IBMBigFixFINDIT.FIXIT.SECUREIT.

AndriiKuzmenko

02.03.2017

3 IBM Security

Обычная жизнь обычного CISO

CEO

DEVVP of IT NETWORKCISO

Начинаем работу

4 IBM Security

5 IBM Security

6 IBM Security

Наш первый документ по работе и безопасности ПК

• Наказание за несоответствие требованиям• Управление изменениями

Патчи Конфигурации И т.д.

• Безопасности устройства и данных пароль Screen saver Шифрование Передача данных в безопасном виде

• Защита от угроз Firewall Intrusion Detection System (IDS) Intrusion Prevention System (IPS) Data Loss Prevention (DLP)

7 IBM Security

Для начала очень даже неплохо получилось

• Мы знаем лучшие практики

• Мы написали политики• У нас есть инструменты

• Теперь кто-то должен всё сделать и проверить

• И каков результат? CISOИсполнитель

8 IBM Security

9 IBM Security

Случайно

Ошибка конфигурации

Взлом

Инсайдер

Утечка

Кража компьютера

Кража носителя

Отсутствие контролей

VP of Security Research, Gartner, 2016

The endpoint is where all attack vectors rejoin to execute…The endpoint is the center of the malware universe.

MARIO DE BOER

11 IBM Security

1 CSIS: Raising the Bar for Cybersecurity

2 Verizon: Data Breach Investigation Report 2015

3 IBM: X-Force Threat Intelligence Report 2016

4 Fedscoop.com NSA : no zero days (…) -September 2016

75% используют известные уязвимости.1

99.9% были эксплуатированы более, чем через год после публикации CVE.2

Для обнаружения APT атаки нужно 256 дней.3

“За последние 24-е месяца в известных инцидентах не был использован ни один zero day” 4

99.9% были эксплуатированы более, чем через год после публикацииCVE.2

2 Verizon: Data Breach Investigation Report 2015

Вместо своевременного устранения

тратим 256 дней.3

3 IBM: X-Force Threat Intelligence Report 2016

Атаки обходятся относительно

НЕДОРОГО

13 IBM Security

Наша задача – сделать атаки дороже

• Постоянный контроль за ПК• Теперь им придётся использоваться Zero day

эксплойты• Вы становитесь менее привлекательными• Продавцы Zero day опять начнут нормально

зарабатывать

=+

14 IBM Security

Закрыть парадную дверь при наличии полного контроля легко

• Лучшие практики

• Управление уязвимостями и патчами

• Мониторинг антивирусного ПО

• Каталог ПО и его инсталляция

• Каталог разрешенного ПО

• Мониторинг железа

• Обнаружение аномалий

• Мониторинг и исправление несоответствий

15 IBM Security

Можно было бы остановить подобную атаку

Уязвимое рабочее место 35 orders worth $951Mmade via SWIFT systemfrom NY Fed USD Account

Уязвимый SWIFT Transaction Server

16 IBM Security

IBM BigFix®

FIND IT. FIX IT. SECURE IT…FAST

МониторингОбнаружение и

исправление уязвимостейДО атаки

БезопасностьЗащита от современных

атак

РеакцияКарантин и

восстановление для скомпрометированных

хостов

ENDPOINT SECURITY

ИНТЕГРАЦИЯ

17 IBM Security

IBM BigFixFIND IT. FIX IT. SECURE IT… FAST

Compliance Lifecycle Inventory Patch

Continuous policy enforcement and

reporting

Software patching, distribution and

provisioning

Audit authorized and unauthorized

software

Automated patching with high first pass success

• Query• Patch management• Security configuration

management• Vulnerability assessment• Compliance analytics• Third-party anti-virus

management• Self quarantine• Add-on: PCI DSS

• Asset discovery• Patch management• Software distribution• Query• Advance patching• Remote control• OS deployment• Power management• Sequenced Task

Automation

• Software / hardware inventory

• Software usage reporting

• Software catalogue correlation

• ISO 19770 software tagging

• OS patching• Third-party application

patching• Offline patching

IBM BigFix

Detect

EDR

• Asset discovery• Detect• Investigate• Response• Query• Patch management• Software distribution

18 IBM Security

19 IBM Security

IBM BigFix Unified Platform

IBM BigFix Server

DATA CENTER

DMZ

INTERNETWAN

Remote Offices

Satellite

Cable/DSL

T1

56K

ISDN 3G/4G

PC’s

, Lap

tops

, Se

rver

s, P

OS,

Mob

ile*

–Vi

rtual

/Phy

sica

l

BigFix Content Delivery

Wi-Fi

Wi-Fi

Cable/DSL

Central Office

Remote Workers

1 агент 1 консоль 1 сервер

20 IBM Security

Поддерживаемые платформы и возможности

InternetExplorer

Windows Desktop (XP, Vista, 7, 8, 10)

Windows Server (2003, 2008, 2012)

AIX 5.x, 6.1, 7.1Solaris 8, 9,,10, 11,

HPUX 11.x

Apple OS X 10.x

RHEL 3, 4, 5, 6, 7,SuSE 9,10,11,

OEL 6, 7

IBM DB2, Oracle DB, MS SQL, MS IIS

Управление паролями

Управление процессами

Безопасность файлов и доступа

Unix/Linux

Управление Firewall

Windows: работа с реестром и пр.

Аудит

Проверки соединений

Более 50 операционных систем, ещё больше приложений и чеклистов

Более 11,500 контролей из CIS, PCI DSS, DISA STIG, USGCG

21 IBM Security

Инвентаризация, патчи, установка ПОПоискиклассификация

– ПК– Ноутбуки– Сервера– Банкоматы– POSтерминалы

Патчи иПО– Установкапатчей зачасы,аненедели

– Отчетностьврежимереальноговремени

– Автоматизацияпроцессов– Контрольсостоянияагентом

22 IBM Security

Управление уязвимостями

23 IBM Security

Управление антивирусами

üСостояние агента

üОбновления

üПоследние проверки

24 IBM Security

Контроль соответствия

Постоянный контроль

Время

Соо

твет

стви

е

RISK

25 IBM Security

Изоляция рабочей станции на основании данных о проверке

Relay

SmartScan Server(s)

Fail-Over

BigFix Compliance Console

Endpoints

Non-compliant Endpoint

- Автоматическаяпроверка

- Карантин- Доступкмашинедля

восстановления

26 IBM Security

BigFix Compliance PCI Add-on

Проверка на соответствие PCI DSS 3.2:

üБольшинство технологических требований

üПостоянный мониторинг и исправления

üОтчеты

üДинамика

Более 2,500 проверок

27 IBM Security

BigFix Query – получение любой информации

Редактор

Стандартные

*TheInformationregardingpotentialfutureproductsisintendedtooutlineourgeneralproductdirectionanditshouldnotbereliedoninmakingapurchasingdecision.Theinformationmentionedregardingpotentialfutureproductsisnotacommitment,promise,orlegalobligationtodeliveranymaterial,codeorfunctionality.Informationaboutpotentialfutureproductsmaynotbeincorporatedintoanycontract.Thedevelopment,release,andtimingofanyfuturefeaturesorfunctionalitydescribedforourproductsremainsatoursolediscretion.SubjecttoIBMNDA

Пользовательские

28 IBM Security

Инвентаризация и сбор данных

Исправление. Карантин.

Применение политик

Приоритизацияуязвимостей

• Анализ данных на Qradar

• Наполнение базы Qradar• Активные действия из Qradar

IBM BigFixIBM BigFix

IBM BigFix

• Обновление и насыщение базы

BigFix и QRadar для автоматизации процесса реагирования

29 IBM Security

BigFix Compliance + QRadar

BigFix Complianc

e

QRadarVuln Mgr

QRadarRisk Mgr

BigFix +QRadar

Мониторинг соответствия ü

Endpoint

üNetwork

üüКарантин и исправление ü ü

Управление уязвимостями ü

Real-time Windows

üHeterogeneous scan

üüReal-time updates

Инвентаризация ü ü üü

Приоритеты üCVSS

üCorrelated threat

üüReal-time updates

Управление процессом üü

Vulnerabilities Will Be Exploited!

Быстрое обнаружение и

устранение проблемы

30 IBM Security

Endpoint Detection and Response

Gartner о EDR:• Detect • Contain• Investigate

• Remediate

Сигнатуры IoC Аналитика и обнаружение аномалий

31 IBM Security

IBM BigFix Detect

• Инвентаризация

• Обнаружение атак

• Расследование

• План действий

• Изоляция

• Зона риска

SEEClearly

UNDERSTANDCompletely

ACTPrecisely

MANAGEREMEDIATEINVESTIGATEDETECTDISCOVER

IBM BigFix Detect

EDR-Only Tools

32 IBM Security

АрхитектураBigFix Detect

BigFix Detect Cloud

On PremiseServer / Relay

Remediation ActionsAlerts

Detect Logic Detect Logic

Alerts

Forensic Data Stream

Analyst Console

Endpoints

- Обнаружение - Блокировка

- Расследование- Исправление и локализация атаки – Query +

Patch

8.4

CFCADC2085FBACDCFC1219CBCFACDC2542B

ADEFCBC245FA

ms-office-cve20167298-code-exec

BigFix Detect