RuSIEM рассказала об опыте расследования инцидентов с помощью системы мониторинга и управления событиями ИБ

Москва, 04 октября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в конференции «Безопасность информационных технологий – 2022». Мероприятие прошло 29-30 сентября 2022 года в Санкт-Петербурге.
Конференция БИТ – межотраслевое мероприятие, посвященное вопросам информационной безопасности. Ее организатором выступает Ассоциация руководителей служб информационной безопасности (АРСИБ). В этом году конференция была посвящена информационной безопасности как стратегическому национальному приоритету.
Компанию RuSIEM представил менеджер по работе с ключевыми заказчиками Родион Сапожников, который выступил в практической секции конференции с докладом «Выявление киберугроз и реагирование на инциденты информационной безопасности». Он рассказал участникам о разрабатываемой компанией RuSIEM одноименной системе мониторинга и управления событиями информационной безопасности и привел примеры расследования инцидентов на стороне заказчиков.
Классический кейс: после проникновения в периметр организации злоумышленники зашифровали несколько серверов и потребовали выкуп. В тот же день специалисты RuSIEM подключились к расследованию, развернули SIEM, выявили точки проникновения и зараженные узлы. В течение суток они изолировали сеть и ограничили распространение в ней злоумышленников, сняли бэкапы критичных сервисов, продолжая параллельно переговоры со злоумышленниками с целью выиграть время. Спустя чуть более суток работоспособность серверов была восстановлена, сеть полностью защищена.
Другие примеры расследований инцидентов атака Moon malware;

• активность, связанная со средствами удаленного доступа (TeamViewer и т.п.);
• активность, связанная со средствами удаленного администрирования;
• использование запрещенных средств VPN;
• активность ТОR;
• атака WanaCryptor;
• активность с использованием сетевого сканера;
• обращение к вредоносному IP (база IoC);
• атака на web-сайт (в системе из коробки доступна корреляция, позволяющая отлавливать атаки на web-сайты. В результате на адресе заказчика был обнаружен сканер уязвимостей Nessus).

«Это стандартные возможности, которые RuSIEM реализует в рамках коммерческой версии системы мониторинга и управления событиями ИБ. В этом году мы разработали модуль RuSIEM Analytics, который дополняет AI, DL, управление активами и многие другие функции и позволяет своевременно обнаруживать новые угрозы, решать многие кейсы и визуализировать данные. Его использование существенно повышает эффективность обнаружения атак», - отметил Родион Сапожников.