SlideShare une entreprise Scribd logo

Анализ безопасности и много другое

Cisco Russia
Cisco Russia

Составление эффективного плана реагирования на инциденты

Technologie
1  sur  8
Télécharger pour lire hors ligne
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco Анализ безопасности и много другое Составление эффективного плана реагирования на инциденты © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены.
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 2 Обзор содержания документа В этом официальном документе содержится информация для сотрудников ИТ- и ИБ-отделов, необходимая им для составления эффективного плана реагирования на инциденты: • Понимание причин, по которым текущие планы реагирования на инциденты не помогают решить проблемы • Формирование эффективной команды для реагирования на инциденты • Разработка успешных процедур реагирования • Выбор соответствующих технологий безопасности • Значительное улучшение процесса реагирования на инциденты и расследования этих инцидентов с помощью протокола NetFlow и анализа системы безопасности Атак становится все больше Сегодня любая организация, будь то крупная сеть розничной торговли, организация здравоохранения или государственное предприятие, в равной степени подвергаются опасности сложных, целенаправленных кибератак. Чтобы ни интересовало злоумышленников — финансовые данные, коммерческие тайны или секретные материалы — постоянно эволюционирующий ландшафт угроз и стремительно растущие сетевые среды предоставляют им все больше способов для проникновения. Уже понятно, что злоумышленники всегда смогут проникнуть в вашу сеть, вопрос только, когда они это сделают. Они воспользуются атаками нулевого дня, украденными учетными данными для доступа, заражен- ными мобильными устройствами, уязвимостью у бизнес- партнера или найдут другие способы. Рисунок 1. Расходы на реагирование на инциденты Успех обеспечения безопасности не только в том, чтобы отвести угрозы от вашей сети. Важна способность быстро реагировать на атаки и подавлять их, когда они происходят. Согласно оценкам агентства Gartner, «Организации не могут быстро обнаруживать проникновения в сеть, более 92 % проникновений остаются незамеченными пострадавшей организацией». 1 Очевидно, что мы должны играть более активную роль в защите наших организаций. Нам необходимо постоянно контроли- ровать, что происходит внутри нашей инфраструктуры, и использовать проверенные, цикличные средства реагирования до того, как атаки смогут нанести серьезный ущерб нашим сетям и нашей репутации. Недостатки процесса реагирования на инциденты В опросе, проведенном организацией Ponemon Institute, большинство респондентов согласилось с тем, что лучшим, что может сделать их компания для устранения проникновений в будущем, это усовершенствовать текущую систему реагирования на инциденты. В то же время половина респондентов отметили, что расходы на реагирование на инциденты составляют менее 10 % от их общего бюджета на информационную безопасность (см. рис. 1). 2 Согласно другому опросу, 90 % крупных коммерческих компаний сказали, что в течение года они сталкивались с серьезными ИТ-инцидентами, но только у половины из них были готовы команды, которые могли вовремя и эффективно реагировать на эти инциденты. 3 Судя по растущему объему атак на самые известные мировые компании и организации, нам предстоит решить еще много задач, связанных с реагированием на инциденты. Сегодня хакеры могут оставаться необнаруженными в сети неприемлемо долго: в среднем от 100 до 200 дней. 4 1 Gartner, «Магический квадрант SIEM (Информационная безопасность и управление событиями)», май 2013 г. 2 Ponemon Institute, «Реагирование на инциденты кибербезопасности — так ли мы готовы, как мы думаем?», январь, 2014 г. 3 Dimensional Research, «Основные тенденции в области управления инцидентами в 2016 году», декабрь 2015 г. 4 Полугодовой отчет Cisco по безопасности, 2015 г.
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 3 «Организации не могут быстро обнаруживать проникновения в сеть, более 92 % проникно- вений остаются незамеченными пострадавшей организацией». — Gartner Поддержка планов реагирования на инциденты Обнаружить инциденты, связанные с безопасностью, и реагировать на них должны все — люди, процессы и технологии. Каждый компонент этого процесса — и люди, и процессы, и технологии — одинаково важен для формирования и выполнения эффективного плана реагирования на инциденты. Люди Кто должен участвовать в реализации плана организации по реагированию на инциденты? Каждый. Команда CSIRT Первое и самое главное — организации должны иметь полностью функциональную команду реагирования на инциденты с компьютерной безопасностью (Computer Security Incident Response Team, CSIRT), состоящую из прошедших специальное обучение профессионалов в области информационной безопасности. Каждая организация, даже самая маленькая, должна иметь по крайней мере одного выделенного человека, который бы отвечал за реагирование на инциденты, связанные с безопас- ностью. К сожалению, если сотрудник обладает опытом в сфере информационной безопасности, это необязательно означает то, что он является экспертом по реагированию на инциденты. Специалисты по реагированию на инциденты должны обладать определенными знаниями и опытом, уметь работать со сценариями реагирования на атаки в самых непростых ситуациях, требующих большого напряжения. Важно также привлекать к работе специалистов, которые не отвечают параллельно за множество других вопросов в сфере ИТ и ИБ. Специалисты команды реагирования на инциденты должны иметь глубокое понимание сети и ее ресурсов. В большинстве случаев сегодня злоумышленники проводят тщательную предварительную разведку и знают о целевой сети больше, чем ИТ- или ИБ-отдел жертвы. С помощью соответствующих технологий специалисты по реагированию на инциденты могут идентифицировать ресурсы в своей сети, определять, какие из них наиболее важны с точки зрения защиты, и устанавливать эталоны нормального поведения сети, чтобы быстрее определять аномалии, которые могут свидетельствовать об атаке. Задачи, которые решает не только ИТ-отдел Процесс реагирования на инциденты должен быть всеобъемлющим, участия только одной технической группы недостаточно. Помимо ИТ-отдела, вносить свой вклад в реализацию плана организации по реагиро- ванию на инциденты должны также представители высшего руководства, сотрудники юридического отдела, отдела по работе с персоналом, по связям с обществен- ностью и других отделов. Организациям необходимо четко понимать, что должны делать эти группы в случае нарушения безопасности. Они должны распределить роли и обязанности до того, как инцидент произошел, и включить представителей этих отделов в работу как можно раньше. Важно также всегда держать высшее руководство в курсе процедур по реагированию на инциденты, об успехах и трудностях в этой области, чтобы эта проблема не оставалась в стороне и на нее выделялось достаточно средств для эффективной работы. И, наконец, в идеальной ситуации каждый сотрудник в отдельности и все вместе — и даже третьи стороны, с которыми работает организация, — должны помогать команде по реагированию на инциденты. Обучайте сотрудников, чтобы они знали, на что обращать внимание в случае попытки психологической атаки. Внимательно следите, проводите специальные проверки и изучайте процедуры по обеспечению безопасности любой третьей стороны, которая имеет доступ в вашу сеть или даже просто к конфиденциальной информации о вашей компании. И не забывайте также о внутренних угрозах. Руководители должны обращать внимание на подозрительное поведение сотрудников и сообщать об этом в отдел по работе с персоналом, а отдел по работе с персоналом, в свою очередь, должен обра- щаться со всеми возможными сомнениями в ИТ-отдел. «Stealthwatch позволяет командам по реагированию на инциденты и обеспечению безопасности устранять инциденты быстрее, чем раньше, уменьшать время простоя сети и общие затраты на управление сетями и сетевыми сервисами». — компания Telenor Norway
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 4 Процессы Реагирование на инциденты нельзя оставлять на потом. Корпоративным организациям необходимо утвердить четкий план действий, в котором должны быть определены роли для всех руководителей и групп по всей компании. Для того чтобы быть по-настоящему эффективным, план реагирования на инциденты должен включать следующие компоненты. 1. ЧЕТКОЕ ОПРЕДЕЛЕНИЕ РОЛЕЙ, ОБЯЗАН- НОСТЕЙ И ПРОЦЕДУР УТВЕРЖДЕНИЯ для всех игроков, а также определение правил того, когда можно и нельзя предпринимать те или иные действия. Например, разрешено ли группе реагирования на инциденты без дополнительного разрешения отключать компьютеры от сети для сдерживания атаки? Можно ли включать самоочистку компьютеров или блокировать доступ к опреде- ленным сервисам? Разрешены ли эти действия в случае необходимости? Кроме того, какие юридические, правовые и контрактные обязательства берет на себя компания в случае нарушения безопасности? Очень важно, чтобы ответы на такого рода вопросы были задокументированы в письмен- ном виде до того, как произойдет инцидент. В идеале ваш план реагирования на инциденты должен обеспечивать правильный баланс между внедрением политик для обеспечения принятия верных решений в критических ситуациях и отсутствием слишком большого числа уровней утверждения, что может препятствовать эффективной работе опытных профессионалов. 2. РЕГУЛЯРНОЕ ОБУЧЕНИЕ И ПРАКТИЧЕСКИЕ ТРЕНИРОВКИ. Между инцидентами в вашей компании может проходить значительное время. В это время очень важно продолжать обучать соответ- ствующих сотрудников и на практике проверять их готовность к реагированию в случае инцидента. Кроме того, когда происходят инциденты, не забывайте использовать эти тренировки как возможность для оценки эффективности действия вашей группы. Использование таких показателей, как среднее время выявления инцидента (MTTI), среднее время определения основной причины (MTTK) и среднее время устранения проблемы безопасности (MTTF) позволяет совершенствовать процессы реагирования на инциденты, а также продемонстрировать уровень окупаемость инвестиций высшему руководству. 3. РЕГУЛЯРНОЕ ОБСУЖДЕНИЕ ДЕЙСТВИЙ ПО ПЛАНИРОВАНИЮ ПРОЦЕССА РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ И ДОСТИГНУТЫХ УСПЕХОВ С ВЫСШИМ РУКОВОДСТВОМ для того, чтобы высшее руководство уделяло достаточно внимания этому процессу, понимало его критически важную роль в обеспечении непрерывности бизнеса и выделяло соответствующие средства. 4. ЯСНОЕ ПОНИМАНИЕ ИНФРАСТРУКТУРЫ ОРГАНИЗАЦИИ И ЕЕ ОСНОВНЫХ ЦЕННОСТЕЙ. Мониторинг стандартной активности внутри сети и надежный анализ угроз из внешнего мира — одинаково важны для реагирования на инциденты. 5. ЗАМКНУТЫЙ КОНТУР ОБРАТНОЙ СВЯЗИ ДЛЯ ГАРАНТИИ ТОГО, ЧТО ИНЦИДЕНТЫ НЕ ПРОСТО УСТРАНЕНЫ, но в отношении них проведено расследование. Основные сведения о злоумышленниках и их способах атаки должны быть тщательно исследованы, чтобы можно было предотвратить похожие атаки. Специалист по военной стратегии Джон Бойд (John Boyd) разработал петлю OODA (Наблюдение-Ориентация- Решение-Действие) в качестве основы для принятия решений в ходе военных операций (см. рис. 2). Сегодня эта методика применяется во многих других сферах и может служить отличным примером непрерывного процесса, необходимого для эффективного реагирования на инциденты. Рисунок 2. Петля OODA Технологии Как люди и процессы, так и внедрение соответствующих технологий до того, как произошел инцидент, также очень важно. Анализ внешних угроз очень важен для сдерживания известных атак, но без инструментов, которые помогают группам реагирования на инциденты получить ценную информацию об активности в собственной сети, усилия по реагированию будут бесполезны. Вы не можете защищать то, что нельзя увидеть.
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 5 Реагирование на инциденты — это не просто удаление вредоносного ПО и возвращение обратно в строй инфицированных компьютеров. Необходимо проводить дальнейшие расследования, чтобы определить всю степень атаки, понять, были ли заражены другие машины, и какие типы тактики были использованы злоумышленниками. Таким образом вы гарантируете, что атака была полностью «выкорчевана» из вашей среды и такая же точно атака больше никогда не пройдет. «Stealthwatch сокращает время решения проблем с дней до считанных секунд. Благодаря Stealthwatch мы заранее знаем все о потенциальных атаках и угрозах». — компания Edge Web Hosting Журналы аудита сети Для того чтобы понимать, что происходит в современных крупных и сложных сетях, лучше всего собирать и анализировать данные сети в журналах аудита. Практически 80 % респондентов в опросе, проведенном агентством Ponemon, сказали, что наиболее эффективным подходом для обнаружения инцидентов и угроз безопасности стал анализ журналов аудита из таких источников, как NetFlow и захват пакетов. 5 Используя журналы сетевой активности, организации могут легко предотвращать и прекращать попытки атак. Протокол NetFlow зарекомендовал себя как особенно эффективная технология в этом случае, так как данные можно собирать по всей сети, не устанавливая для этого специальных аппаратных устройств. Данные же можно сохранять в течение длительных периодов времени без существенных денежных затрат. Эффективность протокола NetFlow Протокол NetFlow, впервые созданный компанией Cisco и теперь используемый в широком ряде устройств сетевой инфраструктуры (наряду с другими типами сетевых инструментов телеметрии) позволяет получить ценные метаданные с существующих маршрутизаторов, коммутаторов и межсетевых экранов для улучшения мониторинга и ситуационной осведомленности. Этот протокол предоставляет запись каждого подключения, устанавливаемого в сети, включая адреса «на» и «с», номера портов, объем переданных данных, а также другую информацию. NetFlow позволяет получить массу ценной и подробной информации о ваших сетевых ресурсах и сетевом поведении: кто с кем коммуницирует, какие приложения используются и т. д. У большинства организаций уже есть доступ к техно- логии NetFlow в рамках их среды. Им просто нужно начать собирать и анализировать данные этого протокола, чтобы выйти на новые уровни аналитических возможностей своих сетей. Но не все технологии мониторинга NetFlow работают одинаково. Сегодня, когда сети постоянно развиваются, они выпускаются огромные массивы «больших данных». Получение доступа к данным — это прекрасный первый шаг, но, к сожалению, это ничего не значит, если группы реагирования на инциденты не могут извлечь из этого ценной информации и не могут использовать это для повышения своей осведомленности и лучшего принятия решений. И именно в этом им лучше всего помогут усовершенствованные решения мониторинга на основе потока, такие как Cisco® Stealthwatch. Cisco Stealthwatch Cisco Stealthwatch — это глаза и уши сети. Система быстро собирает и анализирует большие объемы данных NetFlow и предоставляет группам реагирования на инциденты и обеспечения безопасности практи- ческую информацию для дальнейших действий, а также обеспечивает полный мониторинг происходящего в сети. Система позволяет получить глубокое понимание сети и сетевой активности на основе рассмотренных ранее эталонов, что абсолютно необходимо для создания эффективных процессов реагирования на инциденты. Кроме того, при совместном использовании с другими технологиями безопасности Cisco система Stealthwatch помогает организациям эффективно использовать существующую инфраструктуру для превращения их сетей в непрерывно работающий сенсор безопасности, обеспечивающий эффективное обнаружение угроз. Выполняя сложный поведенческий анализ, система Stealthwatch может автоматически выявлять подозрительное поведение, которое может привести к самым разным атакам, от вредоносного ПО нулевого дня и распределенных атак типа отказ в обслуживании (DDoS) до непрерывных кибератак повышенной сложности (APT) и внутренних угроз. Stealthwatch значительно уменьшает необходимость в выполнении ручных задач анализа, связанных с расследованием инцидентов. Очень часто время устранения неисправностей и решения проблем уменьшается с дней и даже месяцев до считанных минут. Интуитивные информационные панели и отчеты помогают специалистам групп реагирования на инциденты и обеспечения безопасности получать необходимую им информацию — будь то общая картина сетевой активности, список потенциальных проблем или данные конкретного хоста — всего несколькими щелчками мыши (рис. 3). Эту информацию можно также легко донести до сведения других заинтересованных лиц, например высшего руководства. 5 Ponemon Institute, «Реагирование на инциденты кибербезопасности — так ли мы готовы, как мы думаем?» Январь, 2014 г.
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 6 Рисунок 3. Информационная панель Stealthwatch Cisco Stealthwatch обеспечивает расширенные возможности мониторинга сети и анализа безопасности для ускорения реагирования на инциденты. Например, кто-то внутри организации постоянно пытается получить доступ к закрытым областям вашей сети. А возможно из вашей сети отправляются нехарактерно большие объемы данных или внутренний хост связывается с подозрительным IP-адресом в другой стране. Эффективный инструмент сетевого мониторинга и анализа безопасности может определять такое поведение и предупреждать о нем администраторов, чтобы они провели соответствующее расследование. «80 % респондентов сказали, что наиболее эффективным подходом для обнаружения инцидентов и угроз безопасности стал анализ журналов аудита из таких источников, как NetFlow и захват пакетов». — Ponemon Institute Отличительные особенности системы Stealthwatch В отличие от большинства других технологий, которые могут контролировать только трафик, входящий в сеть и исходящий из нее, Stealthwatch может также контролировать и горизонтальный (восток-запад) трафик для определения атак, распространяющихся внутри сети, и выявления внутренних угроз. Благодаря постоянному мониторингу сети на предмет аномального поведения и использованию новейших методик анализа безопасности, предупреждения и отчетности для уведомления администратора о потенциальных проблемах системаStealthwatch позволяет реагировать на инциденты быстрее и эффективнее. Обработка NetFlow обычно намного менее ресурсо- затратна, чем альтернативные варианты, например полный захват пакетов. Но постоянное ведение журналов данных всего предприятия тем не менее создает огромные объемы записей, превышающие миллион потоков в секунду. Эффективное решение должно иметь возможность масштабироваться соответствующим образом для уменьшения объемов хранения и потреб- ления энергии. Благодаря масштабированию, дедупликации и совмещению вместе записей однонаправленных потоков обеспечивается экономически эффективный мониторинг потока и возможности хранения даже для самых крупных и наиболее сложных корпоративных сетей.
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 7 Кроме того, для улучшения обнаружения атак в реальном времени система Stealthwatch также помогает быстрее и тщательнее проводить после- дующие исследования и расследования. Система может хранить данные потока месяцы или даже годы и использовать свою расширенную функциональность постановки в очередь для быстрого извлечения актуальной информации о предыдущих атаках. Такой исторический взгляд назад очень важен для точной подстройки процедур реагирования на инциденты и оптимизации механизмов защиты от угроз. Возможность эффективного сбора, анализа и интерпретации больших объемов сетевых данных и данных безопасности становится еще более важной по мере роста и развития сетей и использования облачных, программно-определяемых (SDN) архитектур и архитектуры Интернета вещей (IoT). «До Stealthwatch нам приходилось анализировать и коррелировать данные нашей сетевой активности вручную. Stealthwatch автоматически предоставляет нам подробный анализ сетевых данных с помощью единого, удобного в использовании интерфейса, облегчая наши сетевые операции и процессы обеспечения безопасности и соответствия нормативным требованиям». — BlueCross BlueShield, Теннесси Расширенный контекст безопасности и возможности интеграции Согласно результатам исследования, 69 % организаций говорят о том, что их инструменты безопасности не предоставляют им достаточно контекста, чтобы они могли понимать свои риски. 6 Благодаря используемым технологиям и отраслевым стандартам, включая тесную интеграцию с другими технологиями Cisco, система Stealthwatch предоставляет дополнительные уровни контекста безопасности для дальнейшего ускорения и улучшения реагирования на инциденты и их последующего расследования. Примеры этих добавляющих ценность уровней анализа: • Осведомленность о пользователях и устройствах • Мониторинг облака • Приоритизация приложений • Исходные данные об угрозе • Интегрированная функция защиты оконечных устройств • Мониторинг прокси-сервера • Захват пакетов Благодаря доступу ко всей этой информации с единой консоли процесс исследования угроз и последующего восстановления работоспособности значительно оптимизируется. Согласно исследованию Enterprise Strategy Group, 80 % организаций считают, что их текущие процессы обнаружения инцидентов и реагирования на них тормозятся из-за недостаточной интеграции технологий безопасности. 7 К сожалению, разрозненность приложений замедляет подавление угроз и оставляет место для брешей, которые злоумышленники могут легко использовать в своих целях. Расширение уровней контекста и глубокая интеграция обеспечивают более автоматизированный, свободный и эффективный ответ на целый спектр угроз, с которыми сталкивается современная организация. Заключение К сожалению, ни одна технология сегодня не сможет полностью предотвратить попадание хакеров в корпоративную сеть. Однако если организация постоянно контролирует собственную среду, задействуя для этого необходимый набор процессов, людей и технологий, то группа по обеспечению безопасности будет лучше оснащена и сможет быстрее противостоять атаке и блокировать ее, если она все же случилась, не допуская разрушительных последствий и затрат, связанных с утечкой данных. 6 Ponemon Institute, «Атаки на привилегированных пользователей и внутренние угрозы», май, 2014 г. 7 Enterprise Strategy Group, «Решение проблем обнаружения атак и реагирования на инциденты», апрель, 2015 г.
Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco Дополнительная информация В сочетании с широкой линейкой продуктов Cisco по безопасности Stealthwatch может предоставить комплексную защиту и оптимизировать реагирование на инциденты на всем протяжении — от периметра до доступа: по всей сети, ЦОД, оконечным устройствам, мобильным устройствам и в облаке. Нажмите здесь и узнайте, как собственная группа CSIRT компании Cisco использует Stealthwatch для обнару- жения и анализа вредоносного трафика и оптимизации реагирования на инциденты и их последующего расследования. Подробнее. Запросить демонстрацию. stealthwatch@cisco.com «80 % организаций считают, что их текущие процессы обнаружения инцидентов и реагирования на них тормозятся из-за недостаточной интеграции технологий безопасности». — Enterprise Strategy Group © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками компании Cisco и/или ее дочерних компаний в США и других странах. Чтобы просмотреть список товарных знаков Cisco, перейдите по ссылке: www.cisco.com/go/trademarks. Товарные знаки других организаций, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не подразумевает отношений партнерства между Cisco и любой другой компанией. (1110R) C11-737531-00 07/16

Recommandé

Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееКорпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Cisco Russia
 
Совокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecСовокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSec
Cisco Russia
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
Cisco Russia
 

Recommandé

Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееКорпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Cisco Russia
 
Совокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecСовокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSec
Cisco Russia
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
Cisco Russia
 
Побеждать или сойти с дистанции
Побеждать или сойти с дистанцииПобеждать или сойти с дистанции
Побеждать или сойти с дистанции
Cisco Russia
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
Aleksey Lukatskiy
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
Cisco Russia
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
Годовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 годГодовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 год
Cisco Russia
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
RISSPA_SPb
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
RISSPA_SPb
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
Aleksey Lukatskiy
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
Cisco Russia
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
Cisco Russia
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
Aleksey Lukatskiy
 
CMX
CMXCMX
CMX
Cisco Russia
 
Обзор возможностей продукта Cisco TelePresence Server
Обзор возможностей продукта Cisco TelePresence ServerОбзор возможностей продукта Cisco TelePresence Server
Обзор возможностей продукта Cisco TelePresence Server
Cisco Russia
 

Contenu connexe

Tendances

Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
RISSPA_SPb
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
RISSPA_SPb
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
Aleksey Lukatskiy
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
Aleksey Lukatskiy
 

Tendances (20)

Побеждать или сойти с дистанции
Побеждать или сойти с дистанцииПобеждать или сойти с дистанции
Побеждать или сойти с дистанции
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
Годовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 годГодовой отчет Cisco по информационной безопасности за 2016 год
Годовой отчет Cisco по информационной безопасности за 2016 год
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
 

En vedette

Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасностиРешения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco Russia
 
Локальное производство в РФ. Точки доступа серии 2600.
Локальное производство в РФ. Точки доступа серии 2600.Локальное производство в РФ. Точки доступа серии 2600.
Локальное производство в РФ. Точки доступа серии 2600.
Cisco Russia
 
Новое в портфеле продуктов и функциональности беспроводных сетей Cisco.
Новое в портфеле продуктов и функциональности беспроводных сетей Cisco. Новое в портфеле продуктов и функциональности беспроводных сетей Cisco.
Новое в портфеле продуктов и функциональности беспроводных сетей Cisco.
Cisco Russia
 
Концепция BYOD в решениях Cisco
Концепция BYOD в решениях CiscoКонцепция BYOD в решениях Cisco
Концепция BYOD в решениях Cisco
Cisco Russia
 
Новое поколение коммутаторов для ЦОД Nexus 10G/40G
Новое поколение коммутаторов для ЦОД Nexus 10G/40GНовое поколение коммутаторов для ЦОД Nexus 10G/40G
Новое поколение коммутаторов для ЦОД Nexus 10G/40G
Cisco Russia
 
Руководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметраРуководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметра
Cisco Russia
 
Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi
Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi
Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi
Cisco Russia
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД.
Cisco Russia
 

En vedette (20)

CMX
CMXCMX
CMX
 
Обзор возможностей продукта Cisco TelePresence Server
Обзор возможностей продукта Cisco TelePresence ServerОбзор возможностей продукта Cisco TelePresence Server
Обзор возможностей продукта Cisco TelePresence Server
 
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
 
Cisco Meeting Server
Cisco Meeting ServerCisco Meeting Server
Cisco Meeting Server
 
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасностиРешения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
 
Локальное производство в РФ. Точки доступа серии 2600.
Локальное производство в РФ. Точки доступа серии 2600.Локальное производство в РФ. Точки доступа серии 2600.
Локальное производство в РФ. Точки доступа серии 2600.
 
Новое в портфеле продуктов и функциональности беспроводных сетей Cisco.
Новое в портфеле продуктов и функциональности беспроводных сетей Cisco. Новое в портфеле продуктов и функциональности беспроводных сетей Cisco.
Новое в портфеле продуктов и функциональности беспроводных сетей Cisco.
 
Концепция BYOD в решениях Cisco
Концепция BYOD в решениях CiscoКонцепция BYOD в решениях Cisco
Концепция BYOD в решениях Cisco
 
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.
 
Новое поколение коммутаторов для ЦОД Nexus 10G/40G
Новое поколение коммутаторов для ЦОД Nexus 10G/40GНовое поколение коммутаторов для ЦОД Nexus 10G/40G
Новое поколение коммутаторов для ЦОД Nexus 10G/40G
 
Развитие платформ Cisco на базе операционной системы IOS XR
Развитие платформ Cisco на базе операционной системы IOS XRРазвитие платформ Cisco на базе операционной системы IOS XR
Развитие платформ Cisco на базе операционной системы IOS XR
 
Миграция на современные версии CUCM. Что необходимо знать и учитывать для усп...
Миграция на современные версии CUCM. Что необходимо знать и учитывать для усп...Миграция на современные версии CUCM. Что необходимо знать и учитывать для усп...
Миграция на современные версии CUCM. Что необходимо знать и учитывать для усп...
 
Система виртуальной коммутации - VSS и ее реализация на платформах Catalyst 4...
Система виртуальной коммутации - VSS и ее реализация на платформах Catalyst 4...Система виртуальной коммутации - VSS и ее реализация на платформах Catalyst 4...
Система виртуальной коммутации - VSS и ее реализация на платформах Catalyst 4...
 
Руководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметраРуководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметра
 
Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi
Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi
Унифицированный доступ и новые стандарты высокоскоростного Wi-Fi
 
Построение сетей ЦОД: решения Cisco
Построение сетей ЦОД: решения CiscoПостроение сетей ЦОД: решения Cisco
Построение сетей ЦОД: решения Cisco
 
Адресный план предприятия. Управление и планирование.
Адресный план предприятия. Управление и планирование.Адресный план предприятия. Управление и планирование.
Адресный план предприятия. Управление и планирование.
 
Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД. Принципы построения катастрофоустойчивых ЦОД.
Принципы построения катастрофоустойчивых ЦОД.
 

Similaire à Анализ безопасности и много другое

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
RISClubSPb
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
DialogueScience
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Symantec
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
UISGCON
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
RISClubSPb
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
Datamodel
 

Similaire à Анализ безопасности и много другое (20)

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
 
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен..."CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. Исследование
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
Computer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdfComputer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdf
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
итоги АСУ ТП КВО
итоги АСУ ТП КВОитоги АСУ ТП КВО
итоги АСУ ТП КВО
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателей
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
IntellectTrans-2013
IntellectTrans-2013IntellectTrans-2013
IntellectTrans-2013
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
 

Plus de Cisco Russia

Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 

Plus de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Анализ безопасности и много другое

  • 1. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco Анализ безопасности и много другое Составление эффективного плана реагирования на инциденты © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены.
  • 2. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 2 Обзор содержания документа В этом официальном документе содержится информация для сотрудников ИТ- и ИБ-отделов, необходимая им для составления эффективного плана реагирования на инциденты: • Понимание причин, по которым текущие планы реагирования на инциденты не помогают решить проблемы • Формирование эффективной команды для реагирования на инциденты • Разработка успешных процедур реагирования • Выбор соответствующих технологий безопасности • Значительное улучшение процесса реагирования на инциденты и расследования этих инцидентов с помощью протокола NetFlow и анализа системы безопасности Атак становится все больше Сегодня любая организация, будь то крупная сеть розничной торговли, организация здравоохранения или государственное предприятие, в равной степени подвергаются опасности сложных, целенаправленных кибератак. Чтобы ни интересовало злоумышленников — финансовые данные, коммерческие тайны или секретные материалы — постоянно эволюционирующий ландшафт угроз и стремительно растущие сетевые среды предоставляют им все больше способов для проникновения. Уже понятно, что злоумышленники всегда смогут проникнуть в вашу сеть, вопрос только, когда они это сделают. Они воспользуются атаками нулевого дня, украденными учетными данными для доступа, заражен- ными мобильными устройствами, уязвимостью у бизнес- партнера или найдут другие способы. Рисунок 1. Расходы на реагирование на инциденты Успех обеспечения безопасности не только в том, чтобы отвести угрозы от вашей сети. Важна способность быстро реагировать на атаки и подавлять их, когда они происходят. Согласно оценкам агентства Gartner, «Организации не могут быстро обнаруживать проникновения в сеть, более 92 % проникновений остаются незамеченными пострадавшей организацией». 1 Очевидно, что мы должны играть более активную роль в защите наших организаций. Нам необходимо постоянно контроли- ровать, что происходит внутри нашей инфраструктуры, и использовать проверенные, цикличные средства реагирования до того, как атаки смогут нанести серьезный ущерб нашим сетям и нашей репутации. Недостатки процесса реагирования на инциденты В опросе, проведенном организацией Ponemon Institute, большинство респондентов согласилось с тем, что лучшим, что может сделать их компания для устранения проникновений в будущем, это усовершенствовать текущую систему реагирования на инциденты. В то же время половина респондентов отметили, что расходы на реагирование на инциденты составляют менее 10 % от их общего бюджета на информационную безопасность (см. рис. 1). 2 Согласно другому опросу, 90 % крупных коммерческих компаний сказали, что в течение года они сталкивались с серьезными ИТ-инцидентами, но только у половины из них были готовы команды, которые могли вовремя и эффективно реагировать на эти инциденты. 3 Судя по растущему объему атак на самые известные мировые компании и организации, нам предстоит решить еще много задач, связанных с реагированием на инциденты. Сегодня хакеры могут оставаться необнаруженными в сети неприемлемо долго: в среднем от 100 до 200 дней. 4 1 Gartner, «Магический квадрант SIEM (Информационная безопасность и управление событиями)», май 2013 г. 2 Ponemon Institute, «Реагирование на инциденты кибербезопасности — так ли мы готовы, как мы думаем?», январь, 2014 г. 3 Dimensional Research, «Основные тенденции в области управления инцидентами в 2016 году», декабрь 2015 г. 4 Полугодовой отчет Cisco по безопасности, 2015 г.
  • 3. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 3 «Организации не могут быстро обнаруживать проникновения в сеть, более 92 % проникно- вений остаются незамеченными пострадавшей организацией». — Gartner Поддержка планов реагирования на инциденты Обнаружить инциденты, связанные с безопасностью, и реагировать на них должны все — люди, процессы и технологии. Каждый компонент этого процесса — и люди, и процессы, и технологии — одинаково важен для формирования и выполнения эффективного плана реагирования на инциденты. Люди Кто должен участвовать в реализации плана организации по реагированию на инциденты? Каждый. Команда CSIRT Первое и самое главное — организации должны иметь полностью функциональную команду реагирования на инциденты с компьютерной безопасностью (Computer Security Incident Response Team, CSIRT), состоящую из прошедших специальное обучение профессионалов в области информационной безопасности. Каждая организация, даже самая маленькая, должна иметь по крайней мере одного выделенного человека, который бы отвечал за реагирование на инциденты, связанные с безопас- ностью. К сожалению, если сотрудник обладает опытом в сфере информационной безопасности, это необязательно означает то, что он является экспертом по реагированию на инциденты. Специалисты по реагированию на инциденты должны обладать определенными знаниями и опытом, уметь работать со сценариями реагирования на атаки в самых непростых ситуациях, требующих большого напряжения. Важно также привлекать к работе специалистов, которые не отвечают параллельно за множество других вопросов в сфере ИТ и ИБ. Специалисты команды реагирования на инциденты должны иметь глубокое понимание сети и ее ресурсов. В большинстве случаев сегодня злоумышленники проводят тщательную предварительную разведку и знают о целевой сети больше, чем ИТ- или ИБ-отдел жертвы. С помощью соответствующих технологий специалисты по реагированию на инциденты могут идентифицировать ресурсы в своей сети, определять, какие из них наиболее важны с точки зрения защиты, и устанавливать эталоны нормального поведения сети, чтобы быстрее определять аномалии, которые могут свидетельствовать об атаке. Задачи, которые решает не только ИТ-отдел Процесс реагирования на инциденты должен быть всеобъемлющим, участия только одной технической группы недостаточно. Помимо ИТ-отдела, вносить свой вклад в реализацию плана организации по реагиро- ванию на инциденты должны также представители высшего руководства, сотрудники юридического отдела, отдела по работе с персоналом, по связям с обществен- ностью и других отделов. Организациям необходимо четко понимать, что должны делать эти группы в случае нарушения безопасности. Они должны распределить роли и обязанности до того, как инцидент произошел, и включить представителей этих отделов в работу как можно раньше. Важно также всегда держать высшее руководство в курсе процедур по реагированию на инциденты, об успехах и трудностях в этой области, чтобы эта проблема не оставалась в стороне и на нее выделялось достаточно средств для эффективной работы. И, наконец, в идеальной ситуации каждый сотрудник в отдельности и все вместе — и даже третьи стороны, с которыми работает организация, — должны помогать команде по реагированию на инциденты. Обучайте сотрудников, чтобы они знали, на что обращать внимание в случае попытки психологической атаки. Внимательно следите, проводите специальные проверки и изучайте процедуры по обеспечению безопасности любой третьей стороны, которая имеет доступ в вашу сеть или даже просто к конфиденциальной информации о вашей компании. И не забывайте также о внутренних угрозах. Руководители должны обращать внимание на подозрительное поведение сотрудников и сообщать об этом в отдел по работе с персоналом, а отдел по работе с персоналом, в свою очередь, должен обра- щаться со всеми возможными сомнениями в ИТ-отдел. «Stealthwatch позволяет командам по реагированию на инциденты и обеспечению безопасности устранять инциденты быстрее, чем раньше, уменьшать время простоя сети и общие затраты на управление сетями и сетевыми сервисами». — компания Telenor Norway
  • 4. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 4 Процессы Реагирование на инциденты нельзя оставлять на потом. Корпоративным организациям необходимо утвердить четкий план действий, в котором должны быть определены роли для всех руководителей и групп по всей компании. Для того чтобы быть по-настоящему эффективным, план реагирования на инциденты должен включать следующие компоненты. 1. ЧЕТКОЕ ОПРЕДЕЛЕНИЕ РОЛЕЙ, ОБЯЗАН- НОСТЕЙ И ПРОЦЕДУР УТВЕРЖДЕНИЯ для всех игроков, а также определение правил того, когда можно и нельзя предпринимать те или иные действия. Например, разрешено ли группе реагирования на инциденты без дополнительного разрешения отключать компьютеры от сети для сдерживания атаки? Можно ли включать самоочистку компьютеров или блокировать доступ к опреде- ленным сервисам? Разрешены ли эти действия в случае необходимости? Кроме того, какие юридические, правовые и контрактные обязательства берет на себя компания в случае нарушения безопасности? Очень важно, чтобы ответы на такого рода вопросы были задокументированы в письмен- ном виде до того, как произойдет инцидент. В идеале ваш план реагирования на инциденты должен обеспечивать правильный баланс между внедрением политик для обеспечения принятия верных решений в критических ситуациях и отсутствием слишком большого числа уровней утверждения, что может препятствовать эффективной работе опытных профессионалов. 2. РЕГУЛЯРНОЕ ОБУЧЕНИЕ И ПРАКТИЧЕСКИЕ ТРЕНИРОВКИ. Между инцидентами в вашей компании может проходить значительное время. В это время очень важно продолжать обучать соответ- ствующих сотрудников и на практике проверять их готовность к реагированию в случае инцидента. Кроме того, когда происходят инциденты, не забывайте использовать эти тренировки как возможность для оценки эффективности действия вашей группы. Использование таких показателей, как среднее время выявления инцидента (MTTI), среднее время определения основной причины (MTTK) и среднее время устранения проблемы безопасности (MTTF) позволяет совершенствовать процессы реагирования на инциденты, а также продемонстрировать уровень окупаемость инвестиций высшему руководству. 3. РЕГУЛЯРНОЕ ОБСУЖДЕНИЕ ДЕЙСТВИЙ ПО ПЛАНИРОВАНИЮ ПРОЦЕССА РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ И ДОСТИГНУТЫХ УСПЕХОВ С ВЫСШИМ РУКОВОДСТВОМ для того, чтобы высшее руководство уделяло достаточно внимания этому процессу, понимало его критически важную роль в обеспечении непрерывности бизнеса и выделяло соответствующие средства. 4. ЯСНОЕ ПОНИМАНИЕ ИНФРАСТРУКТУРЫ ОРГАНИЗАЦИИ И ЕЕ ОСНОВНЫХ ЦЕННОСТЕЙ. Мониторинг стандартной активности внутри сети и надежный анализ угроз из внешнего мира — одинаково важны для реагирования на инциденты. 5. ЗАМКНУТЫЙ КОНТУР ОБРАТНОЙ СВЯЗИ ДЛЯ ГАРАНТИИ ТОГО, ЧТО ИНЦИДЕНТЫ НЕ ПРОСТО УСТРАНЕНЫ, но в отношении них проведено расследование. Основные сведения о злоумышленниках и их способах атаки должны быть тщательно исследованы, чтобы можно было предотвратить похожие атаки. Специалист по военной стратегии Джон Бойд (John Boyd) разработал петлю OODA (Наблюдение-Ориентация- Решение-Действие) в качестве основы для принятия решений в ходе военных операций (см. рис. 2). Сегодня эта методика применяется во многих других сферах и может служить отличным примером непрерывного процесса, необходимого для эффективного реагирования на инциденты. Рисунок 2. Петля OODA Технологии Как люди и процессы, так и внедрение соответствующих технологий до того, как произошел инцидент, также очень важно. Анализ внешних угроз очень важен для сдерживания известных атак, но без инструментов, которые помогают группам реагирования на инциденты получить ценную информацию об активности в собственной сети, усилия по реагированию будут бесполезны. Вы не можете защищать то, что нельзя увидеть.
  • 5. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 5 Реагирование на инциденты — это не просто удаление вредоносного ПО и возвращение обратно в строй инфицированных компьютеров. Необходимо проводить дальнейшие расследования, чтобы определить всю степень атаки, понять, были ли заражены другие машины, и какие типы тактики были использованы злоумышленниками. Таким образом вы гарантируете, что атака была полностью «выкорчевана» из вашей среды и такая же точно атака больше никогда не пройдет. «Stealthwatch сокращает время решения проблем с дней до считанных секунд. Благодаря Stealthwatch мы заранее знаем все о потенциальных атаках и угрозах». — компания Edge Web Hosting Журналы аудита сети Для того чтобы понимать, что происходит в современных крупных и сложных сетях, лучше всего собирать и анализировать данные сети в журналах аудита. Практически 80 % респондентов в опросе, проведенном агентством Ponemon, сказали, что наиболее эффективным подходом для обнаружения инцидентов и угроз безопасности стал анализ журналов аудита из таких источников, как NetFlow и захват пакетов. 5 Используя журналы сетевой активности, организации могут легко предотвращать и прекращать попытки атак. Протокол NetFlow зарекомендовал себя как особенно эффективная технология в этом случае, так как данные можно собирать по всей сети, не устанавливая для этого специальных аппаратных устройств. Данные же можно сохранять в течение длительных периодов времени без существенных денежных затрат. Эффективность протокола NetFlow Протокол NetFlow, впервые созданный компанией Cisco и теперь используемый в широком ряде устройств сетевой инфраструктуры (наряду с другими типами сетевых инструментов телеметрии) позволяет получить ценные метаданные с существующих маршрутизаторов, коммутаторов и межсетевых экранов для улучшения мониторинга и ситуационной осведомленности. Этот протокол предоставляет запись каждого подключения, устанавливаемого в сети, включая адреса «на» и «с», номера портов, объем переданных данных, а также другую информацию. NetFlow позволяет получить массу ценной и подробной информации о ваших сетевых ресурсах и сетевом поведении: кто с кем коммуницирует, какие приложения используются и т. д. У большинства организаций уже есть доступ к техно- логии NetFlow в рамках их среды. Им просто нужно начать собирать и анализировать данные этого протокола, чтобы выйти на новые уровни аналитических возможностей своих сетей. Но не все технологии мониторинга NetFlow работают одинаково. Сегодня, когда сети постоянно развиваются, они выпускаются огромные массивы «больших данных». Получение доступа к данным — это прекрасный первый шаг, но, к сожалению, это ничего не значит, если группы реагирования на инциденты не могут извлечь из этого ценной информации и не могут использовать это для повышения своей осведомленности и лучшего принятия решений. И именно в этом им лучше всего помогут усовершенствованные решения мониторинга на основе потока, такие как Cisco® Stealthwatch. Cisco Stealthwatch Cisco Stealthwatch — это глаза и уши сети. Система быстро собирает и анализирует большие объемы данных NetFlow и предоставляет группам реагирования на инциденты и обеспечения безопасности практи- ческую информацию для дальнейших действий, а также обеспечивает полный мониторинг происходящего в сети. Система позволяет получить глубокое понимание сети и сетевой активности на основе рассмотренных ранее эталонов, что абсолютно необходимо для создания эффективных процессов реагирования на инциденты. Кроме того, при совместном использовании с другими технологиями безопасности Cisco система Stealthwatch помогает организациям эффективно использовать существующую инфраструктуру для превращения их сетей в непрерывно работающий сенсор безопасности, обеспечивающий эффективное обнаружение угроз. Выполняя сложный поведенческий анализ, система Stealthwatch может автоматически выявлять подозрительное поведение, которое может привести к самым разным атакам, от вредоносного ПО нулевого дня и распределенных атак типа отказ в обслуживании (DDoS) до непрерывных кибератак повышенной сложности (APT) и внутренних угроз. Stealthwatch значительно уменьшает необходимость в выполнении ручных задач анализа, связанных с расследованием инцидентов. Очень часто время устранения неисправностей и решения проблем уменьшается с дней и даже месяцев до считанных минут. Интуитивные информационные панели и отчеты помогают специалистам групп реагирования на инциденты и обеспечения безопасности получать необходимую им информацию — будь то общая картина сетевой активности, список потенциальных проблем или данные конкретного хоста — всего несколькими щелчками мыши (рис. 3). Эту информацию можно также легко донести до сведения других заинтересованных лиц, например высшего руководства. 5 Ponemon Institute, «Реагирование на инциденты кибербезопасности — так ли мы готовы, как мы думаем?» Январь, 2014 г.
  • 6. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 6 Рисунок 3. Информационная панель Stealthwatch Cisco Stealthwatch обеспечивает расширенные возможности мониторинга сети и анализа безопасности для ускорения реагирования на инциденты. Например, кто-то внутри организации постоянно пытается получить доступ к закрытым областям вашей сети. А возможно из вашей сети отправляются нехарактерно большие объемы данных или внутренний хост связывается с подозрительным IP-адресом в другой стране. Эффективный инструмент сетевого мониторинга и анализа безопасности может определять такое поведение и предупреждать о нем администраторов, чтобы они провели соответствующее расследование. «80 % респондентов сказали, что наиболее эффективным подходом для обнаружения инцидентов и угроз безопасности стал анализ журналов аудита из таких источников, как NetFlow и захват пакетов». — Ponemon Institute Отличительные особенности системы Stealthwatch В отличие от большинства других технологий, которые могут контролировать только трафик, входящий в сеть и исходящий из нее, Stealthwatch может также контролировать и горизонтальный (восток-запад) трафик для определения атак, распространяющихся внутри сети, и выявления внутренних угроз. Благодаря постоянному мониторингу сети на предмет аномального поведения и использованию новейших методик анализа безопасности, предупреждения и отчетности для уведомления администратора о потенциальных проблемах системаStealthwatch позволяет реагировать на инциденты быстрее и эффективнее. Обработка NetFlow обычно намного менее ресурсо- затратна, чем альтернативные варианты, например полный захват пакетов. Но постоянное ведение журналов данных всего предприятия тем не менее создает огромные объемы записей, превышающие миллион потоков в секунду. Эффективное решение должно иметь возможность масштабироваться соответствующим образом для уменьшения объемов хранения и потреб- ления энергии. Благодаря масштабированию, дедупликации и совмещению вместе записей однонаправленных потоков обеспечивается экономически эффективный мониторинг потока и возможности хранения даже для самых крупных и наиболее сложных корпоративных сетей.
  • 7. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. 7 Кроме того, для улучшения обнаружения атак в реальном времени система Stealthwatch также помогает быстрее и тщательнее проводить после- дующие исследования и расследования. Система может хранить данные потока месяцы или даже годы и использовать свою расширенную функциональность постановки в очередь для быстрого извлечения актуальной информации о предыдущих атаках. Такой исторический взгляд назад очень важен для точной подстройки процедур реагирования на инциденты и оптимизации механизмов защиты от угроз. Возможность эффективного сбора, анализа и интерпретации больших объемов сетевых данных и данных безопасности становится еще более важной по мере роста и развития сетей и использования облачных, программно-определяемых (SDN) архитектур и архитектуры Интернета вещей (IoT). «До Stealthwatch нам приходилось анализировать и коррелировать данные нашей сетевой активности вручную. Stealthwatch автоматически предоставляет нам подробный анализ сетевых данных с помощью единого, удобного в использовании интерфейса, облегчая наши сетевые операции и процессы обеспечения безопасности и соответствия нормативным требованиям». — BlueCross BlueShield, Теннесси Расширенный контекст безопасности и возможности интеграции Согласно результатам исследования, 69 % организаций говорят о том, что их инструменты безопасности не предоставляют им достаточно контекста, чтобы они могли понимать свои риски. 6 Благодаря используемым технологиям и отраслевым стандартам, включая тесную интеграцию с другими технологиями Cisco, система Stealthwatch предоставляет дополнительные уровни контекста безопасности для дальнейшего ускорения и улучшения реагирования на инциденты и их последующего расследования. Примеры этих добавляющих ценность уровней анализа: • Осведомленность о пользователях и устройствах • Мониторинг облака • Приоритизация приложений • Исходные данные об угрозе • Интегрированная функция защиты оконечных устройств • Мониторинг прокси-сервера • Захват пакетов Благодаря доступу ко всей этой информации с единой консоли процесс исследования угроз и последующего восстановления работоспособности значительно оптимизируется. Согласно исследованию Enterprise Strategy Group, 80 % организаций считают, что их текущие процессы обнаружения инцидентов и реагирования на них тормозятся из-за недостаточной интеграции технологий безопасности. 7 К сожалению, разрозненность приложений замедляет подавление угроз и оставляет место для брешей, которые злоумышленники могут легко использовать в своих целях. Расширение уровней контекста и глубокая интеграция обеспечивают более автоматизированный, свободный и эффективный ответ на целый спектр угроз, с которыми сталкивается современная организация. Заключение К сожалению, ни одна технология сегодня не сможет полностью предотвратить попадание хакеров в корпоративную сеть. Однако если организация постоянно контролирует собственную среду, задействуя для этого необходимый набор процессов, людей и технологий, то группа по обеспечению безопасности будет лучше оснащена и сможет быстрее противостоять атаке и блокировать ее, если она все же случилась, не допуская разрушительных последствий и затрат, связанных с утечкой данных. 6 Ponemon Institute, «Атаки на привилегированных пользователей и внутренние угрозы», май, 2014 г. 7 Enterprise Strategy Group, «Решение проблем обнаружения атак и реагирования на инциденты», апрель, 2015 г.
  • 8. Анализ безопасности и много другое Официальный документ Общедоступная информация компании Cisco Дополнительная информация В сочетании с широкой линейкой продуктов Cisco по безопасности Stealthwatch может предоставить комплексную защиту и оптимизировать реагирование на инциденты на всем протяжении — от периметра до доступа: по всей сети, ЦОД, оконечным устройствам, мобильным устройствам и в облаке. Нажмите здесь и узнайте, как собственная группа CSIRT компании Cisco использует Stealthwatch для обнару- жения и анализа вредоносного трафика и оптимизации реагирования на инциденты и их последующего расследования. Подробнее. Запросить демонстрацию. stealthwatch@cisco.com «80 % организаций считают, что их текущие процессы обнаружения инцидентов и реагирования на них тормозятся из-за недостаточной интеграции технологий безопасности». — Enterprise Strategy Group © Компания Cisco и/или ее дочерние компании, 2016. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками компании Cisco и/или ее дочерних компаний в США и других странах. Чтобы просмотреть список товарных знаков Cisco, перейдите по ссылке: www.cisco.com/go/trademarks. Товарные знаки других организаций, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не подразумевает отношений партнерства между Cisco и любой другой компанией. (1110R) C11-737531-00 07/16