security vision: Система мониторинга - it.ru · Проблемы...
TRANSCRIPT
Центр компетенции информационной безопасности
1
Security Vision: Система мониторинга
информационной безопасности
Аркадий Прокудин, руководитель группы продаж
Центра компетенции информационной безопасности
Security Vision
2
Проблемы информационной безопасности
• Вирусные эпидемии
• Недовольные сотрудники
• Конкурентные войны
• Кража информации
• Промышленный шпионаж
• Публикация закрытой информации
Security Vision
3
Простота создания проблем
• Symantec Report 2012 убытки от ИТ
мошенников в мире $110 млрд.
• Вывести из строя сайт конкурентов на
1 неделю – $250-500 (Аэрофлот)
• Рассылка СПАМа на аудиторию в 1.000.000
почтовых ящиков Вашего региона – $160
• «Хакерские комплекты» от 99$, 199$, 299$
• Sophos, ботнет ZeroAccess - доход 3 млн.р.\день
Security Vision
Враг не дремлет
Security Vision
5 5
Соответствие требованиям законодательства
• ФЗ №152 «О персональных данных»
• Требования к Национальной платежной системе (НПС)
• ФЗ №98 «О коммерческой тайне»
• Приказ №58
• СТР и СТР-К
• СТО БР ИББС
• Требования к автоматизированным банковским системам (АБС)
Security Vision
6 6
Соответствие требованиям законодательства
• ФЗ 152, ст. 19. Меры по обеспечению безопасности персональных
данных при их обработке
1. Оператор при обработке персональных данных обязан принимать
необходимые организационные и технические меры... для защиты
персональных данных от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от
иных неправомерных действий в отношении персональных данных.
Security Vision
7 7
Соответствие требованиям законодательства
• ФЗ 152, ст. 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
Security Vision
8 8
ФСТЭК, ФСБ, Мининформсвязь
• Требования ФСТЭК России. Основные мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
• Требования ФСБ России. Использование шифровальных (криптографических) средств для обеспечения безопасности персональных данных
• Совместный приказ от 13 февраля 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязи, утверждающий «Порядок проведения классификации информационных систем персональных данных»
Security Vision
9
В итоге
• Штрафы и санкции
• Судебные разбирательства
• Дисциплинарная ответственность
• Административная ответственность
• Уголовная ответственность
• Финансовые потери
• Репутационные убытки
Security Vision
10
Что делать?
Security Vision
11
Строить комплексную систему безопасности
Security Vision
12
Защита от атак и межсетевое экранирование: Cisco, Juniper, StoneGate, IBM, Континент
Защита информации в каналах: Cisco, Juniper, Континент, S-Terra, VipNET
Антиспам и защита Web-данных: IronPort E-mail & WEB, ProofPoint, , Лаборатория Касперского
Защита сети компании
Security Vision
13
Защита рабочих станций и серверов
Защита информации в канале: CheckPoint, Stonegate, Cisco, WebSense, С-Терра
Антивирусная защита: Лаборатория Касперского, ESET NOD32
Security Vision
14
Защита баз данных и контроль утечек информации
Защита от утечек данных: DeviceLock, SecretNet, Соболь
Защита баз данных: Application Security, Imperva
Security Vision
15
Разные СЗИ – разные форматы данных
Firewall Logs
NIDS Logs
Security Vision
16
Сложности обеспечения ИБ
• Разнородные средства защиты с разными форматами и журналами
• Недостаток своевременно
подготовленных отчетов
• Разные форматы отчетов на разных
языках
• Слишком много сигналов тревоги
• Мониторинг разных СЗИ через
различные консоли
Security Vision
17
Решение
SIEM – Security Information Event Manager system
Система комплексного мониторинга и управления информационной безопасностью
Security Vision
18
Security Vision: автоматизация ИБ
Security Vision
19
Сбор событий • Сбор и анализ данных разнородных
источников в разных форматах
• Приведение событий различных
систем к единому формату
• Корреляция событий в инциденты
• Антивирус Касперского
• XSpider
• C-Терра
• Инфотекс VipNet
• Sophos
• Код безопасности
• Cisco
• Check Point
• Symantec
• Windows
• Linux и др.
Security Vision
20
Инвентаризация и контроль целостности
• Автоматизация процесса
инвентаризации и контроля
целостности активов предприятия
• Инвентаризация ПО и
оборудования
• Контроль соответствия принятым
шаблонам
• Управление лицензиями ПО
Security Vision
21
Нормализация событий
Различные системы ведут разные формы отчетности.
Антивирус � � f t p _ C h u n k s L i s t � f t p _ C l i e n t N a m e �4 1 1 0 3 ; 8 6 ; 1 . 0 . 0 . 0 ; 6 9
Удаленный доступ 2012-05-22 01:21:46.517 - Error 2012-05-22 01:21:46.527 - code 0x19731002
Файервол •Ђ �•Ђ�•OBJIDINDEX •Ђ �•Ђ�•Ђ � ��� ��� ��� �� Щ Ц ж �: � + •Ђ �•Ђ�•Ђ � � Ђ� � � � � � � Ђ objidIndex�� ��� ��� ��
Security Vision
22
Корреляция событий
2 492 021 событие 982 651 сеанс 219 инцидентов 21 серьезный инцидент
Работаем только с реальными инцидентами, способными нанести ущерб
Security Vision
23
Приоритезация инцидентов
Анализ рисков :
Экспертный метод
Качественный метод
Статистический метод
Количественный метод
Аналитический метод
• Приоритезация инцидентов в зависимости от влияния на
бизнес-процессы
Security Vision
24
Управление инцидентами
• Уведомление об инцидентах: электронная почта
SNMP
пейджер
запись в SYSLOG
мобильный телефон
• Обнаружение инцидентов, пропущенных отдельной СЗИ
Security Vision
25
Сводные отчеты
Любые форматы отчетов
• Более 200 стандартных отчетов;
• Возможность создания любых форм отчетов;
• Отчетность на русском языке для руководства
Отчетность в соответствии с
требованиями политики
информационной безопасности.
Security Vision
26
Масштабируемость
• Локальное исполнение:
мониторинг информации в рамках небольшой организации
• Глобальное исполнение:
централизованное отображение информации, управление локальными средствами сбора и генерация отчетов для распределенной компании
Security Vision
27
1 агент, 1 сервер, 1 консоль
• Интеграция со всеми СЗИ
• Нормализация данных СЗИ
• Отправка нормализованных данных от СЗИ
в SIEM
• Сбор событий в единую базу знаний
• Корреляция событий различных систем
• Анализ полученных данных на предмет
соответствия шаблонам
• Организация хранения базы знаний
• Формирование политик управления ИБ
• Отчетность на русском языке
• Управление инцидентами из любой точки
1 агент
1 сервер
1 консоль
Security Vision
28
Ядро или Security Vision
Корреляция событий
Ведение и хранение журналов
Сбор событий
Анализ событий
Управление инцидентами
ISO27001
Контроль целостности
ФЗ№152
Инвентаризация ПО и
оборудования
Русский интерфейс
Сбор событий
со всех СЗИ
Соответствие требованиям
СТОБР,PCIDSS
Управление рисками
Русская отчетность
Security Vision
29
Security Vision
• На рынке с 2008 года
• Призовое место на конкурсе
инноваций Cisco 2010
• Золота медаль ЗУБР-2011 на
выставке InfoSecurity2011
• Прорыв года 2011 года в области
управления ИБ (Журнал LAN)
• Премия Серебряный кинжал 2012
Security Vision
30
Security Vision
Сертифицирован во ФСТЭК на
НДВ по уровню 4, для
автоматизированных система до
класса 1Г и ИСПДн до 1 класса
включительно.
Security Vision
31
История внедрений
Security Vision
32
Задача Предоставить возможность в любой момент времени получить информацию о состоянии
защищенности всех СЗИ организации в едином формате на русском языке.
Решение Внедрение системы мониторинга информационной безопасности(СМИБ) и ее
интеграция с серверами управления всеми СЗИ.
Реализация Внедрение и интеграция СМИБ с системами:
• защиты сети (межсетевого экранирования, обнаружения вторжений)
• антивирусной защиты
• контроля доступа к ресурсам Интернет
• сетевого аудита
• службой каталога.
История внедрений
Security Vision
33
“Внедрение системы мониторинга информационной безопасности улучшило и упростило процесс контроля инцидентов в нашей организации.“
Руководитель АСУ ГУП Моссвет, Микляев Евгений
Результат:
• Единая картина защищенности информации
• Формирование отчетности из единой консоли на русском языке
История внедрений
Security Vision
34
Задача Организовать адаптивную защиту информации во внутренней сети
использующую существующие средства защиты.
Решение Организовать принятие решений основываясь на информации со всех
СЗИ и принятие решений в полуавтоматическом режиме на базе утвержденных политик.
Реализация Внедрение системы управления информационной безопасности (СУИБ).
Интеграция СУИБ с системами:
• защиты сети (межсетевого экранирования, обнаружения вторжений)
• антивирусной защиты
• службой каталога
• Управления сетевым оборудованием.
История внедрений
Security Vision
35
“Система управления информационной безопасности Security Vision(IT SMMC) позволила выявить на ранних стадиях распространение вируса Kido внутри сети, приняв решение на базе информации от сетевого оборудования. Это позволило локализовать эпидемию до выпуска антивирусными продуктами сигнатур по выявлению этого вируса.“
Зам. Министра Министерства ЭиПП ПМО, Агапов Андрей
Результат: • Управление уровнем защищенности из единого центра
• Сбор информации со средств защиты и сервисных систем
История внедрений
Security Vision
36
Преимущества
• Подсистема регистрации и учета событий (ФЗ №152)
• Интеграция со СКУД и видеонаблюдением
• Эффективная работа администраторов ИБ
• Мониторинг всех средств защиты
• Управление инцидентами
• Формирование русскоязычных отчетов
• Легкий апгрейд функционала
• Выявление аномалий в сети
• Инвентаризация и контроль целостности
программных и аппаратных ресурсов
• Сертифицированное СЗИ во ФСТЭК
Security Vision
37
Демонстрация
Закажите демонстрацию решения для своей организации!
Security Vision
38
Компания АйТи
115280, г. Москва, ул. Ленинская Слобода, д. 19, стр. 6,
(БЦ «Омега-Плаза»)
Тел.: +7 (495) 974-79-79, 974-79-80
Факс: +7 (495) 974-79-90
Прокудин Аркадий Владимирович
Руководитель группы продаж ЦКИБ
E-mail: [email protected]
Спасибо за внимание!