Практические аспекты современной ИБ Лекция 3

Практические аспекты современной ИБ Лекция № 3

Практические аспекты современной ИБ Лекция № 3: SIEM и DLP что это и с чем едят Лекция 3. Версия 1.

Об авторе: Шастин Геннадий Викторович Старший эксперт по информационной безопасности ОАО «МТС» 2008, МИРЭА (ТУ) факультет вычислительные машины и сети по специальности компьютерная безопасность Email: x 3 m_point@mail. ru Лекция 3. Версия 1.

Содержание SIEM DLP Логи и зачем они Утечка критичных данных Много систем – много логов Что такое DLP Что такое SIEM Зачем нужны DLP Зачем нужны SIEM «Классы» DLP систем Основные функции SIEM Основные функции DLP Внедрение и эксплуатация Плюсы и минусы Выводы Лекция 3. Версия 1.

Логи (журналы) зачем они нужны 1. Поиск и исправление ошибок 2. Поиск «виновников» 3. Сбор статистики 4. «Детектирование» атак Решение инцидентов невозможно без анализа логов Лекция 3. Версия 1.

Много систем – много логов … … IDS/IPS File SRV Лекция 3. Версия 1. Proxy AD Fire. Wall AV

Что такое SIEM: Security Information and Event Management - система сбора, обработки, корреляции и хранения событий от различных систем, сервисов и устройств корпоративной инфраструктуры. SIEM – это как секс среди школьников. Все о нём слышали, но мало кто пробовал. Малкин В. А. Лекция 3. Версия 1.

Зачем нужны SIEM системы Лекция 3. Версия 1.

Основные функции • Нормализация логов и приведение их к одному виду • Корреляция – сопоставление событий от различных систем • Оповещение о инцидентах • Отчёты о состоянии инфраструктуры • Визуализация поступающих событий • Соответствие требованиям регуляторов • Долгосрочное хранение журналов событий • Помощь в расследовании инцидентов Лекция 3. Версия 1.

Плюсы и минусы • Единое место хранения • Стоимость • Простой и быстрый поиск • Обучение специалистов • Оповещения об инцидентах • SIEM не защищает инфраструктуру • Визуализация логов • Внедрение • Единая консоль управления • Прочие минусы конкретных систем • Отчёты • Инвентаризация ресурсов • Удобство использования Лекция 3. Версия 1.

DLP Кто владеет информацией – тот владеет миром. Лекция 3. Версия 1. Ротшильд, Маер

Что такое DLP: Data Leak Prevention – класс систем, технология предотвращения у течек конфиденциальной информации вовне. Строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании конфиде нциальной информации срабатывает активная компонента системы, и передача сообщения блокируется. Лекция 3. Версия 1.

Зачем нужны DLP системы Поиск не благонадёжных сотрудников Соблюдение режима конфиденциальности Защита от утечек критичной информации Помощь в расследовании инцидентов Соответствие требованиям регуляторов Лекция 3. Версия 1.

Классы систем (ИМХО) Архивы – вижу всё, пишу всё, сам потом ищи Лекция 3. Версия 1. Сенсоры – вижу всё, ищу сама, главное настрой.

Основной функционал • Анализ Web-трафика HTTP/HTTPS • Блокирование подозрительных транзакций • Анализ почтового трафика • Контроль съёмных носителей • Контроль печати • Контроль IM • Контроль приложений copy/past/file access Лекция 3. Версия 1. • Принудительное шифрование • Прочее в зависимости от системы

Плюсы и минусы • • Стоимость • Соответствие требованию регуляторов • Обучение специалистов • Контроль рабочего времени • Обучение сотрудников • Контроль благонадёжности сотрудников • Внедрение • Прочие минусы конкретных систем • Лекция 3. Версия 1. Защита от утечек КИ Контроль использования корпоративных ресурсов

Внедрение - использование Лекция 3. Версия 1.

Выводы SIEM – не защищает от угроз, но помогает их своевременно обнаруживать. SIEM – удобный инструмент для анализа и хранения лог файлов с различных систем DLP – защищает от утечки конфиденциальной или критичной для компании информации (внутренних угроз) DLP – не защищает от атак и внешних угроз DLP – помогает выявлять потенциальных нарушителей Лекция 3. Версия 1.

Q&A Лекция 3. Версия 1.

Список литературы 1. 2. 3. Лекция 3. Версия 1. http: //habrahabr. ru/post/172389/ http: //habrahabr. ru/post/141000/ http: //habrahabr. ru/post/213209/