Александр Учителев
Менеджер по работе с партнерами в RuSIEM
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Алматы
27 февраля 2020, Алматы, Казахстан
Код ИБ 2020 | Алматы
Запросить Q&A
Видеозапись
Siem - мифы и реальность
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
19
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

доклад будет посвящена непосредственно решение данного класса также затронуть тему Что вообще такое съем Расскажи немножко о системе нашими глазами а также развеем мифы что всем это может быть дорого что надо кучу источников Да что надо включить технического персонала расскажешь почему это не так что касается продуктов Мы видим что его может использоваться любая отрасль и численность наверное даже персонал от 30 человек нас есть такие кейсы У меня вопрос есть а кто же эксплуатирует решение

подобного класса есть такие и как он живёт с ними намного лучше да О'кей А кто не знает что такое Sim вообще Удивительно но О'кей давайте поехали съем аббревиатура расшифровывается как Security информационный менеджмент Что в переводе с английского означает система управления событий информационной безопасности из названия видно что сама система она не предотвращает она обещает Это мощный аналитический инструмент который собирает события там с различных источников анализирует их поливают и если есть какое-то

отклонение от правил Соответственно генерирует инциденты оповещает заинтересованных в этом лиц яркий пример работы система пример есть сотрудник доверенный имеющий доступ к какой-то там чувствительной информации вдруг он начинает отправлять информацию необычного своего пул адресов Вот дебил да есть такой класс решение к примеру данный момент Не сработает Ну потому что сотрудник доверенный доступа имеет какое-то vol.az ем основываясь на своей статистики сказать что это инцидент предположим О'кей инцидент произошел Ну что делать

сотрудник он как правило отличаются Да это не я и не знаю когда вышла и так далее Вот сидим в данном случае поможет вам собрать доказательную базу как для внутренних расследований так и не для суда это вот одно из его основных предназначений к примеру вам нужно провести кормить аудит на соответствие меня там 27 Там стандарту для систем для банков Актуальность темы это также умеет и третью такое как бонус предназначение Я говорю всё косвенного может помочь выбить бюджет на закупку какого там средства и BTS распечатайте отчет на

фактически с этим отчётам приходит в руководстве будет что вот данную есть там закрывается запрашиваемая нами средствами и в данном случае уже по практике руководство более лояльно относятся к выделению там бюджета дать например маме расскажу у всех есть антивирус Да в организациях Как работает антивирус если происходят события до информация об этом отправляется администратор увидеть сообщение на почту А сколько таких сообщений может быть в день а за месяц очень много подобным способом

работают другие Там слишком те же межсетевые экраны Да и пьеса если они точно также как его устами да нашу почту но Нас интересуют те инциденты когда она счастью все события когда скажем был обнаружен вирус Дай в течение там 10 он мне был помещен в карантин или не был удалён Да вот Для нас это является инцидента Мы уже идём соответствует администратору вопросом почему второй яркий пример это было бы однушка в другой стране но с нами мы пришли в финансовую организацию выгрузили логе Сибирский за последние пять лет попрошу прощения студентки

увидели что компания будет бороться с одного сервера в Китае в течение 5 лет это так наш собственника очень любит когда Как китайцы взломали Пентагон да то есть каждый китайца зашёл на сервер и ввёл пароль Мао Цзэдун там на миллиард kinosever.ru согласился Вот это к чему это к тому что мы можем там брутфорс компания там 5 7 лет а в итоге там и всё подберём И проникаем тут вопрос только времени А давайте наверно поговорим Что было вчера что было сегодня да вот яркий пример там С чего начинается когда централизованные событий

событий B1 тоже заказчика финансовая организация была стояла задача выявить тех сотрудников кто не авторизовался паскуду но произвел вход на своей рабочей точки там или тачки скажем своего коллеги до той что уже фактически идет нарушение политики и поэтому передача логина пароля мы написали коннектор написали ккд написали корреляционное правила и всё пожалуйста этого мы начали свой рост и так появился на съём в далеком 2014 году О'кей со сбором события Мы решили захотелось какого-то графического представления соответственно появились

уже дальше дашборды но сколько вы сможете сидеть и смотреть в монитор ну 20 минут Ну полчаса дальше внимание будет ваша уже рассеяно подключили модуль оповещения сделали Неуправляемый алгоритмы О'кей работает хотим чего-то больше и тут мы сделали корреляцию чем это скажем так хорошо на все события анализируются с различных источников и сопоставляются между собой этот вернётся первый пример Да к Проделки рассказал что он не эффективный да красоту Николай иметь доступ к информации что будет завтра я тебе говорю что

система основывается на этом базовых правилах корреляции дашь фактически это наши знания если не отправила до 7 соответственно Ну не отработает он пропустил круто на маленькую угрозу мы сегодня активно вкладываем всё вот не любим Мы искусственно телефон в глубокое машинное обучение и обучение на основе данных за счет этого мы говорим что мы уже сидим завтрашнего дня модуль аналитики вынос выявлять Аномалия какие-то попытки атаки Кит угроза уже на ранней стадии не только начинает формироваться на основе симптомов

аналитика уже фактически Пишет вам правила представить вам уже не нужно его придумать самому и зачёт Вот именно модуль аналитики мы находим там уже нашёл конкуренты тест это показывают у нас наличка у нас алгоритм аналитики уже это справилась создает сам Возьмите Попробуйте Я рекомендую про мифы и реальность Да собственно тему пища такого небольшого все считают что всем это дорого Нет это не дорого у нас политика компании что примерно такого она будет рыночной Допустим мы там заработаем 10 раз там поди сюда дачу

не заработал ни раз 1000 долларов Нужен ли съем только зрелые инфраструктура я скажу Нет есть уже ряд примеров когда в компании используется антивирус несколько активностью оборотом 50 рабочих станций простенькое там дельпи и здесь я уже всем пожалуйста нужен Ну есть такие примеры когда мы используем ся подключение тепловые источники нет вопрос только времени есть когда мы источник подключаем за 2 дня до и на следующий день всем владельцам руссийон получают уже себя с контакта в продакшн

есть где мы дадим тратим месяц Ну примерка нетиповая там abscond банка да который написал десятилетиями и заходили там не получать также забыть да это требует какого-то времени высокую цену персоналу необходимо блин тоже нет Ну скажу так по опыту и по практике чтобы съем качественного срабатывало достаточно наличкой администратора мы это практика то есть там минимальная командой которая действительно интересные вещи пистолета около 5 человек пускают с объёмным проспект стоит это решение

Ну вот я размер самой инфраструктуру них очень большой поэтому и количество обслужить установите соответствие требуется больше е-тендер е-тендер который всегда с радостью придёт своим заказчикам и потенциальных заказчиков всегда на помощь чтобы разобраться в структуре Ему просто Как устроена herakati альфа-банка мы знаем OK Нужна ли поддержка 24/7 365? ну-ка часть Правды из ваших очень нужна ли поддержка на 7365 Ну 7 стоит оно по факту фактически работает да круглосуточном режиме и если есть опять же

какое-то отклонение от правил глинистый цемент и происходит оповещение что вы дальше будете делать с этим инцидентом или потенциально цедентом Долго ли настраивать Проклятие нет у нас в коротких Идёт уже 250v базина заложен достаточно лёгкий конструктор Где вы сможете спокойно создать любое правило или откорректировать существующие Именно под свои нужды даже вот мы используем скажем splunk и там ну есть такое у них пакетом prosecurity то некоторые правила которые там написаны они у них там дефекты логики есть Поэтому даже вот В смысле у крупных компаний

то есть вот этих вот коробочных правилах корреляцией встречаются ошибки скажу так съем это не антивирус где выдаю оставлю там путем начинается у вас всё работает коробочное решение это вот правила корреляции которые написаны самой компанию можно ожидать что они будут совсем грамотно так вот там тоже встречается логические ошибки это да я сам-то он согласен и съем Да действительно очень не такое тонкая решение которое требует глубокой настройки и тесного взаимодействия так интегратор авенджера и клиента потому что нет такого человека кто знает ваш бизнес лучше чем вы

поэтому здесь также Почему нужно тесно работаем с вами очень часто слышим от клиентов Да мы можем описание будет всё сделать на вашу помощь нужна Да вы можете но есть скажем так специфика ситуации мы эти что ты там как иногда видим там десятками сотнями тысячами в год и они Для нас однотипные Для вас они могут быть уникальные и магом Давайте пожалуйста но прежде чем через 30 дней как сама скажет так позднее а может быть послезавтра Уже придёте и кажется Ребята помогите

поэтому всем я Всем рекомендую активные тесно взаимодействует с сенсором это контакт центр компетенций которые вам будет именно полезен что касается событий на вход уже опять же знаешь это многолетней практики мы скажем что мы фактически подключали любые системы там тривиальные и нетривиальные пьеса кита активностью оборудование неважно источником может быть абсолютно любое устройство но тут есть несколько это критично источника информативность и соответственно Спектр задач отдела пойти и B

Мы масштабируемости очень легко и просто как горизонтально, так и вертикально можно очень легко подключать, как новые филиалы, так и добавлять новые источники практически в режиме без какого-то там простое все делается очень просто и легко. вот не люблю этот сайт если честно да скажу Так что выделяет нас среди всех конкурентов это простота в эксплуатации показываем сейчас скорость обработки до 90.000 событий в секунду всего лишь на одной ноде и этот результат

позволяет нам выигрывать у большей части наших конкурентов все модули все контакты выпущенные нами Но в нашем последнем релизе есть теперь пока возможности У вас есть заказчики к примеру до специфических тем стоят и у них есть пожелания чтобы коннектор допустим в продакшене ушёл такой тоже есть мы не накладывает никаких ограничений там по количеству событий по источникам и лицензируются исключительно по количеству обрабатываемых событий и по количеству установок друзьям каждый лицензия наши привязанная к уникальному сервера

то есть корректировка лишь 30 равно количеству цене по факту немножко а Наша компания мы развивались 2014 года у нас сейчас скажу так более 100 клиентов по России aze.az Ну так есть одна остановка в Лондоне активно развиваем партнёрскую сейчас мы рассчитываем их уже где-то под 70 огромная цифра 12000 это установка нашей бесплатной версии Она кстати доступны на нашем сайте но не будет там корреляции и не будет инцидент-менеджмент фактически если вы считаете

полностью только вот такое ограничение есть на нашей РВСН Это бесплатно это бесплатно для того чтобы клиенты полностью функциональна ценили То есть он должен быть полный но ограниченный чтобы так скажем в рабочую это его не устраивает всё правильно У нас тут 500 событий в секунду если превышает события предстают очередь на дальнейшую обработку То есть у нас фактически тоже самое будет Ну у меня Собственно как коротко нас Я бы хотел передать свою Коллегия Евгению он представляет нас здесь в Казахстане

Евгений украду минутку слова у моего коллеги Александра прокомментирую позиционирование этого продукта наверняка и Для большей части аудитории Странно что за продукт Почему cos все же любят это название Да мы живём с вами в Казахстане Мы хотим взять экспертизу которая была и не работает с 2014 года до вендера русиком и поднять экспертизу здесь в Казахстане мы как я Вот сам работал и на стороне и конечного заказчика и в нескольких видах я прекрасно понимаю в чём особенность работы Ты должен

работать здесь в стране внутри у тебя должны быть инженеры у тебя должны быть она которые могут прийти к заказчику Да и сказать Вот у тебя есть какая-то проблема у меня есть какое-то Решение вот и только вот в этой связке тогда у тебя наконец-то чего мы хотим Как как продавцы Да пойдут продажи пойдут внедрение заказчик будет удовлетворён Вот в этом всё позиционирование Конечно мы хотим Ну попрощайся какое-то время там что Да мы придём к сертификации касима в Казахстане мы придём к получению промышленного сертификата для того чтобы войти в список

доверенного по вот мы хотим госзаказчиков мы хоть реальный сектор пойти Наш офис находится в нур-султане Да есть инженера У нас есть экспертиза Мы готовы с ней делиться с вами Так что приходите Используйте бесплатный продукт который доступен Да мы можем провести пилотный проект будем рады с вами общаться Приходите к нам на стенд Спасибо большое тёть вопросы относительно продуктов Да напомни что за вопросы Мы дарим всякие вкусности или магниты поэтому я надеюсь на вашу активность

Давайте по возможности представлять из хорошо Меня зовут Хамитова зарнигор Народный банк Казахстана такой вопрос Вот вы говорили о том что правила можно очень быстро настроить в среднем допустим если какой-то процесс запустили нужно срочно настроить по правилам за какой промежуток времени вы настроите вот прямо с нуля точно абсолютно новая коллекция логика продумано То есть Вам нужно сказать только логику И всё ещё такой вопрос на один коннектор пропускная способность, Какая не ограничивается,

то есть трафик пропадать не будет. Хорошо Всё спасибо что-то нас есть ещё вопросы Давайте ещё Сергей бандура кредит Вот вы говорили что ваше решение практически всех конкурентов там превосходит там по многим параметрам А где-то можно ознакомиться с сравнительной таблицей допустим там куратор Long Dark siders Ну то есть то что на рынке Валера спросил вопрос есть обзорная статья на ресурсе antimalware где список из 10 Sim как зарубежных я скажу российских Да

сравнительные таблицы и с подробным описанием плюс-минус скажи своей стране скажу Так этот схема такой продукт который он не антивирусное там его несешь на следующий год там не заменишь этот продукт Выбери там на минимум пять лет я смогу Возьмите и Попробуйте вот effectual я скажу туда мы поможем вам достичь

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Siem - мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Александр Пушкин
Эксперт в ЦАРКА
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Дмитрий Хомутов
Заместитель директора по развитию в Ideco
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Даниил Бориславский
Ведущий аналитик в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Siem - мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно