Платформа кибербезопасности NuixАбсолютная внимательность. Мгновенная реакция.

Март 2015

• Количество инцидентов информационной безопасности растет угрожающими темпами

• Системы предотвращения вторжений (IPS) более не являются 100-процентной гарантией безопасности

• Активное взаимодействие и обмен информацией способствуют расследованию инцидентов

• Мгновенная реакция на инциденты позволяет:– Уменьшить время от вторжения до выявления – Минимизировать время от выявления до реакции на инцидент– Минимизировать время от реакции на инцидент до его ликвидации

• Данный подход меняет структуру служб информационной безопасности и схему распределения затрат

Скорость, масштабируемость, простотаРабота с множеством источников данныхЦентрализованная реакция на инцидентыКорректировка расследованияЗащита конфиденциальной информацииУлучшенный анализ вредоносных программ

Пользователи NUIX

Пользователи NUIX

ВЗЛОМЫ, ГОСУДАРСТВЕННЫЕ АТАКИ, ОТКАЗ В ОБСЛУЖИВАНИИ

ПРИЛОЖЕНИЯ

БЕЗОПАСНОСТЬ ПЕРИМЕТРА

СЕРВЕРА СЕТИ ХРАНЕНИЕ ОКОНЕЧНЫЕ УСТРОЙСТВА

Решение кибербезопасности Nuix

ВЗЛОМЫ, ГОСУДАРСТВЕННЫЕ АТАКИ, ОТКАЗ В ОБСЛУЖИВАНИИ

ПРИЛОЖЕНИЯ

БЕЗОПАСНОСТЬ ПЕРИМЕТРА

СЕРВЕРА СЕТИ ХРАНЕНИЕ ОКОНЕЧНЫЕ УСТРОЙСТВА

РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ПРИЛОЖЕНИЯ СЕРВЕРА СЕТИ ХРАНЕНИЕ ОКОНЕЧНЫЕ УСТРОЙСТВА

РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Дело NUIX

РЕАКЦИЯ НА ИНЦИДЕНТ NUIX

РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Дело NUIX

РЕАКЦИЯ НА ИНЦИДЕНТ NUIX

Дело NUIX

РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

• Скорость– Nuix обладает непревзойденной скоростью сканирования и индексирования контента, которая в 10-50 раз выше,

чем у конкурентных продуктов, установленных на аналогичном аппаратном обеспечении, за счет использования собственного отказоустойчивого, распределяемого модуля индексирования

• Масштабируемость– Модуль Nuix легко масштабируется до возможности обработки десятков терабайт данных в едином деле и

способности проводить поиски в любом количестве баз данных любого масштаба (потенциально до петабайт).

• Поддержка больших объемов информации– Извлечение текста и метаданных из файлов более чем 100 типов – от электронной почты различных типов до

криминалистических артефактов, журнальных файлов, файлов реестра и т.д.

• Простота– Решение Nuix очень просто в установке и может быть запущено в использование за считанные минуты, что дает

возможность реагировать максимально быстро

• Интернациональность– Решение NUIX создавалось как многоязычное с первого дня – имеется поддержка китайского, японского,

арабского, португальского, русского интерфейса и полная совместимость с Unicode...

Извлечение текста и метаданных из более чем 100 типов файлов

Электронная почта и файлы Специальные типы файлов: Иные источники данных.

Microsoft:• EDB,STM, EWS (Microsoft Exchange) •PST,OST (файлы-хранилища Microsoft Outlook) •MSG (электронные письма Microsoft Outlook)

Lotus:•NSF (Lotus Notes / Domino)

Misc. Other:•MBOX, DBX, MBX (Microsoft Outlook Express) • EML, EMLX, BOX, SML•Webmail – реконструкция HTML из кэша

браузера

Документы различных типов:•HTML , Простой текст, RTF, PDF •DOCX, DOC, DOT (Microsoft Word) •XLSX, XLS,XLT (Microsoft Excel) •PPTX, PPT,POT,PPS (Microsoft PowerPoint) •WKS,XLR (электронные таблицы Microsoft Works)

Изображения различных типов:•PNG, JPEG, JP2, TIFF, GIF, BMP, PBM, PPM, PGM, RAW,

WBMP, WMF, WMZ, EMF, EMZ•Встроенное оптическое распознавание (OCR)

Криминалистические файлы-образы:• Образы Encase (E01, L01)• Access Data (AD1)• Файлы Linux DD• Образы мобильных устройств (Cellebrite..)

Журнальные файлы:• Windows Event Logs (EVT/EVTX)• Web Logs (IIS, Apache, FTP)

Сетевой трафик:• Файлы PCAP

Системные файлы:• EXE/DLLs• LNK Files• Реестр WindowsАртефакты файловой системы:• $LogFile, $UserJrml, Object ID• Файловые «зазоры»• Удаленные, нераспределенные области

Структурированная информация:• MS SQL (Строки из MDF/LDF)• SQLLite

Артефакты веб-браузеров:• IE, Safari, Chrome, Firefox

Файлы контейнерного типа:• ZIP, RAR, LZH, LHA, ARC, TAR, GZ, BZ2, ISO

Образы виртуальных машин• VDK, VMDK (образы виртуальных машин)• Parallels

Системы архивирования и СХД• EMC EmailXtender (*.emx)/Источники• Symantec 2007, 8, 9, 10• HP EAS

DMS системы:• MS SharePoint

Файлы неизвестных типов:• Из неизвестных файлов извлекаются

текстовые строки.

Доказательства вторжения

Анализ журнальных файлов

Автоматическое декодирование обфусцированных данных

Хронология распространения ВПО

Анализ системных файлов

Аггрегация результатов поиска

Извлечение именованных объектов

Извлечение и поведенческий анализ

Исследование вредоносного программного обеспечение

Использование сигнатур Yara для выявления вредоносного ПО

Выводы

• Взломщики становятся боле агрессивными и атаки усложняются – их количество возрастает

• Простое представление данных более не эффективно• Nuix добавляет новые виды трансляции данных• Современные условия требуют иного подхода к расследованию

инцидентов

“Агрессивный, интеллектуальный враг должен встречать современное, интеллектуальное, развивающуюся систему обеспечения безопасности.”

FIND OUT MORE:

blog.nuix.com

facebook.com/nuixsoftware

linkedin.com/company/nuix

twitter.com/nuix

youtube.com/nuixsoftware

БЛАГОДАРИМ ЗА ВНИМАНИЕ!

ЗАО “ЭСТЕР Солюшнс”125190, г. Москва, Ленинградский проспект, 80 корп.16

Тел.: (495) 991-80-89, (495) 983-35-50 www.estersolutions.ru