Москва, 04 октября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, приняла участие в конференции «Безопасность информационных технологий – 2022». Мероприятие прошло 29-30 сентября 2022 года в Санкт-Петербурге.
Конференция БИТ – межотраслевое мероприятие, посвященное вопросам информационной безопасности. Ее организатором выступает Ассоциация руководителей служб информационной безопасности (АРСИБ). В этом году конференция была посвящена информационной безопасности как стратегическому национальному приоритету.
Компанию RuSIEM представил менеджер по работе с ключевыми заказчиками Родион Сапожников, который выступил в практической секции конференции с докладом «Выявление киберугроз и реагирование на инциденты информационной безопасности». Он рассказал участникам о разрабатываемой компанией RuSIEM одноименной системе мониторинга и управления событиями информационной безопасности и привел примеры расследования инцидентов на стороне заказчиков.
Классический кейс: после проникновения в периметр организации злоумышленники зашифровали несколько серверов и потребовали выкуп. В тот же день специалисты RuSIEM подключились к расследованию, развернули SIEM, выявили точки проникновения и зараженные узлы. В течение суток они изолировали сеть и ограничили распространение в ней злоумышленников, сняли бэкапы критичных сервисов, продолжая параллельно переговоры со злоумышленниками с целью выиграть время. Спустя чуть более суток работоспособность серверов была восстановлена, сеть полностью защищена.
Другие примеры расследований инцидентов атака Moon malware;
Конференция БИТ – межотраслевое мероприятие, посвященное вопросам информационной безопасности. Ее организатором выступает Ассоциация руководителей служб информационной безопасности (АРСИБ). В этом году конференция была посвящена информационной безопасности как стратегическому национальному приоритету.
Компанию RuSIEM представил менеджер по работе с ключевыми заказчиками Родион Сапожников, который выступил в практической секции конференции с докладом «Выявление киберугроз и реагирование на инциденты информационной безопасности». Он рассказал участникам о разрабатываемой компанией RuSIEM одноименной системе мониторинга и управления событиями информационной безопасности и привел примеры расследования инцидентов на стороне заказчиков.
Классический кейс: после проникновения в периметр организации злоумышленники зашифровали несколько серверов и потребовали выкуп. В тот же день специалисты RuSIEM подключились к расследованию, развернули SIEM, выявили точки проникновения и зараженные узлы. В течение суток они изолировали сеть и ограничили распространение в ней злоумышленников, сняли бэкапы критичных сервисов, продолжая параллельно переговоры со злоумышленниками с целью выиграть время. Спустя чуть более суток работоспособность серверов была восстановлена, сеть полностью защищена.
Другие примеры расследований инцидентов атака Moon malware;
- активность, связанная со средствами удаленного доступа (TeamViewer и т.п.);
- активность, связанная со средствами удаленного администрирования;
- использование запрещенных средств VPN;
- активность ТОR;
- атака WanaCryptor;
- активность с использованием сетевого сканера;
- обращение к вредоносному IP (база IoC);
- атака на web-сайт (в системе из коробки доступна корреляция, позволяющая отлавливать атаки на web-сайты. В результате на адресе заказчика был обнаружен сканер уязвимостей Nessus).
