20% of investment and 80% of profit. How to implement security requirements and maintain internal freedom

20% вложений и 80% результата.

Как реализовать требования ИБ и не потерять

внутреннюю свободу.

Наталья Куканова, Игорь Гоц

Из чего же сделаны наши сотрудники

Среда

4

01 Более 7 000 рабочих мест

02 Более 95% рабочих мест мобильные или удалённые

03 Более 30 версий операционных систем (Windows, MacOS, *nix)

04 Ежедневное изменение инфраструктуры

05 Разработчики и тестировщики – локальные администраторы

06 Отсутствие средств фильтрации трафика

5

Выбор решения для NAC

Как получить данные

7

01 Установленный агент

02 Скачиваемый агент

03 Удаленный вызов процедур (RPC)

04 Сканер уязвимостей

05 Мониторинг

Критерии

8

01 Профиль пользователя• ОС• Браузер• Пароль• Статус

02 Профиль компьютера• Сертификат• Имя компьютера• ОС• MAC-адрес

03 Антивирус • Наличие• Статус

04 Сертификат 802.1х • Время• Место

05 Обновление ПО• Microsoft SCCM• Casper Suite• osquery

Источники

9

SIEM

802.1x

netflow

MS AD

ACSweb

AV

systems access

Особенности

10

01 Полнота журнала

02 Скорость доставки журнала

03 Скорость индексации в SIEM

04 Скорость появления событий в выдаче

05 Порядок выборок

06 Скорость выборки

Принципы применения политик

11

01 Мягкое уведомление • Письмо• Тикет

02 Жесткое уведомление• Письмо• Тикет• Сотрудник HD• Руководитель

03 Блокировка• Карантинный VLAN• Доступ к email• Обращение в HD

Тикет

12

Контроль исполнения политик

13

Примеры работы с данными

Пользователь –компьютер

15

service radius (802.1x)

enriched service log

Имя пользователя и имя на сертификате совпадают?

Пользователь или компьютер

16

antivirus log computer$

Это компьютер или пользователь?

Разрешённое ПО

17

Какой браузер использует пользователь?

service netflow

http_user_agent

download AV check

srt stats

Счастливые часов не наблюдают

18

Сейчас рабочее время?

19

Контакты

[email protected]

Наталья Куканова

[email protected]

Спасибо за внимание!

Игорь Гоц

@twittertelegram