More Related Content
Similar to Incident management (part 5)
Similar to Incident management (part 5) (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (18)
Incident management (part 5)
- 1. Обработка
информации
На стыке обработки
инцидентов и
артефактов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 333/431
- 2. Обработка информации
Обработка инцидентов всегда связана с обработкой
информации
Вопросы управления обработкой информацией
Сбор информации
Проверка и подтверждение информации
Категорирование информации
Защита информации
Хранение информации
Уничтожение информации
Раскрытие информации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 334/431
- 3. Сбор информации
Какая информация нам нужна?
Откуда берется информация?
Открытые источники или по обмену?
Как обеспечить качество собираемой информации?
И ее целостность
Как распознать ошибки, нестыковки и неточные
данные?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 335/431
- 4. Как собирать информацию?
Интервью
Каков уровень квалификации пользователя?
Каков уровень защиты устройства?
Кто владелец оборудования?
Какие логи доступны?
Какова частота использования?
Как используется устройство?
Где хранилище информации?
Как происходит взаимодействие и с кем?
Какие операторы связи используются?
…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 336/431
- 5. Как и где собирать информацию?
Местонахождение устройств, людей, данных
Примененные рабочие, личные или публичные
устройства и системы
Компьютерное оборудование (ПК, КПК, принтер,
носители информации…)
Компьютерные аксессуары (зарядка,
держатели/чехлы, батареи, сумки…)
Могут свидетельствовать о наличии скрытых или спрятанных
устройств
Носители информации
Бытовая электроника (автоответчики, мобильные
телефоны, копиры, сканеры, фотоаппараты, игровые
приставки, USB-плейеры…)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 337/431
- 6. Как и где собирать информацию?
Местонахождение устройств, людей, данных
Интернет-устройства (USB-модемы, PCMCIA-модемы,
ADSL-модемы, маршрутизаторы, Wi-Fi-точки…)
Документы и записи, содержащие информацию о
доступе
Книги, руководства, гарантия, коробки от ПО
Свидетельствует о наличии спрятанного или скрываемого ПО
Мусор
Чеки, связанные с приобретением ПО и оборудования
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 338/431
- 7. Как и где собирать информацию?
Публично доступная информация
Интернет-поиск
Новостные группы
Форумы
Блоги
Чаты
IRC-каналы
Сайты
WHOIS
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 339/431
- 8. Как и где собирать информацию?
Коммуникации
Электронная почта (в т.ч. и на смартфонах)
SMS (в т.ч. и через компьютер)
Мобильная связь
АОН, автоответчик и голосовая почта
IM и чаты
P2P
Web-сайты
Skype
Контроль звонков на корпоративной АТС или логи
домашнего телефона
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 340/431
- 9. Как и где собирать информацию?
Видеонаблюдение
Корпоративное видеонаблюдение
Ближайшие к объекту видеокамеры других
организаций
Web-камеры
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 341/431
- 10. Как и где собирать информацию?
Мониторинг
Анализ телефонных переговоров на корпоративной
АТС
Анализ сетевого трафика
Анализ беспроводного трафика
Включая локализацию беспроводных точек и клиентов
Видеонаблюдение
Микрофоны
Контроль ввода с клавиатуры
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 342/431
- 11. Как и где собирать информацию?
Другие местонахождения
Системы контроля доступа
С целью определить местонахождение подозреваемого в
нужное время в нужном месте
GPS
Местоположение подозреваемого в нужное время в нужном
месте (например, iPhone сохраняет местоположение
сделанных фотографий)
Диктофоны
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 343/431
- 12. Сбор
доказательств
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 344/431
- 13. Методология сбора доказательств
Подготовка
Документирование инцидента
Проверка политик
Стратегия сбора доказательств
Инициация процесса сбора доказательств
Сбор доказательств
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 345/431
- 14. 1. Подготовка
Инструментарий
ПО (например, EnCase или Sysinternals)
Оборудование
Создание или проверка наличия политик сбора
доказательств для подозреваемых систем
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 346/431
- 15. Специализированное ПО EnCase
Разработано для нужд Секретной службы МинФина
США, ФБР и АНБ
Сейчас предлагается в открытой продаже
Контекстный поиск и анализ информации
FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Mac, RAID…
CD-ROM, DVD-R, Jaz, Zip, IDE, SCSI, магнитооптика
Встроенный макроязык для автоматизации
Анализ файлов без их изменения
Сохранение и восстановление образа диска
Предварительный анализ компьютера (без следов)
через параллельный порт или сетевую плату
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 347/431
- 16. Специализированное ПО EnCase
(окончание)
Поиск стандартных скрытых следов
Swap-файл, «корзина»…
Продвинутая система генерации отчетов
Комментарии и заметки следователя
Логи не анализирует!
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 348/431
- 17. 2. Документирование
Профиль инцидента
Как был зафиксирован инцидент
Когда он произошел?
Кто или что зафиксировал инцидент?
Какое ПО и железо задействовано?
Кто контакт?
Насколько критичен подозреваемый ресурс?
Дневник сбора доказательств
Фиксируйте все, что вы делаете во время расследования
Фиксация результатов сбора доказательств
Логи и т.п.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 349/431
- 18. 3. Проверка политик
У вас есть полномочия для сбора доказательств?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 350/431
- 19. 4. Стратегия сбора доказательств
Что собираем? Типы данных?
Инструменты и техники для сбора доказательств?
Где хранить результаты сбора доказательств?
Какой доступ нужен? Права администратора?
Типы периферийных устройств
Подключение к сети
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 351/431
- 20. Где хранятся данные?
Оперативная память (RAM)
Постоянное запоминающее устройство (ПЗУ)
НЖМД
НГМД
«Флешки», Zip, Jazz, Firewire (IEEE 1394)
Карты памяти (включая PCMCIA)
Оптические носители
Магнитные носители
«Нестандартные» устройства
Смартфоны, iPod (и другие плейеры), Xbox, PSP, USB-часы…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 352/431
- 21. Что надо помнить о носителях данных?
Любые носители данных категорически «не любят»
Потерю питания
Электромагнитное воздействие (например, мониторы)
Высокие и низкие температуры
Повышенную влажность
Воздействие света
Статическое электричество (например, в пластиковых
пакетах)
Исследуйте и храните их в надежном месте
Помните, что некоторые устройства могут уходить в
спящий режим, после которого заново запрашивать
пароль
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 353/431
- 22. Что надо помнить о питании?
Многие места хранения/нахождения доказательств
требуют постоянного электропитания
В случае его отключения доказательства могут быть
потеряны
На ПК рекомендуется осуществить мгновенное
отключение системы после чего сделать дубликат
системы, который и подвергнуть анализу
Мгновенное отключение можно осуществить
выдергиванием питания (убедитесь, что нет ИБП)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 354/431
- 23. 5. Инициация сбора доказательств
Доверенная загрузка
Методы передачи и хранения
Целостность результатов
Неизменность среды анализа
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 355/431
- 24. 6. Сбор доказательств
Фиксируйте все действия
Дата, время, история вводимых команд…
Отслеживайте время и дату старта всех команд и
инструментов
Для последующего анализа логов
Соберите всю необходимую информацию
Исходя из типа анализируемой системы – ОС, приложение,
СУБД, сетевое оборудование, мобильные устройства,
принтеры…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 356/431
- 25. Управление
отдельными
видами
инцидентов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 357/431
- 26. Где можно найти артефакты?
На персональном компьютере
В локальной вычислительной сети
В Интернет
В электронной почты
В Web
На мобильных устройствах
На неуправляемых устройствах
Анализ исходных кодов
Контент
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 358/431
- 27. Сбор
доказательств в
Интернет
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 359/431
- 28. Трекинг IP-адреса
Сервис whois позволяет определить владельца IP-
адреса
Он может быть статическим или динамическим
(злоумышленник находится в сети провайдера или
Интернет-кафе)
Злоумышленник может работать через серию
промежуточных прокси-серверов
Злоумышленник может работать через вредоносное ПО,
установленное на компьютере ничего неподозревающего
пользователя (прямо или через команды боту)
Сервис traceroute позволяет отследить путь до
злоумышленника
В т.ч. понять несанкционированное изменение таблиц
маршрутизации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 360/431
- 29. Сбор
доказательств в e-
mail
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 361/431
- 31. Сбор
доказательств на
ПК
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 363/431
- 32. Где искать следы на ПК?
Реестр и кэш (буфер обмена)
Таблицы маршрутизации, ARP кэш, таблица
процессов, статистика ядра, соединения
Временные и удаленные файлы
Жесткий диск и другие внешние носители
Открытые файлы, запущенные процессы, файлы
автозагрузки
Данные мониторинга и регистрации
Физическая конфигурация и сетевая топология
Архивные и резервные данные/копии
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 364/431
- 33. Где искать следы на ПК? (окончание)
Базы данных, электронные таблицы, картинки и
документы
Cookies, данные авторегистрации, закладки
Логи (чаты, ICQ и т.п.)
Электронная почта (включая Web-почту)
P2P-приложения
IM-приложения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 365/431
- 34. Файловая система
Файловая система
Разные файловые системы (FAT12, FAT16, FAT32, NTFS, Linux,
UNIX, Mac, RAID)
Скрытые данные (swap)
Нераспределенное пространство
Хвосты файлов
Корзина
Особенности
Слабое документирование
Расположение файлов не строго определено
При удалении файлов они не удаляются, а помечаются такими
InfoSecurity 2008
Динамические связи между файлами (DLL)
© 2008 Cisco Systems, Inc. All rights reserved. 366/431
- 35. Сбор
доказательств на
маршрутизаторе
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 367/431
- 36. Расследование на маршрутизаторе
ПК Маршрутизатор
• Немедленно • Не выключать
выключить систему маршрутизатор
• Сделать дубликат • Выключение
системы удалить все
• Проанализировать данные
дубликат • Анализ должен
проводиться на
«живой» системе
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 368/431
- 37. Что делать и чего не делать?
Что делать? Чего не делать?
• Подключитесь к • Не выключать
маршрутизатору через маршрутизатор
консоль • Не подключаться к
• Сохраните вашу машрутизатору через
консольную сессию сеть (Telnet или SSH)
• Запустить команду show • Не запускать команды
• Зафиксируйте время конфигурации
реальное и на
машрутизаторе
• Зафиксируйте следы
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 369/431
- 38. Подключение к маршрутизатору
• Всегда фиксируйте все, что вы делаете
• Определите время с помощью команды show clock detail
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 370/431
- 39. Команды для анализа
Конфигурация и пользователи Сетевая информация
show clock detail show ip route
show version show ip ospf {summary, neighbors,
show running-config etc)
show startup-config show ip bgp summary
show reload show cdp neighbors : Cisco
show users/who Discovery Protocol
show ip arp
Логи, процессы и память show {ip} interfaces
show tcp brief all
show log/debug show ip sockets
show stack : stack state show ip nat translations verbose
show context : stack information show ip cache flow : Netflow
show tech-support : incomplete show ip cef : Cisco Express
show processes {cpu, memory} Forwarding
content of bootflash:crashinfo show snmp {user, group, sessions}
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 371/431
- 40. Эскалация
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 372/431
- 41. Эскалация инцидента
Зачем нужна эскалация инцидентов?
Вы не можете справиться с данным инцидентом
Вы не знаете, как сообщить об инциденте целевой
аудитории
Вам нужны новые ресурсы
Инцидент не в вашей зоне ответственности
Получена несвязанная с инцидентами информация от
важного лица
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 373/431
- 42. Докладывать или нет
Многие специалисты боятся докладывать «наверх» о
произошедших инцидентах безопасности
Результат доклада зависит от выстроенных до этого
отношений
Не стоит отвлекать руководство по пустякам
Выстройте для себя иерархию инцидентов по
возможному ущербу для предприятия или для
отдельных руководителей
Мелкие – решать внутри подразделения
Средние – выносить на уровень CISO/CIO
Крупные – выносить на уровень топ-менеджмента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 374/431
- 43. Реагирование на
инциденты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 375/431
- 44. Реагирование
Реагирование - действия для защиты от атаки
Должны ли Вы отражать атаку? Где? Когда?
Никакой реакции – обоснованная форма реакции в
определенных обстоятельствах
Стоит ли останавливать злоумышленника, если вы
его обнаружили?
Все зависит от вашей философии и стратегии!
Защитить и
забыть Задержать и
преследовать
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 376/431
- 45. Сценарии реагирования
Блокирование атаку
Реконфигурация МСЭ, блокирование порта на коммутаторе,
изменение ACL, фильтрация трафика, блокирование команд…
Отключение от сети
Проведение контратаки
Устранение уязвимости и удаление вредоносного ПО
Сообщение в правоохранительные органы
Перенаправление в honeypot/honeynet
Восстановление из резервной копии
Установка патчей и реконфигурация
Перезагрузка (повторная сборка) системы
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 377/431
- 46. Закрытие
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 379/431
- 47. Закрытие инцидента
Инцидент может быть закрыт по разным причинам
Информация о новых вирусах ничего не дает для анализа
Техническая поддержка со стороны CSIRT больше не
требуется
Если судебное дело, связанное с инцидентом не
закрыто, то инцидент не закрывается
Если инцидент закрыт, то необходимо уведомить об
этом все заинтересованные стороны
Чтобы не было путаницы, недопонимания и неоправданных
ожиданий
При появлении новой важной информации инцидент
может быть открыт заново или объединен с другим
Если это не продолжение предыдущего расследования, то
InfoSecurity 2008
инцидент лучше создать заново
© 2008 Cisco Systems, Inc. All rights reserved. 380/431
- 48. Стандарты
управления
инцидентами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 381/431
- 49. ISO/IEC TR 18044
ISO/IEC TR 18044 Information security incident
management
Принят как ГОСТ Р ИСО/МЭК
Высокоуровневый стандарт
Предварительная информация (исходные данные)
Планирование и подготовка
Эксплуатация системы управления инцидентами
Анализ
Улучшение
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 382/431
- 50. Стандарты управления инцидентами
Соответствующие разделы в ГОСТ Р ИСО/МЭК
20000-200х, BS 25999, ГОСТ Р ИСО/МЭК 17799:2005
RFC 2350. Expectations for Computer Security Incident
Response
ITU-T E.409 Организация по реагированию на
инциденты и обработка инцидентов безопасности:
Руководство для организаций электросвязи
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 383/431
- 51. ГОСТ Р ИСО/МЭК 18044 vs. ITU-T E.409
ГОСТ Р ИСО/МЭК 18044 ITU-T E.409
Событие ИБ Ложный сигнал
Событие
Инцидент
ИБ
Инцидент
Инцидент ИБ
Катастрофа, кризис
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 384/431
- 52. ITU-T E.409
Инцидент - событие, которое может привести к
явлению или эпизоду, не являющемуся серьезным
ITU-T E.409
Инцидент безопасности – это любое неблагоприятное
событие, в результате которого некий аспект
безопасности может подвергнуться угрозе
ITU-T E.409
Инцидент безопасности инфокоммуникационных
сетей (ICN) - любое фактическое или предполагаемое
неблагоприятное событие в отношении безопасности
ICN
ITU-T E.409
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 385/431
- 54. Документы CERT
Defining Incident Management Processes for CSIRTs: A
Work in Progress
Handbook for Computer Security Incident Response
Teams (CSIRTs)
State of the Practice of Computer Security Incident
Response Teams
Incident Management Capability Metrics
Incident Management Mission Diagnostic Method
Staffing Your Computer Security Incident Response Team
– What Basic Skills Are Needed?
Action List for Developing a Computer Security Incident
Response Team (CSIRT)
http://www.cert.org/csirts/
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 387/431
- 55. Другие стандарты
NIST SP 800-86 Guide to Integrating Forensic
Techniques into Incident Response
NIST SP 800-61 Computer Security Incident Handling
Guide
NIST SP 800-3 Establishing a Computer Incident
Response Capability (CSIRT)
ISO/PAS 22399. Guidelines for incident preparedness
and operational continuity management
NFPA 1600. Standard on Disaster/Emergency
Management and Business Continuity Programs
National Fire Protection Association – 25 стандартов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 388/431
- 56. SOC это
российский CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 389/431
- 57. Аномалия: червь или еще что-то?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 390/431
- 58. Аномалия: DoS или еще что-то?
Источник: Cisco Systems, Inc.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 391/431
- 59. Аномалия: червь или еще что-то?
Источник: www.mrtg.org
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 392/431
- 60. Аномалия: DoS или еще что-то?
Расследование
причин пика
Идентифицированная причина
Источник: Университет Висконсина временной неработоспособности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 393/431
- 61. Аномалия: DoS или еще что-то?
Аномалия для запросов DNS
Пик
полосы
пропус-
кания
Источник: http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
Пик RTT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 394/431
- 62. Разные консоли управления
МСЭ (firewall)
VPN
Anti-virus
Network IDS/IPS
Host IDS/IPS
Поиск уязвимостей
Управление патчами
Нарушения политики
Маршрутизаторы
Коммутаторы
ОС, СУБД, приложения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 395/431
- 63. Крупная сеть – множество СЗИ
Точки контроля
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 396/431
- 64. Большое число событий
Огромный поток информации
Для оператора связи
> 2500 событий в секунду
1375 Мб в час
32,2 Гб в день
Для крупной компании
500 событий в секунду
274,7 Мб в час
6,43 Гб в день
Только для одного МСЭ (!)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 397/431
- 65. Наша цель и что делать при атаке?!
Большинство отделов защиты информации
Не имеют описанных политик безопасности
Не имеют описанных процедур безопасности
Не тренируются для использования инструментов и
процедур
Учатся «на ходу»
Не взаимодействуют с «контрагентами»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 398/431
- 67. От разрозненных данных к инцидентам
Firewall Log IDS Event Server Log
Switch Log
SNMP
RMON
Packet
AV Alert
App Log
ДАННЫЕ
Netflow
.
.
Capture
.
VA Scanner
Без SOC не
обойтись!
Полезная информация ИНФОРМАЦИЯ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 400/431
- 68. Стандартные функции SOC
Мониторинг безопасности в режиме 24x7x365 с
помощью систем Security Information Management
System (SIMS)
Отражение угроз в реальном режиме времени
Сканирование уязвимостей
Анализ и корреляция собираемых данных с целью
управления инцидентами безопасности
Централизованное управление средствами защиты
Генерация периодических и в реальном времени
отчетов о состоянии защищенности и результатах
аудита
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 401/431
- 69. Пример SOC
Графическое представление
1 временной последовательности
вектора атаки
2
Событие: Сетевое
сканирование ICMP
Событие:
WWW IIS .ida – Переполнение
сервиса индексирования
3
Событие:
построение/разрыв/разрешено IP-соединение
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 402/431
- 70. Пример SOC (продолжение)
Две возможные точки подавления, в
которых мы можем действовать
Выбор:
1. Устройство подавления
2. Предпочтительная
команда:
Block host
Block connection
Shun
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 403/431
- 71. Пример SOC (продолжение)
От отчетов
высокого уровня
для быстрого и
простого чтения…
…до деталей
конкретного
исходного сообщения
полученного
консолью
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 404/431
- 72. Пример SOC (продолжение)
В моей сети
найдены
вирусы Вирусы
не вылечены
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 405/431
- 73. Пример SOC (окончание)
Не соответствует
политике
безопасности
Общая ситуация с
соответствием политике
ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 406/431
- 74. Расширенные функции SOC
Обнаружение аномалий
Управление изменениями (конфигурации, патчи и
т.д.)
Security Dashboard
Управление рисками
Сбор и обеспечение доказательств
несанкционированной активности
Контроль информационных ресурсов
Интеграция c Service Desk (генерация ticket)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 407/431
- 75. Пример SOC
Пред-вирусная
активность Фактическая
атака
вируса
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 408/431
- 77. Эволюция SOC
Функции SOC
Отчеты периодически и в
реальном времени –
Аудит
Инциденты,
соответствие, SLA Технологии + соответствия
процессы + Устранение риска
Защищенный портал
интеграция с
Улучшенный
Service Desk анализ
Управление:
(ITIL)
Инцидент, Проблема, Анализ и
Изменение корреляция
Отчеты - периодично Эксперты
безопасности
Контроль SLA
Расширенные
функции Построение эталона
Процесс и инструментарий
Внедрение контроля защиты
Видимость Управление инцидентами
Оценка
уязвимостей
Политика безопасности
Базовые Планирование управления
функции рисками
Установление SLA
Бизнес-активы Сложность систем защиты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 410/431
- 78. Чужой SOC или свой?
«Чужой Переход «Свой»
» SOC ный SOC SOC
Аутсорсинг Инсорсинг
Анализ рисков в
Security Experts режиме 24x7
Процессы по ITIL и COBiT для
Процессы управления рисками
Анализ и корреляция для
Tools управления инцидентами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 411/431
- 82. Как сделать SOC
успешным
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 415/431
- 83. Этапы процесса управления ИБ
Какие цели мы хотим достичь?
Политика
Что надо сделать для достижения целей?
Процесс
Кто должен это делать, когда и где?
Процедуры
Как это делать?
Инструкции
С помощью чего это делать?
Люди и инструменты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 416/431
- 84. Слагаемые успеха: техника
Максимальное покрытие
Получать данные из всех возможных источников
Агрегировать данные для последующего анализа
Корреляция
Максимальное покрытие
Встроенные и пользовательские правила
Подключение собственных источников
Ускорение
Быстрое реагирование
«Робот-консультант» (помощник)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 417/431
- 85. Слагаемые успеха: процессы
Подготовка
Подготовка сети
Создание инструментария
Разбор полетов Тестирование Идентификация
Что было сделано? Подготовка процедур Что вы знаете об атаках?
Что еще можно было Тренинг команды Какие средства вы
сделать? SLA используете?
Какие уроки можно извлечь в Как вы взаимодействуете?
будущем?
Реагирование
Как реагировать на атаки?
Как это может повлиять на
Классификация
сеть? Что это за атака?
Отслеживание Нарушение SLA?
Откуда исходит атака?
Где и как атаки влияют на сеть?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 418/431
- 86. Слагаемые успеха: люди
Квалифицированные специалисты
Регулярные тренинги и ролевые игры
Взаимодействие с
Другими подразделениями
Операторами связи
Правоохранительными структурами
Производителями
Круглосуточная работа
Документирование
Извлечение уроков
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 419/431
- 88. Причины неудач
Низкий уровень зрелости
Люди «не готовы»
Люди – не автоматы и не всегда следуют «лучшим
практикам»
Специалист SOC мог не инициировать разбор инцидента,
потому что он может повлиять на его друга или у него «нет
времени» или не собрана полная информация
Нет ресурсов для выполнения работ
Не установлены цели или они не приоритезированы
Попытка «съесть слона» целиком
Дело не доведено до конца
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 421/431
- 89. Причины неудач
Не хватает людей для внедрения и управления
SOC
Одним-двумя людьми проблему не решить
Отсутствие четких инструкций
Отсутствие владельца процесса
Очень важно для безопасности, которая пересекает
границы многих подразделений в компании
Концентрация на технологиях в ущерб процессам и
людям
Отсутствие технологической инфраструктуры
безопасности
МСЭ, антивирусы, ID&PS и т.д.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 422/431
- 90. Причины неудач
Отсутствие взаимодействия с другими участниками
процесса управления ИБ
Включая внутренние подразделения (ИТ, HR и т.д.)
Психология
Единая точка контакта, как стена, отделяет ИТ от
пользователя и он не прощает то, что простилось бы при
личном контакте
Формализация требует более высокого качества
обслуживания
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 423/431
- 92. 100% исключение инцидентов
Инциденты у вас уже были, есть и будут в будущем!
Исключить инциденты на 100% невозможно
Слишком дорого и никому не нужно
Если вы будете стремиться к 100%
Первый удачный инцидент приведет вас в ступор
Ваши затраты превысят все преимущества
Вы поставите крест на своей карьере профессионала
Необходимо создать условия, в которых вероятность
инцидентов снижается, наносимый ущерб
минимизируется, число инцидентов сводится к
определенному минимуму, а реакция на
свершившиеся инциденты будет предсказуемой
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 425/431
- 93. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 426/431
- 95. Версия 1.1
Аналогия с автомобилем
Интеллект-карта курса
Вопросы, которые заставляют нас задуматься
Пошаговая процедура SANS
Систематизация материала и более логичные
переходы между темами
Понятие «информационная безопасность»
Примеры инцидентов
Пример отчета об инциденте
Стратегии управления инцидентами
Детальный план создания CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 428/431
- 96. Версия 1.1
Сколько человек надо в CSIRT?
Оборудование CSIRT
Политики CSIRT
Как общаться с неизвестным абонентом?
Показатели качества для CSIRT целиком
Реагирование на инциденты
Модели существования CSIRT
Бизнес-модели CSIRT
Бизнес-план CSIRT руководству
Управление проектом создания CSIRT в MS Project
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 429/431
- 97. Версия 1.1
Статистика опроса по различным CSIRT
Стоимость инцидента
Состав CSIRT
ПО трекинга инцидентов
Приоритезация инцидентов
Где можно собирать доказательства?
Как собирать информацию?
Где хранятся доказательства?
Где искать следы на ПК?
Что надо помнить о носителях данных?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 430/431
- 98. Версия 1.1
Что надо помнить о питании?
Управление отдельными видами инцидентов
ПК, маршрутизатор Cisco, Интернет, e-mail
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 431/431