пр про soc для ФСТЭК
TRANSCRIPT
![Page 1: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/1.jpg)
Этапыпостроенияцентрамониторингаиреагирования
наинцидентыИБ
ПрозоровАндрей,CISMРуководительэкспертногонаправления
КомпанияSolarSecurity
Мойблог: 80na20.blogspot.comМойтвиттер:twitter.com/3dwave
2017-02
![Page 2: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/2.jpg)
I. НемноговводнойинформациипроSOCII. SOCпоФСТЭКРоссииIII. Рекомендациипропостроение
центрамониторингаиреагированиянаинцидентыИБ
2
Очемэтапрезентация?
![Page 3: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/3.jpg)
Мониторинг: Систематическое или непрерывноенаблюдение за объектом с обеспечением контроля и/илиизмерения его параметров, а также проведение анализа сцелью предсказания изменчивости параметров и принятиярешения о необходимости и составе корректирующих ипредупреждающих действий.
3
Базовыйтермин
ГОСТР53114-2008«Защитаинформации.Обеспечениеинформационнойбезопасностиворганизации.Основныетерминыиопределения»
I
![Page 4: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/4.jpg)
4
• ИзмерениеИБ(общее)
• …
• Анализугрозирисков• АнализуязвимостейИС• Анализкодаприложений• Анализправдоступа• УправлениесобытиямиИБ• Тестированиенапроникновение
• Контрольустраненияранеевыявленныхуязвимостей
• Контрольвыполнениятребований(тех.аудит)
• …
• АдминистрированиеСЗИ
• Обучениеиповышениеосведомленности
• Управлениеинцидентами
• …
Мониторинг SOC
![Page 5: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/5.jpg)
5
ОтчетыпоинцидентамИБ
http://solarsecurity.ru/analytics/reports/
![Page 6: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/6.jpg)
6
![Page 7: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/7.jpg)
• ИспользованиеTORнахосте(нарушениеправилработыиливредоносноеПО)• Проблемысучетнымизаписями(критичныепривилегииигруппы,
кратковременноепревышение привилегий,созданиевовнерабочее времяипр.)• Обнаружение невылеченных вредоносных объектов на рабочих станциях• Модификация критичных веток реестра• Большоеколичествообнаруженныхиневылеченныхобъектовкатегорииnot-a-
virus(могут«докачивать»исполняемыефайлы)• ОбнаружениеиндикаторовкомпрометацииThreatIntelligence• Использованиесредствудаленногоадминистрирования (teamviewer,ammyy
admin)• Успешныепопыткиподключенияизразличныхстранвкорпоративнуюсеть• Подозрительнаяактивностьвночноевремя,выходныеипраздники• Значительныеобъемытрафиканаразличныеоблачныехранилищаисторонние
почтовыесерверы• Очисткажурналоваудита• …
7
Типовыеинциденты* (ежедневно)
*ИзотчетовпоинцидентамИБ,выявленнымSolarJSOC, ворганахгос.властиигос.компаниях
![Page 8: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/8.jpg)
ДляИБважносвоевременно:• обнаруживать«слабости»ИБ• обнаруживатьинциденты ИБ• реагировать наних
8
![Page 9: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/9.jpg)
9
Решение- SOC
Технологии
Процессы
Люди
• 1ялиния(обнаружение)• 2ялиния(расследованиеиреагирование)• 3ялиния(экспертнаяподдержка,
руководство,юр.вопросы)
Технологии,обеспечивающие:• Взаимодействиеперсонала• ИнвентаризациюИСиконтроль
конфигурации• Выявлениеуязвимостей• АнализсобытийИБ• Учетиобработку инцидентов• Управлениязнаниями
• Анализкода(прикладноеПО,вредоносноеПО)
• Сборцифровыхдоказательств
• СЗИ(МСЭ,IPS,DLP,Sandbox, ипр.)
• …
• Инвентаризация• Анализугроз/рисков• Выявлениеуязвимостей• Тестированиенапроникновение• Контрольустраненияранее
выявленныхуязвимостей• Контрольвыполнениятребований(аудит)• Анализкодаприложений• Обучениеиповышениеосведомленности• УправлениесобытиямиИБ• Управлениеинцидентами• ...
![Page 10: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/10.jpg)
10
ПроцессобнаруженияиреагированиянаинцидентыИБ
![Page 11: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/11.jpg)
SOCвПриказ17/21/31
V.Регистрациясобытийбезопасности(РСБ)
VII.Обнаружениевторжений(СОВ)
XIV.Обеспечениебезопаснойразработки
прикладного(специального)ПОразработчиком(ОБР)
XVIII. Информированиеиобучениеперсонала(ИПО)
XIX.Анализугрозбезопасностиинформацииирисковотихреализации
(УБИ)
VIII.Контроль(анализ)защищенности
информации(АНЗ)
XX.Выявлениеинцидентовиреагированиенаних
(ИНЦ)
XXI.Управлениеконфигурацией
автоматизированнойсистемыуправленияиеесистемызащиты(УКФ)
II
![Page 12: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/12.jpg)
ПП РФ N 79 «О лицензировании деятельностипо технической защите конфиденциальнойинформации» (с 17.06.2017):4. При осуществлении лицензируемого видадеятельности лицензированию подлежат:в) услуги по мониторингу информационнойбезопасности средств и систем информатизации.
По сути, это новый вид лицензируемойдеятельности…
12
ЛицензиянаТЗКИ
![Page 13: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/13.jpg)
13
ОборудованиеSOC(поФСТЭК)• Программноесредствоконтроля
целостностипрограммипрограммныхкомплексов
• Системаконтроля(анализа)защищенностиИС
• Средства,предназначенныедляосуществлениятестированиянапроникновение
• Межсетевойэкрануровнявеб-сервера• Межсетевойэкрануровнясети• Средство(средства)антивирусной
защиты,предназначенное(предназначенные)дляприменениянасерверахиавтоматизированныхрабочихместахИСисредство(средства)ихцентрализованногоадминистрирования
• Системаобнаружениявторжений• Средствоавтоматизированного
реагированиянаинцидентыИБ• Замкнутаясистема(среда)
предварительноговыполненияпрограмм(обращениякобъектамфайловойсистемы)
• Системауправленияинформациейобугрозахбезопасностиинформации
• Системауправлениясобытиямибезопасностиинформации
• СистемауправленияинцидентамиИБ• Средство(средства)защитыканалов
передачиданных
• Информационнаясистема,предназначеннаядлямониторингаИБ
НеобходимасертификацияСЗИНеобходимовыполнитьтребованияПриказа№17
![Page 14: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/14.jpg)
14
ТиповыепроблемыпостроенияSOC
III
Ресурсные Организационные• Нетбюджета• Неткадров• Отсутствие
методологий(рекомендаций)
• Отсутствиекурсовповышенияквалификации
• …
• Ориентирна«бумажнуюбезопасность»(compliance)
• Слабоевзаимодействиесрегулятором• НизкийуровеньзрелостипроцессовИБ(СЗИ
закуплены,нопрактическинеиспользуются)• Отсутствие поддержкируководства• Надосрочно…• Непонятносчегоначинать• …
![Page 15: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/15.jpg)
• ТипI:Внутренний(собственный)SOC
• ТипII:Общий(ведомственный)SOC
• ТипIII:ВнешнийSOC(аутсорсинг)
15
МоделиSOC
![Page 16: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/16.jpg)
ТипI ТипII ТипIIIПричинавыбора Наличиересурсови
желаниевседелатьсамостоятельно
Требование материнскойкомпании/регулятора
Желаниеоптимизироватьресурсы/ ихнехватка
Затраты CAPEX + OPEX, частьзатратможетбытьскрытым
OPEX (номожетбытьбесплатно), предсказуемые
OPEX,предсказуемые
Кол-воперсонала(Заказчик)
Большоеподразделение(3линииSOC)
1сервис менеджер 1сервис менеджер
Скорость запуска Медленно,надопостроитьSOC
Быстро, надоподключитьуслуги
Быстро, надоподключитьуслуги
Пониманиеконтекста
Высокое Среднее Низкое
Режимработы Обычно8х5 или12х5 Обычно24х7 Обычно24х7
Доступ кИСиСЗИ Внутренний Внешний Внешний
Возможностипореагированиюигибкость
Полные Расширенные Врамках SLA
ЛицензиянаТЗКИ(мониторинг)
Нет Да Да
16
СравнениемоделейSOC
![Page 17: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/17.jpg)
17
ЭтапывнедренияSOC
ТипI ТипII ТипIII
Обоснованиебюджета Обоснованиебюджета Обоснованиебюджета
Инвентаризацияиаудит Выборсервисов Выборпровайдераисервисов
Проектированиерешения Согласованиетребований(SLA) ипланаинтеграции
Согласованиетребований(SLA) ипланаинтеграции
Закупка, внедрение,настройка,обучениеперсонала.Опытная
эксплуатация
Пилотное внедрение Пилотное внедрение
Переводвпромышленнуюэксплуатацию
Переводвпромышленнуюэксплуатацию
Переводвпромышленнуюэксплуатацию
Оценкаипланированиесовершенствования
Оценкаипланированиесовершенствования
Оценкаипланированиесовершенствования
![Page 18: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/18.jpg)
ВажнопониматьпроSOC
• SOC– этолюди,процессыитехнологии• ВажнопониматьцелиизадачиSOC(мониторинг,
реагирование,единыйцентркомпетенцийилидр.)• НевозможносовмещатьпроцессыSOCсдругой
деятельностью• ОсноваSOC– аналитики.Нужныквалифицированныеи
мотивированныекадры!• Начинатьстоитсрежимаработы8х5,нозадатьцелью24х7• Каждыйинцидент– поводдляразвитиясистемыИБ• ВажнообеспечитьвзаимодействиесдругимиSOC / CERT /
Гос.организациями,ответственнымизаИБ.Клуб«SOCвРоссии»- http://soc-club.ru
![Page 19: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/19.jpg)
На следующую неделю• ПеречитайтеПриказ№17 иМетодические рекомендации кнему…• Оцените зрелость процессов, необходимых для SOC
На 3 месяца• Поймите и примите необходимость управления инцидентами и
донесите эту мысль до руководства• Актуализируйте перечень важных информационных ресурсов• Определите уместный тип SOC (I, II, III)• Определите необходимыересурсы (люди, процессы, технологии)• Решите с лицензией на ТЗКИ• Подготовьте верхнеуровневыйплан работ
На год• Запустите процессы: Управление уязвимостями, Управление
событиями ИБ и Управлениеинцидентами
19
Простыерекомендации
![Page 20: пр про SOC для ФСТЭК](https://reader033.vdocuments.site/reader033/viewer/2022050613/58a9a3061a28abc2518b69d1/html5/thumbnails/20.jpg)
Спасибозавнимание!
ПрозоровАндрей,CISM
Мойблог:80na20.blogspot.comМойтвиттер:twitter.com/3dwave
Мояпочта:[email protected]