрался с нуля сидим поднимать он просто вот он Ну не такие глаза делать Ему хочется выйти из зала всегда потому что быстро создать рабочий продукт готов именно в классной сиенну в быстрые сроки это невозможно сделать если вы там не газпрому вас нет кучу денег и куча времени свободного Как говорится немного на

нашем продукте соответственно блокмен го на котором говорил я в версии которые можно скачать с сайта по сути тогда сбор логов там поиск по событиям Там и так далее ну и построение таких не празднуем что-то скажу так ну и соответственно полноценная версия всем сложности правила написания правила корреляции инцидент менеджмент управление рисками и так далее Ну и блок аналитики соответственно отдельно не буду долго показывать если интересно подойдёте Посмотрите различия версий соответственно кому интересно отправлю презентацию данную протехнологии в принципе я всё сказал Да это сейчас уже

самописы наш продукт двигаемся в сторону уже используем скажем так машинное обучение надо брать искусственный интеллект отсюда Вот соответственно Что касаемо событие на события могут быть совершенно любые это далеко не все скажем так источники Ну конкурентные преимущества наверное одной из сильнейших это у нас сейчас был проект vcds центр организации дорожного движения Москвы соответственно несколько тестировали класса Сидим мы показали в первую очередь это высокая производительность свыше 90000 событий на одну ногу у

нас обрабатывается в секунду вот ну и потом ещё и добили всё это ценой как показать в 3 раза ниже цены чем наши конкуренты вот по поводу лёгкой в лёгком масштабирование Понятно вертикальный горизонтальный режиме сбора логов то есть не проблема дамы 2013 года ведется активная разработка нам являются резидентами Сколково пилотов здесь уже на самом деле больше 300 или намного больше последний год мы там на семью же получали премию как технологию года клиенты которых мы уже можем

показать соответственно если это интересно ну скажем так сфера в которой работаю на самом деле сейчас под любую компанию как я уже и говорил то есть неважно чем занимается компания управление там род деятельности и так далее Ну наверное у меня всё пора бы перекусить Если есть вопросы коллеги задавайте либо можете на стенд подойти я также буду на стенде

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Siem - мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Сергей Богатырев
Руководитель в Союз негосударственных служб безопасности
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
+ 4 докладчика
Николай Мисник
директор в РЭАЦ «Эксперт»
+ 4 докладчика
Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб
+ 4 докладчика
Сергей Богатырев
Руководитель в Союз негосударственных служб безопасности
+ 4 докладчика
Антон Дедков
Руководитель проектов в SearchInform
+ 4 докладчика
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Ольга Поздняк
Директор в Экспо-Линк
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Siem - мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно