Рады сообщить, что мы завершили разработку четвертой версии системы управления событиями информационной безопасности «КОМРАД» и начинаем бета-тестирование продукта.
Если думаете о SIEM, приходите к нам на конференцию
1 мин
Всем привет!
Мы решили бить рекорды – больше знаний в массы. Делаем еще одно Road Show – помимо традиционного решили провести две отдельные конференции о применении SIEM. Тема важная, тема нужная. А уж тем, кто должен выполнять ФЗ-187 – тем более.
Мы с анонсом: 4 конференции про SIEM в регионах
1 мин
Привет, Хабр!
Мы с коротким анонсом. 22 и 24 марта в 4 городах состоится конференция, посвящённая практическому использованию нашей SIEM-системы.
*Здесь мог бы быть абзац со словами про вызовы времени; необходимость продолжать работу; остающуюся актуальность задач по защите перед подразделениями ИТ и ИБ; импортозамещению, в конце концов. Но вы ведь сами всё понимаете™. Поэтому приходите, мы будем ждать. А пока даты и программа.
Чем может помочь SIEM и кому она вообще сейчас нужна
2 мин
7 апреля организуем стрим с участием наших и независимых экспертов. Хотим подискутировать о быстром импортозамещении, правильном внедрении и разумной трате бюджета на SIEM-системы.
«Лаборатория Касперского» получила более 100 патентов в 2022 году
1 мин
В течение 2022 года «Лаборатория Касперского» получила 111 патентов и подала 54 новые заявки. Среди недавно опубликованных патентов 47 были выданы Ведомством по патентам и товарным знакам США, 31 — российской Федеральной службой по интеллектуальной собственности, 23 — Государственным ведомством по интеллектуальной собственности Китая, восемь — Европейским патентным ведомством и два — Японским патентным ведомством.
Positive Technologies и ГК «Астра» заявили о совместимости пяти продуктов ИБ-компании с ОС Astra Linux
2 мин
Под самый конец 2022 года, а именно 30 декабря компании Positive Technologies и ГК «Астра» заявили об укреплении технологического сотрудничества. У Positive Technologies пять продуктов стали совместимы с Astra Linux. Специалисты ИБ-компании успешно протестировали работу продуктов на ОС и заявили об их полной совместимости.
Positive Technologies и АО «ЧЭАЗ» отчитались об успешных испытаниях на совместимость MaxPatrol SIEM и ПТК «КВАНТ-ЧЭАЗ»
2 мин
Компания Positive Technologies и Чебоксарский электроаппаратный завод (АО «ЧЭАЗ») заявили об успешных испытаниях на совместимость своей системы мониторинга событий информационной безопасности MaxPatrol SIEM и программно-технического комплекса «КВАНТ-ЧЭАЗ» (ПТК «КВАНТ-ЧЭАЗ»).
SIEM-системы: а есть ли перспективы у OpenSource?
4 мин
Хочу поприветствовать всех, кто читает эту заметку.
Изначально, хотел откомментировать статью «Cистема управления безопасностью OSSIM» в «песочнице» ( habrahabr.ru/post/157183 ), но комментарий получался очень большим. Основной вопрос — к какому типу SIEM относится OSSIM?
Сейчас много людей интересуется SIEM, но представление о них складывается, в основном, по красивым маркетинговым листовкам. В большинстве случаев, эти листовки отвечают достаточно скупо на вопрос «Зачем нужна SIEM?», уделяя большее внимание рекламированию конкретного «современного» SIEM-продукта.
Изначально, хотел откомментировать статью «Cистема управления безопасностью OSSIM» в «песочнице» ( habrahabr.ru/post/157183 ), но комментарий получался очень большим. Основной вопрос — к какому типу SIEM относится OSSIM?
Сейчас много людей интересуется SIEM, но представление о них складывается, в основном, по красивым маркетинговым листовкам. В большинстве случаев, эти листовки отвечают достаточно скупо на вопрос «Зачем нужна SIEM?», уделяя большее внимание рекламированию конкретного «современного» SIEM-продукта.
Соответствие стандартам и политикам в сканерах уязвимостей и SIEM
8 мин
Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).
SIEM: ответы на часто задаваемые вопросы
10 мин
Вместо предисловия
Я приветствую всех, кто читает этот пост!
В последнее время мне стали часто задавать вопросы, связанные с SIEM. Окончательно добило общение с товарищем, с которым мы собрались вечером попить пивка и как-то незаметно перешли на тему, связанную с безопасностью. Он сказал, что они собираются внедрять SIEM — потому что «она помогает защитить инфраструктуру». И даже нашли людей, которые им соглашаются сделать это «за недорого и быстро». Вот тут-то я и насторожился… Как выяснилось, они думали, что внедрение SIEM разом избавит их от неприятностей вроде утечки данных, и к тому же будет недорогим и быстрым — мол, нашли систему, которая не требует настройки. Ну и дела, подумал Штирлиц, и решил накропать свои соображения по этому поводу, дабы отправлять вопрошающих к печатному источнику. Постараюсь быть кратким и охватить наиболее часто задаваемые вопросы.
SIEM для ИТ и ИБ
10 мин
С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.
SIEM на практике: дружим Prelude + Cisco IPS и выявляем эксплуатацию HeartBleed через корреляцию
29 мин
Доброго времени суток всем!
Сама по себе тема SIEM является в последнее время популярной. В виду комплексной сложности этих систем, вопросы, связанные с их использованием, глубокие и объемные. Существует довольно много статей (на Хабре и не только), посвященных SIEM. Однако в подавляющем большинстве они затрагивают тему с точки зрения теории, методологии и общих принципов построения процессов. А вот статей, описывающих практические аспекты применения/настройки этих систем,совсем нет катастрофически мало. Эта статья описывает как на практике подружить IPS и SIEM на примере Cisco IPS и Prelude, а также приведен пример правила корреляции, позволяющего выявить успешную эксплуатацию наболевшей в последние дни уязвимости HeartBleed.
Сама по себе тема SIEM является в последнее время популярной. В виду комплексной сложности этих систем, вопросы, связанные с их использованием, глубокие и объемные. Существует довольно много статей (на Хабре и не только), посвященных SIEM. Однако в подавляющем большинстве они затрагивают тему с точки зрения теории, методологии и общих принципов построения процессов. А вот статей, описывающих практические аспекты применения/настройки этих систем,
JSOC: как измерить доступность Security Operation Center?
8 мин
Добрый день. Мы продолжаем серию статей «из-за кулис» Jet Security Operation Center. Когда речь идет об «облачном» сервисе, всегда встает вопрос о количестве «9 после запятой» в показателях его доступности. Мне бы хотелось рассказать о том, из чего складывается доступность SOC с точки зрения «железа» и ПО и какими средствами мы контролируем эту доступность. Статья будет гораздо более технической, поэтому попрошу читателей запастись терпением.
Итоговая цель нашего сервиса (JSOC) − выявление и оперативный анализ возникающих у заказчиков инцидентов ИБ. Это создает три основных требования к его доступности:
Эти требования порождают три разных уровня мониторинга доступности сервиса JSOC.
Итоговая цель нашего сервиса (JSOC) − выявление и оперативный анализ возникающих у заказчиков инцидентов ИБ. Это создает три основных требования к его доступности:
- Платформа сбора и обработки информации должна быть доступна и работоспособна. Если информации о событиях и инцидентах некуда поступать, ни о каком выявлении инцидентов речи идти не может.
- Информация с источников событий ИБ должна быть максимально полной: мы должны получать все требуемые события аудита, на основании которых построены наши сценарии по выявлению инцидентов.
- В момент, когда система зафиксировала инцидент, мы должны иметь возможность максимально оперативно собрать и проанализировать всю информацию, необходимую для его расследования.
Эти требования порождают три разных уровня мониторинга доступности сервиса JSOC.
JSOC: как готовить инциденты
7 мин
Коллеги, добрый день.
Мы чуть затянули с выпуском нашей очередной статьи. Но тем не менее она готова и я хочу представить статью нашего нового аналитика и автора — Алексея Павлова — avpavlov.
В этой статье мы рассмотрим наиболее важный аспект «жизнедеятельности» любого Security Operation Center – выявление и оперативный анализ возникающих угроз информационной безопасности. Мы расскажем, каким образом происходит настройка правил, а также выявление и регистрация инцидентов в нашем аутсорсинговом центре мониторинга и реагирования JSOC.
Мы чуть затянули с выпуском нашей очередной статьи. Но тем не менее она готова и я хочу представить статью нашего нового аналитика и автора — Алексея Павлова — avpavlov.
В этой статье мы рассмотрим наиболее важный аспект «жизнедеятельности» любого Security Operation Center – выявление и оперативный анализ возникающих угроз информационной безопасности. Мы расскажем, каким образом происходит настройка правил, а также выявление и регистрация инцидентов в нашем аутсорсинговом центре мониторинга и реагирования JSOC.
OSSIM — разворачиваем комплексную open source систему управления безопасностью
12 мин
OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:
- Сбор, анализ и корреляция событий — SIEM
- Хостовая система обнаружения вторжений (HIDS) — OSSEC
- Сетевая система обнаружения вторжений (NIDS) — Suricata
- Беспроводная система обнаружения вторжений (WIDS) — Kismet
- Мониторинг узлов сети- Nagios
- Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
- Сканер уязвимостей – OpenVAS
- Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
- Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб
Успешное внедрение SIEM. Часть 1
5 мин
Всем привет.
Так получилось, что последние несколько лет провел в процессе внедрения SIEM Arcsight ESM в одном крупном телекоммуникационном провайдере. Считаю, что сделал это весьма успешно и в итоге ушел на несколько другую стезю, т.к. уперся в некоторый потолок, который есть в России в целом по направлению безопасности. Для того, чтобы не сложилось ложного понимания у читателя уточню, что я работал именно внутри компании, а не на проекте от системного интегратора и SIEM использовалась исключительно для внутренних нужд, а не для создания коммерческого Security Operation Center (далее SOC). В целом тематика внедрения и использования SIEM освещена слабо, да и в целом те инсталляции, которые я видел обычно не приносили достаточной эффективности тем кто ее внедрял. Мне с коллегами на мой взгляд удалось реализовать свой собственный SOC ядром, которого является SIEM, приносящий огромную пользу не только отделу ИБ, но и другим отделам в частности и всей компании в целом, включая руководство.
Так получилось, что последние несколько лет провел в процессе внедрения SIEM Arcsight ESM в одном крупном телекоммуникационном провайдере. Считаю, что сделал это весьма успешно и в итоге ушел на несколько другую стезю, т.к. уперся в некоторый потолок, который есть в России в целом по направлению безопасности. Для того, чтобы не сложилось ложного понимания у читателя уточню, что я работал именно внутри компании, а не на проекте от системного интегратора и SIEM использовалась исключительно для внутренних нужд, а не для создания коммерческого Security Operation Center (далее SOC). В целом тематика внедрения и использования SIEM освещена слабо, да и в целом те инсталляции, которые я видел обычно не приносили достаточной эффективности тем кто ее внедрял. Мне с коллегами на мой взгляд удалось реализовать свой собственный SOC ядром, которого является SIEM, приносящий огромную пользу не только отделу ИБ, но и другим отделам в частности и всей компании в целом, включая руководство.
OSSIM — пользуемся комплексной Open Source системой управления безопасностью
16 мин
Эта статья написана под впечатлением от статьи "OSSIM — разворачиваем комплексную open source систему управления безопасностью". Я не буду повторяться и описывать сам процесс установки системы. Я хочу только внести некоторые уточнения и пояснения связанные с практическим опытом применения OSSIM.
Solar JSOC – опыт построения коммерческого SOC
10 мин
Эта статья открывает цикл публикаций, посвященных функционированию центра по мониторингу и реагированию на инциденты информационной безопасности – Security Operations Center (SOC). В них мы будем рассказывать о том, что надо учитывать при создании SOC, о процессе подготовки инженеров мониторинга, регистрации инцидентов и практических кейсах, с которыми сталкивается Solar JSOC.
Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.
Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.
В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:
Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:
Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.
Зачем нужен SOC
Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.
В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:
- Потери экономики РФ от киберпреступности за 2015 год оцениваются в 123,5 млрд рублей.
- 60% российских компаний отметили рост числа киберинцидентов на 75%, а размера ущерба — в два раза.
Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:
- Двукратный рост количества инцидентов информационной безопасности в первом квартале 2016 года по отношению к аналогичному периоду 2015 года.
- Значительный рост инцидентов, связанных с утечками конфиденциальной информации.
- Увеличение критичных инцидентов с 26% до 32% по отношению к общему скоупу.
- Рост числа различных кибергруппировок, работающих по известным схемам мошенничества.
Доступность JSOC: показатели и измерение
11 мин
Мы продолжаем серию материалов, посвященных Security Operations Center, и представляем вашему вниманию второй выпуск.
Сегодняшняя статья посвящена «магическим девяткам» доступности и готовности сервисов. Мы расскажем, из чего складываются сервисные показатели облачного SOC с точки зрения «железа» и ПО, какими средствами они контролируются в Solar JSOC.
Сегодняшняя статья посвящена «магическим девяткам» доступности и готовности сервисов. Мы расскажем, из чего складываются сервисные показатели облачного SOC с точки зрения «железа» и ПО, какими средствами они контролируются в Solar JSOC.