IBM QRadar Oleg Bakshinsky · по защите от угроз App ... • Презентация...

© 2016 IBM Corporation

IBM QRadarАналитика и когнитивные технологиидля защиты инфраструктуры

Олег Бакшинский

Security Intelligence Sales RepIBM Security RCIS

2© 2016 IBM Corporation

IncidentResponse

Создать и исполнить

автоматизи-рованныепланы по

реагированию на инциденты

Security Intelligence

on CloudГибкое решениекоторое можновнедрить и как

чистый SaaSи как комбинацию

с гибридной облачной

инфраструктурой для улучшения

видимости облачных

приложений

Network Forensics

Расследование инцидентов

и перехват сетевых пакетов

Vulnerabilityand Risk

ManagementСканирование

уязвимостей в реальном

времени и их приоритезация, а также анализ конфигураций,

мониторинг политик и

оценка рисков

LogManagement

Управлениеидентификацией,

полное управление

логамии отчеты

в соответствии с нормативами

SIEMИнтеграция

SIM и VAClie

nt N

eeds

Flow Visualization

and NBADОпределение

аномалийи выявление

угроз

Эвол

юци

я пл

атф

ормы

на

осно

ве н

ужд

клие

нтов

IBM QRadar: развитие на основе нужд клиентов

2002 – 2005 2006 – 2007 2008 – 2009 2010 – 2013 2014 2015 2016


Каково было влияние инцидента на компанию?

Какие инциденты ИБ происходят сейчас?

Как наша конфигурация сети защищает от атак?

Каковы основные риски и уязвимости?

Security Intelligence + IBM Sense Analytics ©Реагировать на изменения и определять угрозы раньше через анализ поведения и выявление аномалий

• Получить видимость полной картины ИБ организации и выявить недостатки

• Задать отклонения от нормы(АРТ)

• Приоритезировать уязвимости для оптимизации процесса восстановления до атаки

• Автоматически определить угрозы по приоритетам

• Собрать полную картину произошедшего

• Провести полное расследование для быстрого выявления причин; разработать план реагирования на инцидент

Атака Восстановление

ФАЗА РЕАКЦИИ / ВОССТАНОВЛЕНИЯ

После атакиУязвимость До атаки

ФАЗА ПРЕДСКАЗАНИЯ / ПРЕДОТВРАЩЕНИЯ

VulnerabilityManager

RiskManager SIEM & UBA Incident

ForensicsIncident

Response

IBM QRadar – платформа для построения единого ИБ решения


LogManagement

Security Intelligence and Sense Analytics

Network Activity Monitoring

NetworkForensics

Интегрированная, унифицированная, единая консоль

Vulnerabilityand Risk

Management

IncidentResponse


Проясняя инциденты через глубокое расследование

Приоритетные Инциденты

Встроенный Интеллект

ВЫЯВЛЕНИЕ• Сбор данных,

хранение и анализ• Корреляция угроз в

реальном времени• Определение активов,

сервисов и пользователей• Активности и

аномалии

ВОССТАНОВЛЕНИЕ• Расследование

инцидентов• Постоянное управление,

мониторинг и защита• Реагирование на

инциденты

МНОЖЕСТВО

ИСТОЧНИКОВ

ДАННЫХ


Отвечать на вопросы, предупреждать и восстанавливатьТип атаки Тяжесть атаки

Ответственный за атаку

Где они находятся?

Что было похищено и где доказательства?

Сколько активов вовлечено?

Есть ли уязвимые активы?

Как ценны для бизнеса цели атаки?


Платформа QRadar Sense Analytics

Выявление Угроз

Выявление Инсайдеров

Управление Рисками и

Уязвимостями

Расследова-ние

Инцидентов

Реагирова-ние на

Инциденты

Отчеты Регуляторов

Защита ОблаковЗАДАЧИ

ДЕЙСТВИЯ

ОБРАБОТКА

СБОР

МОДЕЛИ ВНЕДРЕНИЯ

Поведенческая Аналитика

ПРИОРИТЕТНЫЕ ИНЦИДЕНТЫ

Контекстная Аналитика

Временная Аналитика

QRadar Sense Analytics

Интеграция с другими

решениями

Автоматизация ПроцессыКонсоли Визуализация

ON PREM AS A SERVICE CLOUD HYBRID

Бизнес СистемыОблака Инфраструктура База Угроз Приложения

Платформа Обмена

Знаниями и Решениями по защите от угроз

App Exchange

X-Force Exchange


Компоненты QRadar API

QRadar SDK для разработки и обмена приложениями

Новый открытый API для быстрой разработки и внедрения инноваций

Угрозы Инсайдеров

Интернет Вещей

Реагирование на Инциденты

Задачи отдела ИБ

§ Решения специфичные для рынка, бизнеса§ Возможности для построения сервисов§ Плавный интегрированный процесс§ Экономическая и операционная польза§ Больше гибкости, меньше сложности

Открытая платформа


Новая платформа для обмена знаниями и опытом в области ИБ

Единая платформа взаимодействия для быстрого внедренияновых приложений и контента для решений IBM Security

ВАЛИДАЦИЯУтвержденный контентминимизирует риск, обеспечивая качество работы

ИННОВАЦИИНовые возможности отпартнеров, IBM, экспертов ИБ и других вендоров

СКОРОСТЬБыстрый старт операторов ИБ с богатым функционалом и интеграцией

ОТЛИЧИЕДает возможность сервис-провайдерам и партнерам привносить свои отличительные элементы

IBM Security App Exchange


IBM User Behavior Analytics


Выявлять подозрительных пользователей

Как меняется их тренд

поведения ?

Растет ли риск ? В какие инциденты они вовлечены?

Всё важное, чтоSOC должен знать о них ?

Кто они ?

Последние активности

К каким активам они имели доступ недавно ?

Один клик, чтобы увидеть доказательства


Рейтинг Риска Инсайдера

SENSEANALYTICSTM

ПОВЕДЕНЧЕСКАЯ• Паттерны• Профилирование• Статистика• Аномалии

КОНТЕКСТНАЯ• Бизнес контекст• Сущность пользователя• Корреляция с угрозами

ВРЕМЕННАЯ• Историческая аналитика• В реальном времени• Граничные правила• Выявление угроз

Пользователи

Облачные сервисы

Приложения

Базы данныхСервера

DLP

Рабочие станции

Сетевое оборудование

Threat Intelligence

3rd Party SIEM feeds

Другая аналитика

Выявлять подозрительных пользователей


Сценарии применения User Behavior Analytics (UBA)

Изменение во времениАктивность пользователя очень отклоняется от нормальной в коротком промежутке или постепенно за длительный промежуток времени

Облачные сервисыПользователь обратился к облачным сервисам или личному облачному хранилищу для выгрузки важных данных

Доступ к ценным активамПользователь начал обращаться и скачивать важные данные с ценных активов с увеличивающейся частотой

UBA Scenarios

Изменение прав уч.записиПользователь пытается изменить права в существующей уч.записи или создать новую в другой системе

Частота работы с активамиАктивность пользователя с активом резко возросла или доступ к нескольким активам участился

Отличие поведения от целевой группыПаттерн активности пользователя начинает отклоняться от его целевой группы

Работа программ подконтролем вредоносного ПОАтаки bot-сетей или вредоносов на приложения или доступ к важным данным

Выявление аномалии через редкую последовательностьПользователь совершил последовательность действий отличающуюся от всех остальных

Утечка важных данныхПользователь манипулирует параметрами запросов - ответов http для скачивания важных данных


SOC аналитику нужна помощь в выявлении отклонений в поведении с течением времени

• Учетная запись обращается к более ценным активам чем обычно

• Больше чем обычно данных перемещаетсяна/с серверов и/или внешние локации

• Привилегированная учетная запись имеетдоступ к важным серверам из новой локации впервые

• Учетная запись используется впервые за долгий промежуток времени

• Редкая эскалация привилегий

• Учетная запись используется из специфичной локации

• Пользователь проявлял ранее вредоносноеили угрожающее поведение

• Пользователь выделяется из своей группы

• Переход пользователя из группы в группу

Большое Окно Малое Окно

5 часов2% времени приложение активно

1 час4% Активности

100% увеличение активности

Большое Окно Малое Окно

Новая активность


Визуализация отклонений в поведении пользователей


Когнитивные технологии для выявления инцидентов


Традиционные данные ИБ

Огромное количество знаний об информационной безопасности создаётся для прочтения людьми…

Примеры включают:• Исследовательские

документы• Публикации по

индустрии

• Информация о расследованиях

• Комментарии по угрозам

и аналитике ИБ

• Презентации на конференциях

• Отчёты аналитиков• Веб страницы• Вики

• Блоги

• Новостные источники• Новостные рассылки• Микроблоги/твиттер/ВК…

Целая вселенная знаний ИБ выпадает из поля зрения средств защитыТипичная организация видит только 8% данных знаний*

Знания, генерируемые людьми

• События ИБ• Данные логов и конфигураций

• Активность пользователей и сети• Подписки на угрозы и уязвимости

но большая часть этих знаний не охвачена инструментами


Человеческая экспертиза

Когнитивная безопасность

Когнитивные системы устраняют этот разрыв и открывают новые возможности партнёрства между аналитиками ИБ и поддерживающими их технологиями

Аналитика ИБ• Корреляция данных• Идентификация паттернов

• Детектирование аномалий• Приоретизация

• Визуализация данных• Рабочие процессы

• Анализ неструктурированных данных

• Натуральный язык

• Вопросы и ответы• Машинное обучение

• Устранение человеческого фактора

• Аналитика по компромиссам

• Здравый смысл• Мораль

• Сострадание

• Абстракции• Дилеммы

• Обобщения АНАЛИТИКИ ИБ

АНАЛИТИКА ИБ

КОГНИТИВНАЯ ИБ


УЗНАТЬ О НОВЫХ АСПЕКТАХ СИТУАЦИИ

УМЕНЬШИТЬ НЕДОСТАТОК ЗНАНИЙ ИБ

АНАЛИТИК ИБ и WATSONАНАЛИТИК ИБ

Итак, представляем IBM Watson for Cyber SecurityРеволюция в работе аналитиков ИБ

Знания о ИБ созданные Человеком

• Использовать огромные массивы существующих данных для обнаружения новых шаблонов атак

• Становиться умнее и построить “инстинкты ИБ”

!!!

Аналитики ИБ одной компании

Когнитивные технологии, эмулирующие человеческий

интеллект при работе со сложными угрозами

• Приоретизировать угрозы и подготовить рекомендации по их устранению, с уверенностью, масштабируемостью и скоростью


Watson for Cyber Security значительно уменьшит время расследования угроз, конкретных инцидентов и время реакции на инцидент

УстранениеРасследывание и анализ влиянияПриоретизацияинцидентов

УстранениеРасследывание и анализ влияния

Приоретизация

инцидентов

IBM Watson for Cyber Security assisted threat analysis

Быстрый и точный анализ угроз ИБ, для экономии времени и ресурсов

От дней

до недел

ь

От минут

до часов


QRadar Advisor использует Watson for Cyber Security

• Разбирать сигналы

• Исследовать события и аномалии ИБ

• Оценивать активность пользователей и уязвимости

• Конфигурация

• Прочее

• Корреляция данных

• Политики

• Рабочие процессы

• Выявления аномалий

• Идентификация паттернов

• Приоритезация

Аналитика ИБ

Аналитики ИБ Watson for Cyber Security• База знаний ИБ• Идентификация угроз• Выявление

дополнительных индикаторов

• Область наследственных отношений

• Доказательства

• Локальный сбор данных

• Исследование угроз с помощью Watson for Cyber Security

• Квалификация инцидентов ИБ и связанные исследования

• Презентация обнаруженного

QRadar Advisor with Watson

АНАЛИТИКИ ИБ

АНАЛИТИКАИБ

QRadarAdvisor

withWatson

Watsonfor

CyberSecurity


Есть несколько потенциальных примеров использования,где cognitive security играет ключевую роль

Усилить вашихSOC

аналитиков

Ускорить реакциючерез внешний

интеллект

Выявлять угрозычерез расширенную

аналитику

Усилить безопасностьприложений

Снизить потенциальны

е риски


Реагирование на инциденты


Resilient расширяет стратегию IBM Security в помощь организациям в области эскалации кибератак

ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ

Постоянное предотвращение атак ивосстановление уязвимостей

Идентификация наиболее важных угроз при помощи аналитики и расследований

Реагирование на инциденты в интегрированной и организованной среде

Объединить ответственныхдля реагирования на инцидентResilient расширяет возможности предлагаемых IBM решений для создания законченного решения попредотвращению, обнаружению иреакции на угрозы

Единый Центр Управления Реагированием Resilient позволяет отделу ИБуправлять процессами реагирования и разбирать инциденты умнее, быстрее и эффективнее

Бесшовная интеграция срешениями IBM и не толькоResilient интегрируется с QRadar и другими решениями IBM и других производителей, чтобы любые компании могли успешно отражать атаки


Почему IBM Security инвестирует в Resilient Systems ?


Реагирование на инциденты критично по времени и затрагивает всю организацию

ИНСТРУМЕНТЫ И ОТВЕТСТВЕННЫЕНЕ СВЯЗАНЫдействия вручную и потеря времени

ПРОЦЕДУРЫ РЕАГИРОВАНИЯ НЕ ОПРЕДЕЛЕНЫ возникают задержки и ненужная путаница

КВАЛИФИКАЦИИ НЕ ХВАТАЕТостановка процессов и неспособность к действию

С РЕГУЛЯТОРАМИ НЕ ЗНАКОМЫтребования и нормативные обязательства не выполняются

LegalHR

CEOCISO

IT

Риски? Ответственные?Задачи?

Security Operations

Incident Response

IDS NIPS AV DBs AppsDLP FW ...

Разбор инцидентов сегодня зачастую происходит вручную и без связи между отделами

Разрыв


QRadar и Resilient –Единый, Организованныйи Эффективный Ответ

СВЯЗЬ ИНСТРУМЕНТОВ И ОТВЕТСТВЕННЫХкоммуникации лучше - путаницы меньше

ОПРЕДЕЛИТЬ ПРОЦЕДУРЫ РЕАГИРОВАНИЯоптимизированный и эффективный план реагирования на инцидент

АВТОМАТИЧЕСКОЕ ВЫЯВЛЕНИЕ И ГОТОВЫЙПЛАН РЕАГИРОВАНИЯуменьшение зависимости от квалификации сотрудников

ВСТРОЕННАЯ БАЗА ЗНАНИЙ РЕГУЛЯТОРОВвыполнение требований и нормативных обязательств

LegalHR CEO CISO IT

QRadar Security Intelligence

Resilient Incident Response


Риски Задачи Ответственность


IBM Resilient позволяет сотрудничать в едином пространстве всей команде безопасности

§ Объединяет людей, процессы и технологии

§ Обеспечивает централизованное сотрудничество и обмен знаниями

§ Работа с одной из самых больших в мире баз знаний о глобальных регуляторах и нормативных требованиях

§ Позволяет команде безопасности легко и быстро конфигурировать планы реагирования на инциденты в рамках любой организации

§ Увеличить ценность других инвестиций в ИБ– напр. SIEM, ticket systems, IDS/IPS и прочие

§ Предоставляет возможность автоматизации процесса реагирования и измерения ROI (возврата инвестиций)имеющихся инструментов ИБ

РЕАГИРОВАТЬ БЫСТРЕЕ. УМНЕЕ. ЛУЧШЕ.Платформа Реагирования на Инциденты IBM Resilient (IRP) немедленно переводит ИБ уведомления в действия, предоставляет ценные знания и контекст инцидента,позволяет команде безопасности исключить или избежатькритичных ошибок


Интеграция IBM Resilient с другими решениями

Пользователи Resilient могут эскалировать

инциденты и импортировать артифакты

из email, SIEM, ticketing systems и других

источников.

Двунаправленная интеграция с SIEM может

также предоставлять дополнительную

информацию прямо в IRP.

Автоматическое обогащениеРучное

обогащение

Ручное исправление



Встроенная база знаний угроз автоматически

собирает и доставляет ценный контекст

инцидента.

Аналогичная интеграция с другими решениями

уменьшает время расследования и помогает

среагировать быстро и решительно.






Пользователи могут настроить дополнительные

интеграции для дальнейшего расследования инцидентов.

Это сокращает время требуемое для сбора

информации из разрозненных систем и дает возможность

команде сконцентрироваться на более важных задачах.






Через интеграцию с внешними инструментами,

такими как ticketing systems,пользователи могут управлять

и выстраивать процессы быстрого и эффективного

реагирования на инциденты.





QRadar + Resilient = SIEM + Incident Response

Приоритетные нарушения

• Сбор, хранение и анализ данных

• Авто определение источников, сервисов и пользователей и их профилирование

• Корреляция событий в реальном времени

• Определение аномалий активностей

ВстроенныйИнтеллект

QRadar Sense AnalyticsTM

Сервера и мейнфреймы

Активности БД

Сетевая и виртуальная среда

Работа приложений

Конфигурации устройств

Устройства ИБ

Пользователи и учетки

Уязвимости и угрозы

Глобальные базы угроз

ИСТОЧНИКИ ДАННЫХ

Создание инцидента

QRadarПриоритезация информации из Logs, Flows, Vulns, User, Config Data и т.п.

Процесс реагирования SOC на инцидент ИБ для ответа наугрозы, дыры, уязвимости

- Присвоение типа(напр. уязвимость)

- Присвоение бизнес характеристики в зависимости от типа (напр. Риск)

Сбор контекста и назначение

задач- Сбор

дополнительных доказательств

- Применение требований регуляторов

- Назначение задач ответственным

Восстановлениеи Закрытие

- Постановка задач восстановления команде

- Подтверждение восстановления

- Закрытие инцидента- Отчет/Уведомление

Постоянная аналитика ИБ Три этапа инцидента ИБ

База всех инцидентов ИБ

Отчет по инцидентуи уведомление

Улучшение процесса выявления инцидентов


Интеграция QRadar и Resilient

Единый инструмент для Выявления угроз и Ответа на них

– Автоматическое и ручное объединениеинцидентов в Resilient и QRadar

– Связь доказательств инцидента QRadarс делами в Resilient

– Автоматическая синхронизация записей и статуса инцидента

Преимущества– Уменьшение среднего времени решения– Гарантия согласованности– Соответствие требованиям регуляторов

и правовым обязательствам– Автоматизация трудоемких задач и

повышение эффективности реагирования– Дополнение процесса реагирования на

инциденты информацией от бизнеса и аналитиков


Аналитика по всем инцидентам в организации

• Ключевые метрикиинцидента и SOC всегда под рукой


LegalHR CEO CISO IT

IBM Security предлагает первую в индустрии интегрированнуюплатформу Security Operations and Response Platform


Security Operations and Response Platform

Resilient Systems Incident Response

IBM QRadar Security Intelligence

Vulnerability and Patch

Management

Endpoint / Network Threat Detection and Forensics

Entity and Insider Threat

Analytics

Security Operations and Incident Response Services

IBM X-FORCE EXCHANGE автоматически обновляет артифакты инцидентов из актуальной базы данных угроз

IBM QRADAR SECURITY INTELLIGENCEвыявляет угрозы и начинает процесс реагирования

IBM SECURITY SERVICESоперативный консалтинг для внедрения процессов и экспертной помощи в реагировании, если что-то не получается своими силами

IBM BIGFIX AND NETWORK FORENSICSанализирует рабочие станции и сетевой траффик

Реагирование - это интеллект и координация

IBM RESILIENT INCIDENT RESPONSEсоздает схему реагирования и координирует активности

IBM SECURITY APP EXCHANGEприложения и функционал для быстрого и точного реагирования


Вывод

Объединяя возможности IBM Security Intelligence и IBM Resilient Incident Response мы предоставляем более эффективный и быстрый механизмвыявления и реагирования на наиболее опасные угрозы и уязвимости

• Единая платформа предотвращения, выявления и реагирования на угрозы

• Более эффективное реагирование и продуктивный разбор инцидентов

• Выполнение ключевых нормативов индустрии и требований регуляторов в сфере ИБ

• Устранение недостатка квалификации и повышение эффективности команды ИБ

• Интеграция существующих инвестиций в ИБ и ИТ в единый процесс оперативного взаимодействия и реагирования

• Понимание критичных бизнес-процессов в ИБ, их метрик, стоимости и потребностей

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

СПАСИБОwww.ibm.com/security

IBM QRadar Oleg Bakshinsky · по защите от угроз App ... • Презентация...

Documents

Transcript of IBM QRadar Oleg Bakshinsky · по защите от угроз App ... • Презентация...