Upload
andrew-paymushkin
View
140
Download
3
Embed Size (px)
Citation preview
Платформа кибербезопасности NuixАбсолютная внимательность. Мгновенная реакция.
Март 2015
• Количество инцидентов информационной безопасности растет угрожающими темпами
• Системы предотвращения вторжений (IPS) более не являются 100-процентной гарантией безопасности
• Активное взаимодействие и обмен информацией способствуют расследованию инцидентов
• Мгновенная реакция на инциденты позволяет:– Уменьшить время от вторжения до выявления – Минимизировать время от выявления до реакции на инцидент– Минимизировать время от реакции на инцидент до его ликвидации
• Данный подход меняет структуру служб информационной безопасности и схему распределения затрат
Скорость, масштабируемость, простотаРабота с множеством источников данныхЦентрализованная реакция на инцидентыКорректировка расследованияЗащита конфиденциальной информацииУлучшенный анализ вредоносных программ
Пользователи NUIX
Пользователи NUIX
ВЗЛОМЫ, ГОСУДАРСТВЕННЫЕ АТАКИ, ОТКАЗ В ОБСЛУЖИВАНИИ
ПРИЛОЖЕНИЯ
БЕЗОПАСНОСТЬ ПЕРИМЕТРА
СЕРВЕРА СЕТИ ХРАНЕНИЕ ОКОНЕЧНЫЕ УСТРОЙСТВА
Решение кибербезопасности Nuix
ВЗЛОМЫ, ГОСУДАРСТВЕННЫЕ АТАКИ, ОТКАЗ В ОБСЛУЖИВАНИИ
ПРИЛОЖЕНИЯ
БЕЗОПАСНОСТЬ ПЕРИМЕТРА
СЕРВЕРА СЕТИ ХРАНЕНИЕ ОКОНЕЧНЫЕ УСТРОЙСТВА
РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИЛОЖЕНИЯ СЕРВЕРА СЕТИ ХРАНЕНИЕ ОКОНЕЧНЫЕ УСТРОЙСТВА
РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Дело NUIX
РЕАКЦИЯ НА ИНЦИДЕНТ NUIX
РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Дело NUIX
РЕАКЦИЯ НА ИНЦИДЕНТ NUIX
Дело NUIX
РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РЕШЕНИЕ NUIX ДЛЯ КОМПЛЕКСНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
• Скорость– Nuix обладает непревзойденной скоростью сканирования и индексирования контента, которая в 10-50 раз выше,
чем у конкурентных продуктов, установленных на аналогичном аппаратном обеспечении, за счет использования собственного отказоустойчивого, распределяемого модуля индексирования
• Масштабируемость– Модуль Nuix легко масштабируется до возможности обработки десятков терабайт данных в едином деле и
способности проводить поиски в любом количестве баз данных любого масштаба (потенциально до петабайт).
• Поддержка больших объемов информации– Извлечение текста и метаданных из файлов более чем 100 типов – от электронной почты различных типов до
криминалистических артефактов, журнальных файлов, файлов реестра и т.д.
• Простота– Решение Nuix очень просто в установке и может быть запущено в использование за считанные минуты, что дает
возможность реагировать максимально быстро
• Интернациональность– Решение NUIX создавалось как многоязычное с первого дня – имеется поддержка китайского, японского,
арабского, португальского, русского интерфейса и полная совместимость с Unicode...
Извлечение текста и метаданных из более чем 100 типов файлов
Электронная почта и файлы Специальные типы файлов: Иные источники данных.
Microsoft:• EDB,STM, EWS (Microsoft Exchange) •PST,OST (файлы-хранилища Microsoft Outlook) •MSG (электронные письма Microsoft Outlook)
Lotus:•NSF (Lotus Notes / Domino)
Misc. Other:•MBOX, DBX, MBX (Microsoft Outlook Express) • EML, EMLX, BOX, SML•Webmail – реконструкция HTML из кэша
браузера
Документы различных типов:•HTML , Простой текст, RTF, PDF •DOCX, DOC, DOT (Microsoft Word) •XLSX, XLS,XLT (Microsoft Excel) •PPTX, PPT,POT,PPS (Microsoft PowerPoint) •WKS,XLR (электронные таблицы Microsoft Works)
Изображения различных типов:•PNG, JPEG, JP2, TIFF, GIF, BMP, PBM, PPM, PGM, RAW,
WBMP, WMF, WMZ, EMF, EMZ•Встроенное оптическое распознавание (OCR)
Криминалистические файлы-образы:• Образы Encase (E01, L01)• Access Data (AD1)• Файлы Linux DD• Образы мобильных устройств (Cellebrite..)
Журнальные файлы:• Windows Event Logs (EVT/EVTX)• Web Logs (IIS, Apache, FTP)
Сетевой трафик:• Файлы PCAP
Системные файлы:• EXE/DLLs• LNK Files• Реестр WindowsАртефакты файловой системы:• $LogFile, $UserJrml, Object ID• Файловые «зазоры»• Удаленные, нераспределенные области
Структурированная информация:• MS SQL (Строки из MDF/LDF)• SQLLite
Артефакты веб-браузеров:• IE, Safari, Chrome, Firefox
Файлы контейнерного типа:• ZIP, RAR, LZH, LHA, ARC, TAR, GZ, BZ2, ISO
Образы виртуальных машин• VDK, VMDK (образы виртуальных машин)• Parallels
Системы архивирования и СХД• EMC EmailXtender (*.emx)/Источники• Symantec 2007, 8, 9, 10• HP EAS
DMS системы:• MS SharePoint
Файлы неизвестных типов:• Из неизвестных файлов извлекаются
текстовые строки.
Доказательства вторжения
Анализ журнальных файлов
Автоматическое декодирование обфусцированных данных
Хронология распространения ВПО
Анализ системных файлов
Аггрегация результатов поиска
Извлечение именованных объектов
Извлечение и поведенческий анализ
Исследование вредоносного программного обеспечение
Использование сигнатур Yara для выявления вредоносного ПО
Выводы
• Взломщики становятся боле агрессивными и атаки усложняются – их количество возрастает
• Простое представление данных более не эффективно• Nuix добавляет новые виды трансляции данных• Современные условия требуют иного подхода к расследованию
инцидентов
“Агрессивный, интеллектуальный враг должен встречать современное, интеллектуальное, развивающуюся систему обеспечения безопасности.”
FIND OUT MORE:
blog.nuix.com
facebook.com/nuixsoftware
linkedin.com/company/nuix
twitter.com/nuix
youtube.com/nuixsoftware
БЛАГОДАРИМ ЗА ВНИМАНИЕ!
ЗАО “ЭСТЕР Солюшнс”125190, г. Москва, Ленинградский проспект, 80 корп.16
Тел.: (495) 991-80-89, (495) 983-35-50 www.estersolutions.ru