Apr 15, 2017
20% вложений и 80% результата.
Как реализовать требования ИБ и не потерять
внутреннюю свободу.
Наталья Куканова, Игорь Гоц
Из чего же сделаны наши сотрудники
Среда
4
01 Более 7 000 рабочих мест
02 Более 95% рабочих мест мобильные или удалённые
03 Более 30 версий операционных систем (Windows, MacOS, *nix)
04 Ежедневное изменение инфраструктуры
05 Разработчики и тестировщики – локальные администраторы
06 Отсутствие средств фильтрации трафика
5
Выбор решения для NAC
Как получить данные
7
01 Установленный агент
02 Скачиваемый агент
03 Удаленный вызов процедур (RPC)
04 Сканер уязвимостей
05 Мониторинг
Критерии
8
01 Профиль пользователя• ОС• Браузер• Пароль• Статус
02 Профиль компьютера• Сертификат• Имя компьютера• ОС• MAC-адрес
03 Антивирус • Наличие• Статус
04 Сертификат 802.1х • Время• Место
05 Обновление ПО• Microsoft SCCM• Casper Suite• osquery
Источники
9
SIEM
802.1x
netflow
MS AD
ACSweb
AV
systems access
Особенности
10
01 Полнота журнала
02 Скорость доставки журнала
03 Скорость индексации в SIEM
04 Скорость появления событий в выдаче
05 Порядок выборок
06 Скорость выборки
Принципы применения политик
11
01 Мягкое уведомление • Письмо• Тикет
02 Жесткое уведомление• Письмо• Тикет• Сотрудник HD• Руководитель
03 Блокировка• Карантинный VLAN• Доступ к email• Обращение в HD
Тикет
12
Контроль исполнения политик
13
Примеры работы с данными
Пользователь –компьютер
15
service radius (802.1x)
enriched service log
Имя пользователя и имя на сертификате совпадают?
Пользователь или компьютер
16
antivirus log computer$
Это компьютер или пользователь?
Разрешённое ПО
17
Какой браузер использует пользователь?
service netflow
http_user_agent
download AV check
srt stats
Счастливые часов не наблюдают
18
Сейчас рабочее время?
19
Контакты
Наталья Куканова
Спасибо за внимание!
Игорь Гоц
@twittertelegram