5.про soc от jet
Post on 15-Apr-2017
1.973 Views
Preview:
TRANSCRIPT
Андрей Янкин,
руководитель отдела консалтинга ИБ
SOC: от идеи к результату
© 2015 Инфосистемы Джет Больше чем безопасность
2
Security Operation Center
SOC (Security Operation Center) – это команда, организованная для обнаружения, анализа, реагирования, уведомления и предотвращения инцидентов информационной безопасности.
Эффективный SOC = персонал + процессы + технические инструменты.
© 2015 Инфосистемы Джет Больше чем безопасность
3
SOC: функции
Об
раб
отка
да
нн
ых
в
ре
ал
ьн
ом
в
рем
ен
и
Колцентр
Мониторинг и разбор
данных в режиме
реального времени
Ра
бо
та
с в
не
шн
им
и
исто
чн
икам
и
ин
фо
рм
ац
ии
, с
тр
атеги
че
ско
е
пл
ан
ир
ов
ан
ие
Сбор внешних данных и их анализ
Распространение информации из
внешних источников
Подготовка материалов для
внешнего распространения
Обогащение правил SOC на основе
внешних данных
Стратегическое планирование
Оценка угроз
Ан
ал
из и
р
еа
гир
ов
ан
ие
на
ин
ци
де
нты
Анализ инцидентов
Слежка за нарушителем
Координация реагирования на
инциденты
Внедрение контрмер
Работы по реагированию на
инцидент на пострадавшей
площадке
Удаленное реагирование на
инцидент
Ан
ал
из ц
иф
ро
вы
х
об
ра
зц
ов
Сбор цифровых образцов
Анализ вредоносного
кода
Анализ прочих
цифровых образцов
Об
ес
печ
ен
ие
р
аб
ото
сп
ос
об
но
ст
и и
нс
тр
ум
ен
то
в
SO
C
Поддержка работы граничных систем
сетевой безопасности
Поддержка работы инфраструктуры
SOC
Поддержка работы сенсоров
Создание собственных правил
и сигнатур
Подбор и внедрение решений,
использующихся в работе SOC
Разработка решений, использующихся в
работе SOC
Ауд
ит и
о
тс
леж
ив
ан
ие
в
нутр
ен
ни
х у
гро
з
Сбор и хранение данных аудита
Управление и обработка
данных аудита
Поддержка при работе с внутренними
угрозами
Расследование случаев внутренних нарушений
Скан
ир
ов
ан
ие
и
оц
ен
ка
за
щи
ще
нн
ос
ти
Создание и актуализация
карт сети
Сканирование
уязвимостей
Оценка защищенност
и
Тестирование на
проникновение
Пр
оч
ее
Оценка средств защиты
Консультирование по вопросам
информационной безопасности
Повышение осведомленности
Оперативное информирование
Распространение наработок
Взаимодействие с общественностью и
СМИ
© 2015 Инфосистемы Джет Больше чем безопасность
4
SOC: использование инструмента SIEM
Об
раб
отка
да
нн
ых
в
ре
ал
ьн
ом
в
рем
ен
и
Колцентр
Мониторинг и разбор
данных в режиме
реального времени
Ра
бо
та
с в
не
шн
им
и
исто
чн
икам
и
ин
фо
рм
ац
ии
, с
тр
атеги
че
ско
е
пл
ан
ир
ов
ан
ие
Сбор внешних данных и их анализ
Распространение информации из
внешних источников
Подготовка материалов для
внешнего распространения
Обогащение правил SOC на основе
внешних данных
Стратегическое планирование
Оценка угроз
Ан
ал
из и
р
еа
гир
ов
ан
ие
на
ин
ци
де
нты
Анализ инцидентов
Слежка за нарушителем
Координация реагирования на
инциденты
Внедрение контрмер
Работы по реагированию на
инцидент на пострадавшей
площадке
Удаленное реагирование на
инцидент
Ан
ал
из ц
иф
ро
вы
х
об
ра
зц
ов
Сбор цифровых образцов
Анализ вредоносного
кода
Анализ цифровых образцов
Об
ес
печ
ен
ие
р
аб
ото
сп
ос
об
но
ст
и и
нс
тр
ум
ен
то
в
SO
C
Поддержка работы граничных систем
сетевой безопасности
Поддержка работы инфраструктуры
SOC
Поддержка работы сенсоров
Создание собственных правил
и сигнатур
Подбор и внедрение решений,
использующихся в работе SOC
Разработка решений, использующихся в
работе SOC
Ауд
ит и
о
тс
леж
ив
ан
ие
в
нутр
ен
ни
х у
гро
з
Сбор и хранение данных аудита
Управление и обработка
данных аудита
Поддержка при работе с внутренними
угрозами
Расследование случаев внутренних нарушений
Скан
ир
ов
ан
ие
и
оц
ен
ка
за
щи
ще
нн
ос
ти
Создание и актуализация
карт сети
Сканирование
уязвимостей
Оценка защищенност
и
Тестирование на
проникновение
Пр
оч
ее
Оценка средств защиты
Консультирование по вопросам
информационной безопасности
Повышение осведомленности
Оперативное информирование
Распространение наработок
Взаимодействие с общественностью и
СМИ
© 2015 Инфосистемы Джет Больше чем безопасность
5
Ядровые домены
SOC
Мониторинг и анализ данных ИТ-систем
Сбор данных от пользователей
Расследование и реагирование на инциденты
Оперативное информирование
© 2015 Инфосистемы Джет Больше чем безопасность
6
Outsource VS Insource
Параметр
Outsource
Insource
Контроль
Настройка под себя
Скорость развертывания
Стоимость
Полный
Полностью
До 2 лет
Дешевле через 3-5 лет
???
Частичный
Стандартные сервисы
2 месяца
Дешевле на старте, OPEX
Предсказуемое
Качество
© 2015 Инфосистемы Джет Больше чем безопасность
7
Типовой outsource
Об
раб
отка
да
нн
ых
в
ре
ал
ьн
ом
в
рем
ен
и
Колцентр
Мониторинг и разбор
данных в режиме
реального времени
Ра
бо
та
с в
не
шн
им
и
исто
чн
икам
и
ин
фо
рм
ац
ии
, с
тр
атеги
че
ско
е
пл
ан
ир
ов
ан
ие
Сбор внешних данных и их анализ
Распространение информации из
внешних источников
Подготовка материалов для
внешнего распространения
Обогащение правил SOC на основе
внешних данных
Стратегическое планирование
Оценка угроз
Ан
ал
из и
р
еа
гир
ов
ан
ие
на
ин
ци
де
нты
Анализ инцидентов
Слежка за нарушителем
Координация реагирования на
инциденты
Внедрение контрмер
Работы по реагированию на
инцидент на пострадавшей
площадке
Удаленное реагирование на
инцидент
Ан
ал
из ц
иф
ро
вы
х
об
ра
зц
ов
Сбор цифровых образцов
Анализ вредоносного
кода
Анализ прочих
цифровых образцов
Об
ес
печ
ен
ие
р
аб
ото
сп
ос
об
но
ст
и и
нс
тр
ум
ен
то
в
SO
C
Поддержка работы граничных систем
сетевой безопасности
Поддержка работы инфраструктуры
SOC
Поддержка работы сенсоров
Создание собственных правил
и сигнатур
Подбор и внедрение решений,
использующихся в работе SOC
Разработка решений, использующихся в
работе SOC
Ауд
ит и
о
тс
леж
ив
ан
ие
в
нутр
ен
ни
х у
гро
з
Сбор и хранение данных аудита
Управление и обработка
данных аудита
Поддержка при работе с внутренними
угрозами
Расследование случаев внутренних нарушений
Скан
ир
ов
ан
ие
и
оц
ен
ка
за
щи
ще
нн
ос
ти
Создание и актуализация
карт сети
Сканирование
уязвимостей
Оценка защищенност
и
Тестирование на
проникновение
Пр
оч
ее
Оценка средств защиты
Консультирование по вопросам
информационной безопасности
Повышение осведомленности
Оперативное информирование
Распространение наработок
Взаимодействие с общественностью и
СМИ
© 2015 Инфосистемы Джет Больше чем безопасность
8
Обоснование создания SOC
Статистика по инцидентам, атакующим
Данные аудитов безопасности (с рекомендациями)
Требования compliance
Привлеките в союзники другие подразделения
Примеры инцидентов и ущерба в вашей отрасли
Свяжите цели создания SOC с целями бизнеса
}
Через призму рисков для бизнеса
© 2015 Инфосистемы Джет Больше чем безопасность
9
Архитектура
Цели
Задачи
Макро KPI Процессы
Архитектура
Орг. структура
Тех. средства
Микро KPI
© 2015 Инфосистемы Джет Больше чем безопасность
10
Архитектура
Линия 1
Линия 2
Менеджеры и
администраторы
© 2015 Инфосистемы Джет Больше чем безопасность
11
Архитектура
Линия 1
Линия 2
Менеджеры и
администраторы
Линия 1,5
© 2015 Инфосистемы Джет Больше чем безопасность
12
Режим работы SOC
24/7 – дорогое удовольствие:
Min 8-10 человек на первой линии
Min 5 человек на второй линии
Сложность найти аналитиков для ночной работы
Альтернативные схемы:
Смены со смещением по часовым поясам
Работа 12/5, 12/7 или 12/5+8/2
Вторая линия ночью – на связи
© 2015 Инфосистемы Джет Больше чем безопасность
13
Подбор персонала
Background: администрирование серверов и сети, практическая безопасность (в т.ч. pentest), программирование
Работники компании
Ядро – звезды
Часть ролей – другие подразделения, аутсорсинг
© 2015 Инфосистемы Джет Больше чем безопасность
14
Развитие компетенций
Обучение по продуктам
Обучение при приеме на работу
Регулярный обмен опытом, ротации внутри SOC
Анализ, обработка и распространение новостей в области ИБ
Обмен опытом с другими SOC, участие в CERT
Ясные KPI для сотрудников
Обучение не только сотрудников SOC
© 2015 Инфосистемы Джет Больше чем безопасность
15
Развитие SOC. Имитация нарушений
Имитация действий потенциального нарушителя (как внешнего, так и внутреннего)
Фиксация реакции средств защиты
Рекомендации по настройке средств защиты и обнаружения, SIEM
© 2015 Инфосистемы Джет Больше чем безопасность
16
Оперативное информирование
SOC – «термометр» ИБ
Оперативное информирование руководства, владельцев бизнеса и АС, ИТ-блока, ЭБ, ФБ, департамента рисков, аудиторы и т.д.:
Уровень ИБ
Риски
Угрозы
Инциденты
Рекомендации
Compliance
Популяризация SOC
© 2015 Инфосистемы Джет Больше чем безопасность
17
Информация о контексте работы
ИТ-инфраструктура
• ИТ-активы
• Сетевая топология
• СЗИ и встроенная безопасность
• Профили штатного функционирования
• Данные об изменениях, статистике
• Уязвимости
Бизнес
• Цели и задачи
• Физическое расположение активов и их ценность
• Взаимоотношения с внешними сторонами, конфликты
• Соответствие между БП и ИС
• Основные группы пользователей, их права и обязанности
Угрозы
• Нарушители
• Векторы атак
• Эксплуатируемые уязвимости
SOC
© 2015 Инфосистемы Джет Больше чем безопасность
18
Необходимая документация
Для кого:
Руководство
Сотрудники SOC
Подразделения, задействованные в расследовании инцидентов
Аудиторы
Все сотрудники компании
© 2015 Инфосистемы Джет Больше чем безопасность
19
Необходимая документация
Уровень
Примеры
Тип
I
II
III
IV
Политика верхнего уровня
Частные политики, стратегии
Политика ИБ
Политики управления инцидентами ИБ, уязвимостями ИБ, аудитами ИБ, контроля защищенности ИА, обеспечения осведомленности и т.д.
Стратегия развития SOC
Регламент расследования инцидента ИБ
Регламент действий ЮД в случае возникновения инцидента ИБ
Регламент оценки эффективности SOC
Регламенты
Операционная документация
Инструкции, формы, журналы, карты сети, обучающие курсы
© 2015 Инфосистемы Джет Больше чем безопасность
20
Выбор технических средств
SOC – прежде всего команда
Тех. средства – инструмент выполнения работы
SIEM – центральное ТС SOC, но и оно не обязательно (Log Management + скрипты для маленьких SOC)
Инструментов необходимо много:
IPS/IDS
Сканеры безопасности
Service Desk
Средства анализа дампов памяти и трафика
Инструменты для исследования вредоносов
Оснастки для подключения к СУБД, ИС
Информационный портал
…
© 2015 Инфосистемы Джет Больше чем безопасность
21
KPI
Макро KPI
• Цели и задачи SOC
Микро KPI
• Отдельные процессы
Индивидуальные KPI
• Сотрудники, задания
KPI
KPI
© 2015 Инфосистемы Джет Больше чем безопасность
22
Развитие SOC. Масштабирование
© 2015 Инфосистемы Джет Больше чем безопасность
23
Развитие SOC. Масштабирование
Развивать SOC – как растить слона
Слон без ножек – чистый пассив
Контакты:
Андрей Янкин
руководитель отдела консалтинга ИБ
тел: +7 (495) 411-7601
av.yankin@jet.su
top related