IBMBigFixFINDIT.FIXIT.SECUREIT.
AndriiKuzmenko
02.03.2017
3 IBM Security
Обычная жизнь обычного CISO
CEO
DEVVP of IT NETWORKCISO
Начинаем работу
4 IBM Security
5 IBM Security
6 IBM Security
Наш первый документ по работе и безопасности ПК
• Наказание за несоответствие требованиям• Управление изменениями
Патчи Конфигурации И т.д.
• Безопасности устройства и данных пароль Screen saver Шифрование Передача данных в безопасном виде
• Защита от угроз Firewall Intrusion Detection System (IDS) Intrusion Prevention System (IPS) Data Loss Prevention (DLP)
7 IBM Security
Для начала очень даже неплохо получилось
• Мы знаем лучшие практики
• Мы написали политики• У нас есть инструменты
• Теперь кто-то должен всё сделать и проверить
• И каков результат? CISOИсполнитель
8 IBM Security
9 IBM Security
Случайно
Ошибка конфигурации
Взлом
Инсайдер
Утечка
Кража компьютера
Кража носителя
Отсутствие контролей
VP of Security Research, Gartner, 2016
The endpoint is where all attack vectors rejoin to execute…The endpoint is the center of the malware universe.
MARIO DE BOER
11 IBM Security
1 CSIS: Raising the Bar for Cybersecurity
2 Verizon: Data Breach Investigation Report 2015
3 IBM: X-Force Threat Intelligence Report 2016
4 Fedscoop.com NSA : no zero days (…) -September 2016
75% используют известные уязвимости.1
99.9% были эксплуатированы более, чем через год после публикации CVE.2
Для обнаружения APT атаки нужно 256 дней.3
“За последние 24-е месяца в известных инцидентах не был использован ни один zero day” 4
99.9% были эксплуатированы более, чем через год после публикацииCVE.2
2 Verizon: Data Breach Investigation Report 2015
Вместо своевременного устранения
тратим 256 дней.3
3 IBM: X-Force Threat Intelligence Report 2016
Атаки обходятся относительно
НЕДОРОГО
13 IBM Security
Наша задача – сделать атаки дороже
• Постоянный контроль за ПК• Теперь им придётся использоваться Zero day
эксплойты• Вы становитесь менее привлекательными• Продавцы Zero day опять начнут нормально
зарабатывать
=+
14 IBM Security
Закрыть парадную дверь при наличии полного контроля легко
• Лучшие практики
• Управление уязвимостями и патчами
• Мониторинг антивирусного ПО
• Каталог ПО и его инсталляция
• Каталог разрешенного ПО
• Мониторинг железа
• Обнаружение аномалий
• Мониторинг и исправление несоответствий
15 IBM Security
Можно было бы остановить подобную атаку
Уязвимое рабочее место 35 orders worth $951Mmade via SWIFT systemfrom NY Fed USD Account
Уязвимый SWIFT Transaction Server
16 IBM Security
IBM BigFix®
FIND IT. FIX IT. SECURE IT…FAST
МониторингОбнаружение и
исправление уязвимостейДО атаки
БезопасностьЗащита от современных
атак
РеакцияКарантин и
восстановление для скомпрометированных
хостов
ENDPOINT SECURITY
ИНТЕГРАЦИЯ
17 IBM Security
IBM BigFixFIND IT. FIX IT. SECURE IT… FAST
Compliance Lifecycle Inventory Patch
Continuous policy enforcement and
reporting
Software patching, distribution and
provisioning
Audit authorized and unauthorized
software
Automated patching with high first pass success
• Query• Patch management• Security configuration
management• Vulnerability assessment• Compliance analytics• Third-party anti-virus
management• Self quarantine• Add-on: PCI DSS
• Asset discovery• Patch management• Software distribution• Query• Advance patching• Remote control• OS deployment• Power management• Sequenced Task
Automation
• Software / hardware inventory
• Software usage reporting
• Software catalogue correlation
• ISO 19770 software tagging
• OS patching• Third-party application
patching• Offline patching
IBM BigFix
Detect
EDR
• Asset discovery• Detect• Investigate• Response• Query• Patch management• Software distribution
18 IBM Security
19 IBM Security
IBM BigFix Unified Platform
IBM BigFix Server
DATA CENTER
DMZ
INTERNETWAN
Remote Offices
Satellite
Cable/DSL
T1
56K
ISDN 3G/4G
PC’s
, Lap
tops
, Se
rver
s, P
OS,
Mob
ile*
–Vi
rtual
/Phy
sica
l
BigFix Content Delivery
Wi-Fi
Wi-Fi
Cable/DSL
Central Office
Remote Workers
1 агент 1 консоль 1 сервер
20 IBM Security
Поддерживаемые платформы и возможности
InternetExplorer
Windows Desktop (XP, Vista, 7, 8, 10)
Windows Server (2003, 2008, 2012)
AIX 5.x, 6.1, 7.1Solaris 8, 9,,10, 11,
HPUX 11.x
Apple OS X 10.x
RHEL 3, 4, 5, 6, 7,SuSE 9,10,11,
OEL 6, 7
IBM DB2, Oracle DB, MS SQL, MS IIS
Управление паролями
Управление процессами
Безопасность файлов и доступа
Unix/Linux
Управление Firewall
Windows: работа с реестром и пр.
Аудит
Проверки соединений
Более 50 операционных систем, ещё больше приложений и чеклистов
Более 11,500 контролей из CIS, PCI DSS, DISA STIG, USGCG
21 IBM Security
Инвентаризация, патчи, установка ПОПоискиклассификация
– ПК– Ноутбуки– Сервера– Банкоматы– POSтерминалы
Патчи иПО– Установкапатчей зачасы,аненедели
– Отчетностьврежимереальноговремени
– Автоматизацияпроцессов– Контрольсостоянияагентом
22 IBM Security
Управление уязвимостями
23 IBM Security
Управление антивирусами
üСостояние агента
üОбновления
üПоследние проверки
24 IBM Security
Контроль соответствия
Постоянный контроль
Время
Соо
твет
стви
е
RISK
25 IBM Security
Изоляция рабочей станции на основании данных о проверке
Relay
SmartScan Server(s)
Fail-Over
BigFix Compliance Console
Endpoints
Non-compliant Endpoint
- Автоматическаяпроверка
- Карантин- Доступкмашинедля
восстановления
26 IBM Security
BigFix Compliance PCI Add-on
Проверка на соответствие PCI DSS 3.2:
üБольшинство технологических требований
üПостоянный мониторинг и исправления
üОтчеты
üДинамика
Более 2,500 проверок
27 IBM Security
BigFix Query – получение любой информации
Редактор
Стандартные
*TheInformationregardingpotentialfutureproductsisintendedtooutlineourgeneralproductdirectionanditshouldnotbereliedoninmakingapurchasingdecision.Theinformationmentionedregardingpotentialfutureproductsisnotacommitment,promise,orlegalobligationtodeliveranymaterial,codeorfunctionality.Informationaboutpotentialfutureproductsmaynotbeincorporatedintoanycontract.Thedevelopment,release,andtimingofanyfuturefeaturesorfunctionalitydescribedforourproductsremainsatoursolediscretion.SubjecttoIBMNDA
Пользовательские
28 IBM Security
Инвентаризация и сбор данных
Исправление. Карантин.
Применение политик
Приоритизацияуязвимостей
• Анализ данных на Qradar
• Наполнение базы Qradar• Активные действия из Qradar
IBM BigFixIBM BigFix
IBM BigFix
• Обновление и насыщение базы
BigFix и QRadar для автоматизации процесса реагирования
29 IBM Security
BigFix Compliance + QRadar
BigFix Complianc
e
QRadarVuln Mgr
QRadarRisk Mgr
BigFix +QRadar
Мониторинг соответствия ü
Endpoint
üNetwork
üüКарантин и исправление ü ü
Управление уязвимостями ü
Real-time Windows
üHeterogeneous scan
üüReal-time updates
Инвентаризация ü ü üü
Приоритеты üCVSS
üCorrelated threat
üüReal-time updates
Управление процессом üü
Vulnerabilities Will Be Exploited!
Быстрое обнаружение и
устранение проблемы
30 IBM Security
Endpoint Detection and Response
Gartner о EDR:• Detect • Contain• Investigate
• Remediate
Сигнатуры IoC Аналитика и обнаружение аномалий
31 IBM Security
IBM BigFix Detect
• Инвентаризация
• Обнаружение атак
• Расследование
• План действий
• Изоляция
• Зона риска
SEEClearly
UNDERSTANDCompletely
ACTPrecisely
MANAGEREMEDIATEINVESTIGATEDETECTDISCOVER
IBM BigFix Detect
EDR-Only Tools
32 IBM Security
АрхитектураBigFix Detect
BigFix Detect Cloud
On PremiseServer / Relay
Remediation ActionsAlerts
Detect Logic Detect Logic
Alerts
Forensic Data Stream
Analyst Console
Endpoints
- Обнаружение - Блокировка
- Расследование- Исправление и локализация атаки – Query +
Patch
8.4
CFCADC2085FBACDCFC1219CBCFACDC2542B
ADEFCBC245FA
ms-office-cve20167298-code-exec
BigFix Detect