RuSIEM рассказала об опыте расследования инцидентов с помощью системы мониторинга и управления событиями ИБ
04.10.2022

RuSIEM рассказала об опыте расследования инцидентов с помощью системы мониторинга и управления событиями ИБ

Помимо примеров расследований, эксперт компании RuSIEM рассказал о новом модуле аналитики.

Москва, 04 октября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в конференции «Безопасность информационных технологий – 2022». Мероприятие прошло 29-30 сентября 2022 года в Санкт-Петербурге.

Конференция БИТ – межотраслевое мероприятие, посвященное вопросам информационной безопасности. Ее организатором выступает Ассоциация руководителей служб информационной безопасности (АРСИБ). В этом году конференция была посвящена информационной безопасности как стратегическому национальному приоритету.

Компанию RuSIEM представил менеджер по работе с ключевыми заказчиками Родион Сапожников, который выступил в практической секции конференции с докладом «Выявление киберугроз и реагирование на инциденты информационной безопасности». Он рассказал участникам о разрабатываемой компанией RuSIEM одноименной системе мониторинга и управления событиями информационной безопасности и привел примеры расследования инцидентов на стороне заказчиков.

Классический кейс: после проникновения в периметр организации злоумышленники зашифровали несколько серверов и потребовали выкуп. В тот же день специалисты RuSIEM подключились к расследованию, развернули SIEM, выявили точки проникновения и зараженные узлы. В течение суток они изолировали сеть и ограничили распространение в ней злоумышленников, сняли бэкапы критичных сервисов, продолжая параллельно переговоры со злоумышленниками с целью выиграть время. Спустя чуть более суток работоспособность серверов была восстановлена, сеть полностью защищена.

Другие примеры расследований инцидентов атака Moon malware;

  • активность, связанная со средствами удаленного доступа (TeamViewer и т.п.);
  • активность, связанная со средствами удаленного администрирования;
  • использование запрещенных средств VPN;
  • активность ТОR;
  • атака WanaCryptor;
  • активность с использованием сетевого сканера;
  • обращение к вредоносному IP (база IoC);
  • атака на web-сайт (в системе из коробки доступна корреляция, позволяющая отлавливать атаки на web-сайты. В результате на адресе заказчика был обнаружен сканер уязвимостей Nessus).

«Это стандартные возможности, которые RuSIEM реализует в рамках коммерческой версии системы мониторинга и управления событиями ИБ. В этом году мы разработали модуль RuSIEM Analytics, который дополняет AI, DL, управление активами и многие другие функции и позволяет своевременно обнаруживать новые угрозы, решать многие кейсы и визуализировать данные. Его использование существенно повышает эффективность обнаружения атак», - отметил Родион Сапожников

Другие новости

Подпишись на новости компании RuSIEM и будь в курсе последних обновлений продукта

Подписаться