5.про soc от jet

Андрей Янкин,

руководитель отдела консалтинга ИБ

SOC: от идеи к результату

© 2015 Инфосистемы Джет Больше чем безопасность

2

Security Operation Center

SOC (Security Operation Center) – это команда, организованная для обнаружения, анализа, реагирования, уведомления и предотвращения инцидентов информационной безопасности.

Эффективный SOC = персонал + процессы + технические инструменты.


3

SOC: функции

Об

раб

отка

да

нн

ых

в

ре

ал

ьн

ом

в

рем

ен

и

Колцентр

Мониторинг и разбор

данных в режиме

реального времени

Ра

бо

та

с в

не

шн

им

и

исто

чн

икам

и

ин

фо

рм

ац

ии

, с

тр

атеги

че

ско

е

пл

ан

ир

ов

ан

ие

Сбор внешних данных и их анализ

Распространение информации из

внешних источников

Подготовка материалов для

внешнего распространения

Обогащение правил SOC на основе

внешних данных

Стратегическое планирование

Оценка угроз

Ан

ал

из и

р

еа

гир

ов

ан

ие

на

ин

ци

де

нты

Анализ инцидентов

Слежка за нарушителем

Координация реагирования на

инциденты

Внедрение контрмер

Работы по реагированию на

инцидент на пострадавшей

площадке

Удаленное реагирование на

инцидент

Ан

ал

из ц

иф

ро

вы

х

об

ра

зц

ов

Сбор цифровых образцов

Анализ вредоносного

кода

Анализ прочих

цифровых образцов

Об

ес

печ

ен

ие

р

аб

ото

сп

ос

об

но

ст

и и

нс

тр

ум

ен

то

в

SO

C

Поддержка работы граничных систем

сетевой безопасности

Поддержка работы инфраструктуры

SOC

Поддержка работы сенсоров

Создание собственных правил

и сигнатур

Подбор и внедрение решений,

использующихся в работе SOC

Разработка решений, использующихся в

работе SOC

Ауд

ит и

о

тс

леж

ив

ан

ие

в

нутр

ен

ни

х у

гро

з

Сбор и хранение данных аудита

Управление и обработка

данных аудита

Поддержка при работе с внутренними

угрозами

Расследование случаев внутренних нарушений

Скан

ир

ов

ан

ие

и

оц

ен

ка

за

щи

ще

нн

ос

ти

Создание и актуализация

карт сети

Сканирование

уязвимостей

Оценка защищенност

и

Тестирование на

проникновение

Пр

оч

ее

Оценка средств защиты

Консультирование по вопросам

информационной безопасности

Повышение осведомленности

Оперативное информирование

Распространение наработок

Взаимодействие с общественностью и

СМИ


4

SOC: использование инструмента SIEM

Об

раб

отка

да

нн

ых

в

ре

ал

ьн

ом

в

рем

ен

и

Колцентр




Ра

бо

та

с в

не

шн

им

и

исто

чн

икам

и

ин

фо

рм

ац

ии

, с

тр

атеги

че

ско

е

пл

ан

ир

ов

ан

ие










Ан

ал

из и

р

еа

гир

ов

ан

ие

на

ин

ци

де

нты




инциденты




площадке


инцидент

Ан

ал

из ц

иф

ро

вы

х

об

ра

зц

ов



кода

Анализ цифровых образцов

Об

ес

печ

ен

ие

р

аб

ото

сп

ос

об

но

ст

и и

нс

тр

ум

ен

то

в

SO

C




SOC



и сигнатур




работе SOC

Ауд

ит и

о

тс

леж

ив

ан

ие

в

нутр

ен

ни

х у

гро

з





угрозами


Скан

ир

ов

ан

ие

и

оц

ен

ка

за

щи

ще

нн

ос

ти


карт сети




и



Пр

оч

ее








СМИ


5

Ядровые домены

SOC

Мониторинг и анализ данных ИТ-систем

Сбор данных от пользователей

Расследование и реагирование на инциденты



6

Outsource VS Insource

Параметр

Outsource

Insource

Контроль

Настройка под себя

Скорость развертывания

Стоимость

Полный

Полностью

До 2 лет

Дешевле через 3-5 лет

???

Частичный

Стандартные сервисы

2 месяца

Дешевле на старте, OPEX

Предсказуемое

Качество


7

Типовой outsource

Об

раб

отка

да

нн

ых

в

ре

ал

ьн

ом

в

рем

ен

и

Колцентр




Ра

бо

та

с в

не

шн

им

и

исто

чн

икам

и

ин

фо

рм

ац

ии

, с

тр

атеги

че

ско

е

пл

ан

ир

ов

ан

ие










Ан

ал

из и

р

еа

гир

ов

ан

ие

на

ин

ци

де

нты




инциденты




площадке


инцидент

Ан

ал

из ц

иф

ро

вы

х

об

ра

зц

ов



кода

Анализ прочих

цифровых образцов

Об

ес

печ

ен

ие

р

аб

ото

сп

ос

об

но

ст

и и

нс

тр

ум

ен

то

в

SO

C




SOC



и сигнатур




работе SOC

Ауд

ит и

о

тс

леж

ив

ан

ие

в

нутр

ен

ни

х у

гро

з





угрозами


Скан

ир

ов

ан

ие

и

оц

ен

ка

за

щи

ще

нн

ос

ти


карт сети




и



Пр

оч

ее








СМИ


8

Обоснование создания SOC

Статистика по инцидентам, атакующим

Данные аудитов безопасности (с рекомендациями)

Требования compliance

Привлеките в союзники другие подразделения

Примеры инцидентов и ущерба в вашей отрасли

Свяжите цели создания SOC с целями бизнеса

}

Через призму рисков для бизнеса


9

Архитектура

Цели

Задачи

Макро KPI Процессы


Орг. структура

Тех. средства

Микро KPI


10


Линия 1

Линия 2

Менеджеры и

администраторы


11


Линия 1

Линия 2

Менеджеры и

администраторы

Линия 1,5


12

Режим работы SOC

24/7 – дорогое удовольствие:

Min 8-10 человек на первой линии

Min 5 человек на второй линии

Сложность найти аналитиков для ночной работы

Альтернативные схемы:

Смены со смещением по часовым поясам

Работа 12/5, 12/7 или 12/5+8/2

Вторая линия ночью – на связи


13

Подбор персонала

Background: администрирование серверов и сети, практическая безопасность (в т.ч. pentest), программирование

Работники компании

Ядро – звезды

Часть ролей – другие подразделения, аутсорсинг


14

Развитие компетенций

Обучение по продуктам

Обучение при приеме на работу

Регулярный обмен опытом, ротации внутри SOC

Анализ, обработка и распространение новостей в области ИБ

Обмен опытом с другими SOC, участие в CERT

Ясные KPI для сотрудников

Обучение не только сотрудников SOC


15

Развитие SOC. Имитация нарушений

Имитация действий потенциального нарушителя (как внешнего, так и внутреннего)

Фиксация реакции средств защиты

Рекомендации по настройке средств защиты и обнаружения, SIEM


16


SOC – «термометр» ИБ

Оперативное информирование руководства, владельцев бизнеса и АС, ИТ-блока, ЭБ, ФБ, департамента рисков, аудиторы и т.д.:

Уровень ИБ

Риски

Угрозы

Инциденты

Рекомендации

Compliance

Популяризация SOC


17

Информация о контексте работы

ИТ-инфраструктура

• ИТ-активы

• Сетевая топология

• СЗИ и встроенная безопасность

• Профили штатного функционирования

• Данные об изменениях, статистике

• Уязвимости

Бизнес

• Цели и задачи

• Физическое расположение активов и их ценность

• Взаимоотношения с внешними сторонами, конфликты

• Соответствие между БП и ИС

• Основные группы пользователей, их права и обязанности

Угрозы

• Нарушители

• Векторы атак

• Эксплуатируемые уязвимости

SOC


18

Необходимая документация

Для кого:

Руководство

Сотрудники SOC

Подразделения, задействованные в расследовании инцидентов

Аудиторы

Все сотрудники компании


19

Необходимая документация

Уровень

Примеры

Тип

I

II

III

IV

Политика верхнего уровня

Частные политики, стратегии

Политика ИБ

Политики управления инцидентами ИБ, уязвимостями ИБ, аудитами ИБ, контроля защищенности ИА, обеспечения осведомленности и т.д.

Стратегия развития SOC

Регламент расследования инцидента ИБ

Регламент действий ЮД в случае возникновения инцидента ИБ

Регламент оценки эффективности SOC

Регламенты

Операционная документация

Инструкции, формы, журналы, карты сети, обучающие курсы


20

Выбор технических средств

SOC – прежде всего команда

Тех. средства – инструмент выполнения работы

SIEM – центральное ТС SOC, но и оно не обязательно (Log Management + скрипты для маленьких SOC)

Инструментов необходимо много:

IPS/IDS

Сканеры безопасности

Service Desk

Средства анализа дампов памяти и трафика

Инструменты для исследования вредоносов

Оснастки для подключения к СУБД, ИС

Информационный портал

…


21

KPI

Макро KPI

• Цели и задачи SOC

Микро KPI

• Отдельные процессы

Индивидуальные KPI

• Сотрудники, задания

KPI

KPI


22

Развитие SOC. Масштабирование


23

Развитие SOC. Масштабирование

Развивать SOC – как растить слона

Слон без ножек – чистый пассив

Контакты:

Андрей Янкин

руководитель отдела консалтинга ИБ

тел: +7 (495) 411-7601

[email protected]

5.про soc от jet

Technology