SlideShare ist ein Scribd-Unternehmen logo

Мониторинг своими руками

Sergey Soldatov
Sergey Soldatov

Презентация на CISO Forum 2016

Technologie
1 von 78
Downloaden Sie, um offline zu lesen
Мониторинг своими руками Сергей Солдатов Независимый эксперт
Эта страница умышленно оставлена пустой
Преамбула •Без претензий на истину •Конкретный опыт конкретного причастного •Ретроспектива показала, что это было хорошо •Интересно Ваше мнение
Эволюция ИБ в Компании
Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия • Покупка множества разных железок • Покупка разного консалтинга
Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия • Покупка множества разных железок • Покупка разного консалтинга
«Средняя по больнице» зрелая ИБ
Операционные сервисы ИТ и ИБ в части ИБ IDPS VM FW С AC Аудит Изменения Проекты Mониторинг VM Operations ИТ Operations ИБ Бизнес-приложения Инфраструктура
Типовой «системный» подход построения ИБ • Определение ключевых бизнес- процессов • Изучение бизнес-процессов • Определение рисков • Определение мероприятий по снижению рисков (1) • Выявление существующих контрольных процедур (2) • Gap-анализ (1) и (2) • План построения нового, доработки существующего Что делать? • Аудит: • Интервью • Изучение ОРД и пр. *РД • Технологический аудит • Справочники контролей: • NIST SP800-53 • ISO 2700* • CobIT • …. • Взять у кого это уже есть Чем делать?
неТиповой подход: из мониторинга Мониторинг Инфраструктура Периметр Зоны Внутри*.info Управление инцидентами 1 Первый контроль ИБ Расследования Планирование 2 3 4 Новые контроли ИБ Интеграция в процессы i j k Мониторинг бизнес-приложений Мониторинг транзакций Аудит
СУИБ при нетиповом подходе http://reply-to-all.blogspot.ru/2013/01/blog-post.html Организационный Технический
Боль аутсорсинга (что можно аутсорсить, а что нет) • Критичность сервиса • Ситуация с предложением на рынке • Внутренние компетенции • Степень соответствия Стратегии • Степень формализации требований • Себестоимость • Стоимость управления и контроля Выработали критерии Пропустили через них все работы Определили что продать Проводите такую оценку регулярно http://reply-to-all.blogspot.ru/2012/02/blog-post.html
Инсорсинг, Аутсорсинг, Аутстаффинг (типовая «гибридная» схема) Направление1 Направление2 Направлениеi Направлениеn Лидер 1 Лидер 2 Лидер i Лидер n С т р а т е г и я Корпорация Инсорсер Аутстаффинг Аутсорсинг Штат
Мониторинг и реагирование на инциденты
Мотивация • Аккумуляция знаний • Единая точка ответственности • Эффективность коммуникаций • Низкая совокупная стоимость
Мотивация • Аккумуляция знаний • Единая точка ответственности • Эффективность коммуникаций •Низкая совокупная стоимость
Бумаги
Управление инцидентами в Компании ИБ • Цели • Задачи • Приоритеты • Инструменты ИТ • Статика • Динамика • Инфраструктура • Исполнение Внешние сервисы • Все что угодно* * Где сам не силен
Внутренние инструкции • Описание сценариев инцидентов • Сервисные линии и их задачи • Порядок первичного реагирования • Порядок регистрации инцидентов в учетной системе • Типовые случаи • Маршруты эскалации инцидентов (если они разные) • Маршруты эскалации ложных срабатываний • Матрица контактов
Отступление: Откуда брать сценарии? • Прошлый опыт • Публичные отчеты об угрозах: Verizon, Mandiant, Kaspersky, …. • Коммерческий TI • Threats data feeds, IoC и т.п. • ….
Отступление: Откуда брать сценарии? • Прошлый опыт • Публичные отчеты об угрозах: Verizon, Mandiant, Kaspersky, …. • Коммерческий TI • Threats data feeds, IoC и т.п. • ….
Необходимые знания: Об инфраструктуре • Схема маршрутизации (L3): • сетевые сегменты • устройства L3: название, модель, IP-MAC-FQDN-назначение интерфейсов • шлюз по умолчанию • контакт админа • таблица маршрутизации (если есть доп. маршруты) • физическое положение: адрес, № помещения • Список VLAN: номер, название, назначение, адрес и маска
Необходимые знания: Об ИС • ИТ-сервис • Компоненты ИС: название, назначение, технологическая база • Сервера ИС: • название, • ОС, • IP-MAC-FQDN-назначение интерфейсов • шлюз по умолчанию • Физическое расположение: • адрес, № помещения, шкафа, места в шкафу • размещаемые компоненты • контакт админа: • инфраструктурный • приложения
Необходимые знания: О сервисах ИТ • Назначение сервиса • Критичность для Заказчика* • Показатели доступности (RTO) • Контакт сервис-менеджера * для расчета критичности инцидента
Необходимые знания: Что делать если ничего нет? • Предпроектныйпериодический аудитинтервью • Эффективные коммуникации • Своя база знаний • Обратная связь от расследованных инцидентов
SLA: перечень работ (внешние) • Выявление инцидентов • Разработкаактуализация сценариев • Выявление атак • Первичное реагирование • Выработка рекомендаций для дальнейшего реагирования • Анализ «Lessons learned» • Исследование ложных срабатываний • Корректировка политик систем мониторинга • Управление уязвимостями
SLA: перечень работ (внутренние) • Поддержка внутренних инструкций и Базы знаний • Контроль SLA и отчетности, управление ресурсами • Поддержка внутренней инфраструктуры • Анализ актуальных угроз  Поддержка сценариев обнаружения • Развитие технологической базы • Развитие персонала • Контроль качества и повышение эффективности
SLA: Объекты мониторинга • Их перечень • По каждому: • Настройка аудита не посредственно на системе: *.info • Транспорт: syslog • Инструмент мониторинга: вручную, правила SEC • Контакты оповещения в случае ложного срабатывания • Контакты оповещения в случае инцидента • Специфичные для источника поля инцидента
SLA: линии поддержки • 1-ая линия: «Ничего не пропустить» • «Время реакции» + «Фиксированное время решения» • Мониторинг • Первичное реагирование • Инциденты из Базы знаний • 2-ая линия: «Довести до конца» • «Остаток времени решения» • Инциденты не из Базы знаний • Координация реагирования • Исследование ложных срабатываний • «Lessons learned», обновление сценариев и все остальное…
SLA: Типы обращений • Инцидент • Проблема • Запрос на обслуживание • Изменение
SLA: жизненный цикл инцидента Opened New 1st tier investigation 2nd tier investigation On hold Resolved Pending close Time calculation Closed Security event appeared in system logs Monitoring system detects incident - Automatic detection “New” Primary investigation Response recommendations “1st Tier resolution” “2nd Tier resolution” “Resolved” Response time Resolution time Incident response Responder Feedback “Pending close” Remediation effectiveness check (optional) “Closed” Manual detection
SLA: учетные поля инцидента • Тип по группе реагирования • Стадия атаки в момент обнаружения • Чем обнаружено • Уровень критичности - Приоритет http://reply-to-all.blogspot.ru/2015/05/blog-post_20.html
SLA: учетные поля инцидента • Тип по группе реагирования • Стадия атаки в момент обнаружения • Чем обнаружено • Уровень критичности - Приоритет Обязательно наличие практического смысла!
SOCIT-SecurityIRTeamITOperations Begin Detections Primary investigation Figure out what s happened? Requests to Operations Yes Further investigation No Further investigation Corporate incident response Corporate incident response Corporate incident response Request fulfillment Request fulfillment Feedback analysis End SLA: разделение ответственности
SLA: отчетность • Текущие значения учетных полей в сравнении с предыдущими периодами • Распределение типов инцидентов по подразделениям • Эффективность источников обнаружения • На какой стадии атаки обнаруживаем? • % расследованных без привлечения команды реагирования • % «ложных тревог» http://reply-to-all.blogspot.ru/2014/11/blog-post.html
Кадровый вопрос
BOK • Современные TTP атак (помогает пентестерский опыт) • Современные TTP обнаружения (== понимание как это работает) • Сетевые ОС (== админский бэкграунд) • Сети (CCNA достаточно) • Программирование на уровне сисадмина (Python, PS, Perl, Bash,…)
Инфраструктура
Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий
Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий SIEM, syslog+SEC, ELK, скрипты
Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий Скрипты
Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий
Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий psinfo tasklist netstat -ano psfile psexec net use net session net LOCALGROUP … streams autoruns credentials manager recent uptime windows evt HIPSAV logs dir /s /b /a c: ... etc ...
Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий
Атаки
Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни
Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым
Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать
Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать Вовремя обнаружить Эффективно отреагировать Устранить последствия
Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать Вовремя обнаружить Эффективно отреагировать Устранить последствия Пассивно Быстро Незаметно
Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать Вовремя обнаружить Эффективно отреагировать Устранить последствия
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смена • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смена • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смена • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения…
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения…
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения…
Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения… Эвристика, статистика, машинное обучение
Защита
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Как? Инструменты?
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты?
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Киберразведка Фиды Аудит Что актуально именно для Вас? Сценарии современных атак? Что по Вам в андеграунде? Индикаторы актуальных угроз Векторы проникновения Уязвимости и эксплуатируемость Проверка эффективности мер ИБ Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты?
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака обеспечит оперативность обнаружения Оперативное распределение политики по всем системам обнаружения Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Различные технологии На всех этапах атаки Взаимная корреляция Фиксация и отработка «подозрительного» Базы знаний Понимание контекста атаки: цели, TTP Взаимосвязь различных маркеров
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист Опыт
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист Опыт 
Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист Опыт 
Итог по [внешним] сервисам и инструментам •Киберразведка •Аудит соответствия и Тестирование на проникновение •Связная база знаний известных угроз •Актуальные идентификаторы угроз и компрометации •Анализ [вредоносного] ПО •Компьютерная и сетевая криминалистика
Снова Аутсорсинг или Сильные и Слабые стороны Корпоративная ИБ Профессиональный сервис Знает чего боится Не знает что для Компании актуально Знает свою инфраструктуры и приложения Не знает ИТ-комплекс Компании Знает своих работников* Не знает персонал Заказчика Видит только себя Видит глубже и шире Не проф. в спец. областях: реверс, форенсика, пентест и т.п. Проф. в спец. областях * В части Кадровой безопасности
Снова Аутсорсинг или Сильные и Слабые стороны Корпоративная ИБ Профессиональный сервис Знает чего боится Не знает что для Компании актуально Знает свою инфраструктуры и приложения Не знает ИТ-комплекс Компании Знает своих работников* Не знает персонал Заказчика Видит только себя Видит глубже и шире Не проф. в спец. областях: реверс, форенсика, пентест и т.п. Проф. в спец. областях http://reply-to-all.blogspot.ru/2016/04/blog-post.html Развивайте свое сильные стороны, а слабые – компенсируйте сервисом тех, у кого это – сильная сторона!
Финальные слова •Свои процессы стройте сами •Ломать надо только где плохо, где хорошо - развивайте •Начните с малого: сделайте те 20%, что дадут 80% результата •Сразу думайте об обратной связи и совершенствовании •Люди творят историю •Не бойтесь ошибаться: умный учится на своих ошибках
Можно что-нибудь обсудить…. Темы: • ИБ • ИТ • Проекты • Разработка ПО • Музыка О себе: • CISA, CISSP • Эксперт по бумажной и практической ИБ • Экс-админ • Экс-программист • Экс-спортсмен • Немного музыкант • reply-to-all.blogspot.com • @svsoldatov • linkedin.com/in/sergeysoldatov

Empfohlen

Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!Sergey Soldatov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 

Empfohlen

Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!Sergey Soldatov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter HimselfSergey Soldatov
 
New methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsNew methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsMikhail Egorov
 

Weitere ähnliche Inhalte

Was ist angesagt?

Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 

Was ist angesagt? (20)

Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 

Andere mochten auch

New methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsNew methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsMikhail Egorov
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройствSergey Soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensourceSergey Soldatov
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииSergey Soldatov
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovSergey Soldatov
 
Smartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malwareSmartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malwareAlex Matrosov
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Andere mochten auch (15)

A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
New methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsNew methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applications
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
Вопросы к DLP
Вопросы к DLPВопросы к DLP
Вопросы к DLP
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографии
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
 
Smartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malwareSmartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malware
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 

Ähnlich wie Мониторинг своими руками

Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014
Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014
Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014it-people
 
Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...
Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...
Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...Ontico
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийExpolink
 
информационная безопасность эволюция угроз и рынка решений астерит
информационная безопасность эволюция угроз и рынка решений астеритинформационная безопасность эволюция угроз и рынка решений астерит
информационная безопасность эволюция угроз и рынка решений астеритExpolink
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийExpolink
 
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptxMarkkut5
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARESQALab
 
Аналитика и метрики приложений 29.11.2016 г.
Аналитика и метрики приложений 29.11.2016 г.Аналитика и метрики приложений 29.11.2016 г.
Аналитика и метрики приложений 29.11.2016 г.SPbCoA
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаAleksey Lukatskiy
 
Интеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальшеИнтеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальшеКРОК
 
Оценка эффективности работы аналитика
Оценка эффективности работы аналитикаОценка эффективности работы аналитика
Оценка эффективности работы аналитикаSQALab
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Нечаева Юлия
Нечаева ЮлияНечаева Юлия
Нечаева ЮлияSQALab
 
Метрики автоматизированного тестирования на пальцах
Метрики автоматизированного тестирования на пальцахМетрики автоматизированного тестирования на пальцах
Метрики автоматизированного тестирования на пальцахSQALab
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 

Ähnlich wie Мониторинг своими руками (20)

Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014
Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014
Н. Желнова "Оценка эффективности работы аналитика", DUMP-2014
 
Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...
Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...
Опыт осторожного внедрения инструментов Теории Ограничений в крупной компании...
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
 
информационная безопасность эволюция угроз и рынка решений астерит
информационная безопасность эволюция угроз и рынка решений астеритинформационная безопасность эволюция угроз и рынка решений астерит
информационная безопасность эволюция угроз и рынка решений астерит
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
 
Аналитика и метрики приложений 29.11.2016 г.
Аналитика и метрики приложений 29.11.2016 г.Аналитика и метрики приложений 29.11.2016 г.
Аналитика и метрики приложений 29.11.2016 г.
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
 
Andrii mandrika
Andrii mandrika Andrii mandrika
Andrii mandrika
 
Интеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальшеИнтеграционные решения – развиваемся дальше
Интеграционные решения – развиваемся дальше
 
Analyst Days 2014
Analyst Days 2014Analyst Days 2014
Analyst Days 2014
 
Оценка эффективности работы аналитика
Оценка эффективности работы аналитикаОценка эффективности работы аналитика
Оценка эффективности работы аналитика
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Нечаева Юлия
Нечаева ЮлияНечаева Юлия
Нечаева Юлия
 
Метрики автоматизированного тестирования на пальцах
Метрики автоматизированного тестирования на пальцахМетрики автоматизированного тестирования на пальцах
Метрики автоматизированного тестирования на пальцах
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 

Mehr von Sergey Soldatov

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security OperationsSergey Soldatov
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноSergey Soldatov
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!Sergey Soldatov
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationSergey Soldatov
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureSergey Soldatov
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозыSergey Soldatov
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5Sergey Soldatov
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDMSergey Soldatov
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securitySergey Soldatov
 
Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Sergey Soldatov
 

Mehr von Sergey Soldatov (14)

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security Operations
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратно
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformation
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift security
 
Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3
 

Мониторинг своими руками

  • 2. Эта страница умышленно оставлена пустой
  • 3. Преамбула •Без претензий на истину •Конкретный опыт конкретного причастного •Ретроспектива показала, что это было хорошо •Интересно Ваше мнение
  • 4.
  • 5. Эволюция ИБ в Компании
  • 6. Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия • Покупка множества разных железок • Покупка разного консалтинга
  • 7. Эволюция ИБ в Компании (по видению) «Что бы поделать?» • Участие везде • Нет стратегии • Не определена ответственность «Против ИТ» • Выполнение технических сервисов ИТ • «Конфликт интересов» с ИТ • Низкое качество сервисов ИТ для потребителей • Уклон в сопровождение инфраструктуры • Нет мониторинга • Нет аудита «Сервис ИТ» • Выполнение технических сервисов ИТ • Па факту – подразделение ИТ • Уклон в сопровождение систем ИБ • Мониторинг инфраструктуры • Аудит инфраструктуры (?) «Сервис бизнеса» • Все технические сервисы переданы в ИТ • Технический сервис ЭБ • Уклон в мониторинг бизнес-транзакций • Аудит соответствия • Покупка множества разных железок • Покупка разного консалтинга
  • 9. Операционные сервисы ИТ и ИБ в части ИБ IDPS VM FW С AC Аудит Изменения Проекты Mониторинг VM Operations ИТ Operations ИБ Бизнес-приложения Инфраструктура
  • 10. Типовой «системный» подход построения ИБ • Определение ключевых бизнес- процессов • Изучение бизнес-процессов • Определение рисков • Определение мероприятий по снижению рисков (1) • Выявление существующих контрольных процедур (2) • Gap-анализ (1) и (2) • План построения нового, доработки существующего Что делать? • Аудит: • Интервью • Изучение ОРД и пр. *РД • Технологический аудит • Справочники контролей: • NIST SP800-53 • ISO 2700* • CobIT • …. • Взять у кого это уже есть Чем делать?
  • 11. неТиповой подход: из мониторинга Мониторинг Инфраструктура Периметр Зоны Внутри*.info Управление инцидентами 1 Первый контроль ИБ Расследования Планирование 2 3 4 Новые контроли ИБ Интеграция в процессы i j k Мониторинг бизнес-приложений Мониторинг транзакций Аудит
  • 12. СУИБ при нетиповом подходе http://reply-to-all.blogspot.ru/2013/01/blog-post.html Организационный Технический
  • 13. Боль аутсорсинга (что можно аутсорсить, а что нет) • Критичность сервиса • Ситуация с предложением на рынке • Внутренние компетенции • Степень соответствия Стратегии • Степень формализации требований • Себестоимость • Стоимость управления и контроля Выработали критерии Пропустили через них все работы Определили что продать Проводите такую оценку регулярно http://reply-to-all.blogspot.ru/2012/02/blog-post.html
  • 14. Инсорсинг, Аутсорсинг, Аутстаффинг (типовая «гибридная» схема) Направление1 Направление2 Направлениеi Направлениеn Лидер 1 Лидер 2 Лидер i Лидер n С т р а т е г и я Корпорация Инсорсер Аутстаффинг Аутсорсинг Штат
  • 16. Мотивация • Аккумуляция знаний • Единая точка ответственности • Эффективность коммуникаций • Низкая совокупная стоимость
  • 17. Мотивация • Аккумуляция знаний • Единая точка ответственности • Эффективность коммуникаций •Низкая совокупная стоимость
  • 19. Управление инцидентами в Компании ИБ • Цели • Задачи • Приоритеты • Инструменты ИТ • Статика • Динамика • Инфраструктура • Исполнение Внешние сервисы • Все что угодно* * Где сам не силен
  • 20. Внутренние инструкции • Описание сценариев инцидентов • Сервисные линии и их задачи • Порядок первичного реагирования • Порядок регистрации инцидентов в учетной системе • Типовые случаи • Маршруты эскалации инцидентов (если они разные) • Маршруты эскалации ложных срабатываний • Матрица контактов
  • 21. Отступление: Откуда брать сценарии? • Прошлый опыт • Публичные отчеты об угрозах: Verizon, Mandiant, Kaspersky, …. • Коммерческий TI • Threats data feeds, IoC и т.п. • ….
  • 22. Отступление: Откуда брать сценарии? • Прошлый опыт • Публичные отчеты об угрозах: Verizon, Mandiant, Kaspersky, …. • Коммерческий TI • Threats data feeds, IoC и т.п. • ….
  • 23. Необходимые знания: Об инфраструктуре • Схема маршрутизации (L3): • сетевые сегменты • устройства L3: название, модель, IP-MAC-FQDN-назначение интерфейсов • шлюз по умолчанию • контакт админа • таблица маршрутизации (если есть доп. маршруты) • физическое положение: адрес, № помещения • Список VLAN: номер, название, назначение, адрес и маска
  • 24. Необходимые знания: Об ИС • ИТ-сервис • Компоненты ИС: название, назначение, технологическая база • Сервера ИС: • название, • ОС, • IP-MAC-FQDN-назначение интерфейсов • шлюз по умолчанию • Физическое расположение: • адрес, № помещения, шкафа, места в шкафу • размещаемые компоненты • контакт админа: • инфраструктурный • приложения
  • 25. Необходимые знания: О сервисах ИТ • Назначение сервиса • Критичность для Заказчика* • Показатели доступности (RTO) • Контакт сервис-менеджера * для расчета критичности инцидента
  • 26. Необходимые знания: Что делать если ничего нет? • Предпроектныйпериодический аудитинтервью • Эффективные коммуникации • Своя база знаний • Обратная связь от расследованных инцидентов
  • 27. SLA: перечень работ (внешние) • Выявление инцидентов • Разработкаактуализация сценариев • Выявление атак • Первичное реагирование • Выработка рекомендаций для дальнейшего реагирования • Анализ «Lessons learned» • Исследование ложных срабатываний • Корректировка политик систем мониторинга • Управление уязвимостями
  • 28. SLA: перечень работ (внутренние) • Поддержка внутренних инструкций и Базы знаний • Контроль SLA и отчетности, управление ресурсами • Поддержка внутренней инфраструктуры • Анализ актуальных угроз  Поддержка сценариев обнаружения • Развитие технологической базы • Развитие персонала • Контроль качества и повышение эффективности
  • 29. SLA: Объекты мониторинга • Их перечень • По каждому: • Настройка аудита не посредственно на системе: *.info • Транспорт: syslog • Инструмент мониторинга: вручную, правила SEC • Контакты оповещения в случае ложного срабатывания • Контакты оповещения в случае инцидента • Специфичные для источника поля инцидента
  • 30. SLA: линии поддержки • 1-ая линия: «Ничего не пропустить» • «Время реакции» + «Фиксированное время решения» • Мониторинг • Первичное реагирование • Инциденты из Базы знаний • 2-ая линия: «Довести до конца» • «Остаток времени решения» • Инциденты не из Базы знаний • Координация реагирования • Исследование ложных срабатываний • «Lessons learned», обновление сценариев и все остальное…
  • 31. SLA: Типы обращений • Инцидент • Проблема • Запрос на обслуживание • Изменение
  • 32. SLA: жизненный цикл инцидента Opened New 1st tier investigation 2nd tier investigation On hold Resolved Pending close Time calculation Closed Security event appeared in system logs Monitoring system detects incident - Automatic detection “New” Primary investigation Response recommendations “1st Tier resolution” “2nd Tier resolution” “Resolved” Response time Resolution time Incident response Responder Feedback “Pending close” Remediation effectiveness check (optional) “Closed” Manual detection
  • 33. SLA: учетные поля инцидента • Тип по группе реагирования • Стадия атаки в момент обнаружения • Чем обнаружено • Уровень критичности - Приоритет http://reply-to-all.blogspot.ru/2015/05/blog-post_20.html
  • 34. SLA: учетные поля инцидента • Тип по группе реагирования • Стадия атаки в момент обнаружения • Чем обнаружено • Уровень критичности - Приоритет Обязательно наличие практического смысла!
  • 35. SOCIT-SecurityIRTeamITOperations Begin Detections Primary investigation Figure out what s happened? Requests to Operations Yes Further investigation No Further investigation Corporate incident response Corporate incident response Corporate incident response Request fulfillment Request fulfillment Feedback analysis End SLA: разделение ответственности
  • 36. SLA: отчетность • Текущие значения учетных полей в сравнении с предыдущими периодами • Распределение типов инцидентов по подразделениям • Эффективность источников обнаружения • На какой стадии атаки обнаруживаем? • % расследованных без привлечения команды реагирования • % «ложных тревог» http://reply-to-all.blogspot.ru/2014/11/blog-post.html
  • 38. BOK • Современные TTP атак (помогает пентестерский опыт) • Современные TTP обнаружения (== понимание как это работает) • Сетевые ОС (== админский бэкграунд) • Сети (CCNA достаточно) • Программирование на уровне сисадмина (Python, PS, Perl, Bash,…)
  • 40. Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий
  • 41. Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий SIEM, syslog+SEC, ELK, скрипты
  • 42. Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий Скрипты
  • 43. Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий
  • 44. Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий psinfo tasklist netstat -ano psfile psexec net use net session net LOCALGROUP … streams autoruns credentials manager recent uptime windows evt HIPSAV logs dir /s /b /a c: ... etc ...
  • 45. Инструменты • Куда смотреть • Чем коррелировать • «База Инцидентов» • База знаний • «Плацдарм» для первичного реагирования • Система контроля версий
  • 47. Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни
  • 48. Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым
  • 49. Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать
  • 50. Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать Вовремя обнаружить Эффективно отреагировать Устранить последствия
  • 51. Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать Вовремя обнаружить Эффективно отреагировать Устранить последствия Пассивно Быстро Незаметно
  • 52. Жизненный цикл [целевой] атаки Время Активность атакующих Пассивное исследование, подготовка Проникновение в сеть, повышение привилегий, закрепление Постэксплуатация Месяцы ГодыДни Узнать врага Предотвратить Быть готовым Вовремя обнаружить Эффективно отреагировать Вовремя обнаружить Эффективно отреагировать Устранить последствия
  • 53. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смена • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник
  • 54. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смена • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ
  • 55. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смена • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите
  • 56. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения…
  • 57. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения…
  • 58. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения…
  • 59. Дополнительные характеристики • Высокий профессионализм атакующих • Прекрасная внутренняя организация и «разделение» труда • Применение множества различных технологий o как известных, так и уникальных o полиморфизм, быстрая смен • Множество векторов и сценариев атак • Многократное закрепление • Применение «салями»-техник Высокий профессионализм ИБ Системный подход к защите Множество технологий обнаружения… Эвристика, статистика, машинное обучение
  • 61. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
  • 62. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
  • 63. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
  • 64. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика
  • 65. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Как? Инструменты?
  • 66. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты?
  • 67. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Киберразведка Фиды Аудит Что актуально именно для Вас? Сценарии современных атак? Что по Вам в андеграунде? Индикаторы актуальных угроз Векторы проникновения Уязвимости и эксплуатируемость Проверка эффективности мер ИБ Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты?
  • 68. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака обеспечит оперативность обнаружения Оперативное распределение политики по всем системам обнаружения Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит
  • 69. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Различные технологии На всех этапах атаки Взаимная корреляция Фиксация и отработка «подозрительного» Базы знаний Понимание контекста атаки: цели, TTP Взаимосвязь различных маркеров
  • 70. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист
  • 71. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Кто? Как и чем? Мотивация? Как быстро доставить? Как и чем обнаружить? TP или FP? «На заказ» или известно ранее? Насколько это важно? Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Что реально произошло? Как этому противостоять в будущем? Как? Инструменты? Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист Опыт
  • 72. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист Опыт 
  • 73. Системный подход к защите Цели Приоритеты Сценарии обнаружения Распространение сценариев Обнаружение Сбор доказательств Анализ данных Подтверждение Классификация Приоритезация Централизованное управление Облака Сбор общей информации Дамп памяти Дамп диска Анализ вредоносных образцов Анализ общей информации Криминалистика Сетевая криминалистика Хостовая криминалистика Киберразведка Фиды Аудит Сеть Хост Поведение Рейтинговые системы Базы знаний Обучение Коммерческий реверсер Коммерческий криминалист Опыт 
  • 74. Итог по [внешним] сервисам и инструментам •Киберразведка •Аудит соответствия и Тестирование на проникновение •Связная база знаний известных угроз •Актуальные идентификаторы угроз и компрометации •Анализ [вредоносного] ПО •Компьютерная и сетевая криминалистика
  • 75. Снова Аутсорсинг или Сильные и Слабые стороны Корпоративная ИБ Профессиональный сервис Знает чего боится Не знает что для Компании актуально Знает свою инфраструктуры и приложения Не знает ИТ-комплекс Компании Знает своих работников* Не знает персонал Заказчика Видит только себя Видит глубже и шире Не проф. в спец. областях: реверс, форенсика, пентест и т.п. Проф. в спец. областях * В части Кадровой безопасности
  • 76. Снова Аутсорсинг или Сильные и Слабые стороны Корпоративная ИБ Профессиональный сервис Знает чего боится Не знает что для Компании актуально Знает свою инфраструктуры и приложения Не знает ИТ-комплекс Компании Знает своих работников* Не знает персонал Заказчика Видит только себя Видит глубже и шире Не проф. в спец. областях: реверс, форенсика, пентест и т.п. Проф. в спец. областях http://reply-to-all.blogspot.ru/2016/04/blog-post.html Развивайте свое сильные стороны, а слабые – компенсируйте сервисом тех, у кого это – сильная сторона!
  • 77. Финальные слова •Свои процессы стройте сами •Ломать надо только где плохо, где хорошо - развивайте •Начните с малого: сделайте те 20%, что дадут 80% результата •Сразу думайте об обратной связи и совершенствовании •Люди творят историю •Не бойтесь ошибаться: умный учится на своих ошибках
  • 78. Можно что-нибудь обсудить…. Темы: • ИБ • ИТ • Проекты • Разработка ПО • Музыка О себе: • CISA, CISSP • Эксперт по бумажной и практической ИБ • Экс-админ • Экс-программист • Экс-спортсмен • Немного музыкант • reply-to-all.blogspot.com • @svsoldatov • linkedin.com/in/sergeysoldatov