Your SlideShare is downloading. ×
Incident management (part 5)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Incident management (part 5)

4,736
views

Published on

Published in: Self Improvement

0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,736
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
348
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Обработка информации На стыке обработки инцидентов и артефактов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 333/431
  • 2. Обработка информации  Обработка инцидентов всегда связана с обработкой информации  Вопросы управления обработкой информацией Сбор информации Проверка и подтверждение информации Категорирование информации Защита информации Хранение информации Уничтожение информации Раскрытие информации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 334/431
  • 3. Сбор информации  Какая информация нам нужна?  Откуда берется информация? Открытые источники или по обмену?  Как обеспечить качество собираемой информации? И ее целостность  Как распознать ошибки, нестыковки и неточные данные? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 335/431
  • 4. Как собирать информацию? Интервью  Каков уровень квалификации пользователя?  Каков уровень защиты устройства?  Кто владелец оборудования?  Какие логи доступны?  Какова частота использования?  Как используется устройство?  Где хранилище информации?  Как происходит взаимодействие и с кем?  Какие операторы связи используются? … InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 336/431
  • 5. Как и где собирать информацию? Местонахождение устройств, людей, данных  Примененные рабочие, личные или публичные устройства и системы  Компьютерное оборудование (ПК, КПК, принтер, носители информации…)  Компьютерные аксессуары (зарядка, держатели/чехлы, батареи, сумки…) Могут свидетельствовать о наличии скрытых или спрятанных устройств  Носители информации  Бытовая электроника (автоответчики, мобильные телефоны, копиры, сканеры, фотоаппараты, игровые приставки, USB-плейеры…) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 337/431
  • 6. Как и где собирать информацию? Местонахождение устройств, людей, данных  Интернет-устройства (USB-модемы, PCMCIA-модемы, ADSL-модемы, маршрутизаторы, Wi-Fi-точки…)  Документы и записи, содержащие информацию о доступе  Книги, руководства, гарантия, коробки от ПО Свидетельствует о наличии спрятанного или скрываемого ПО  Мусор  Чеки, связанные с приобретением ПО и оборудования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 338/431
  • 7. Как и где собирать информацию? Публично доступная информация  Интернет-поиск  Новостные группы  Форумы  Блоги  Чаты  IRC-каналы  Сайты  WHOIS InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 339/431
  • 8. Как и где собирать информацию? Коммуникации  Электронная почта (в т.ч. и на смартфонах)  SMS (в т.ч. и через компьютер)  Мобильная связь  АОН, автоответчик и голосовая почта  IM и чаты  P2P  Web-сайты  Skype  Контроль звонков на корпоративной АТС или логи домашнего телефона InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 340/431
  • 9. Как и где собирать информацию? Видеонаблюдение  Корпоративное видеонаблюдение  Ближайшие к объекту видеокамеры других организаций  Web-камеры InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 341/431
  • 10. Как и где собирать информацию? Мониторинг  Анализ телефонных переговоров на корпоративной АТС  Анализ сетевого трафика  Анализ беспроводного трафика Включая локализацию беспроводных точек и клиентов  Видеонаблюдение  Микрофоны  Контроль ввода с клавиатуры InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 342/431
  • 11. Как и где собирать информацию? Другие местонахождения  Системы контроля доступа С целью определить местонахождение подозреваемого в нужное время в нужном месте  GPS Местоположение подозреваемого в нужное время в нужном месте (например, iPhone сохраняет местоположение сделанных фотографий)  Диктофоны InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 343/431
  • 12. Сбор доказательств InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 344/431
  • 13. Методология сбора доказательств  Подготовка  Документирование инцидента  Проверка политик  Стратегия сбора доказательств  Инициация процесса сбора доказательств  Сбор доказательств InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 345/431
  • 14. 1. Подготовка  Инструментарий ПО (например, EnCase или Sysinternals) Оборудование  Создание или проверка наличия политик сбора доказательств для подозреваемых систем InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 346/431
  • 15. Специализированное ПО EnCase  Разработано для нужд Секретной службы МинФина США, ФБР и АНБ Сейчас предлагается в открытой продаже  Контекстный поиск и анализ информации FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Mac, RAID… CD-ROM, DVD-R, Jaz, Zip, IDE, SCSI, магнитооптика  Встроенный макроязык для автоматизации Анализ файлов без их изменения  Сохранение и восстановление образа диска  Предварительный анализ компьютера (без следов) через параллельный порт или сетевую плату InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 347/431
  • 16. Специализированное ПО EnCase (окончание)  Поиск стандартных скрытых следов Swap-файл, «корзина»…  Продвинутая система генерации отчетов  Комментарии и заметки следователя  Логи не анализирует! InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 348/431
  • 17. 2. Документирование  Профиль инцидента Как был зафиксирован инцидент Когда он произошел? Кто или что зафиксировал инцидент? Какое ПО и железо задействовано? Кто контакт? Насколько критичен подозреваемый ресурс?  Дневник сбора доказательств Фиксируйте все, что вы делаете во время расследования  Фиксация результатов сбора доказательств Логи и т.п. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 349/431
  • 18. 3. Проверка политик  У вас есть полномочия для сбора доказательств? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 350/431
  • 19. 4. Стратегия сбора доказательств  Что собираем? Типы данных?  Инструменты и техники для сбора доказательств?  Где хранить результаты сбора доказательств?  Какой доступ нужен? Права администратора?  Типы периферийных устройств  Подключение к сети InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 351/431
  • 20. Где хранятся данные?  Оперативная память (RAM)  Постоянное запоминающее устройство (ПЗУ)  НЖМД  НГМД  «Флешки», Zip, Jazz, Firewire (IEEE 1394)  Карты памяти (включая PCMCIA)  Оптические носители  Магнитные носители  «Нестандартные» устройства Смартфоны, iPod (и другие плейеры), Xbox, PSP, USB-часы… InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 352/431
  • 21. Что надо помнить о носителях данных?  Любые носители данных категорически «не любят» Потерю питания Электромагнитное воздействие (например, мониторы) Высокие и низкие температуры Повышенную влажность Воздействие света Статическое электричество (например, в пластиковых пакетах)  Исследуйте и храните их в надежном месте  Помните, что некоторые устройства могут уходить в спящий режим, после которого заново запрашивать пароль InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 353/431
  • 22. Что надо помнить о питании?  Многие места хранения/нахождения доказательств требуют постоянного электропитания В случае его отключения доказательства могут быть потеряны  На ПК рекомендуется осуществить мгновенное отключение системы после чего сделать дубликат системы, который и подвергнуть анализу Мгновенное отключение можно осуществить выдергиванием питания (убедитесь, что нет ИБП) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 354/431
  • 23. 5. Инициация сбора доказательств  Доверенная загрузка  Методы передачи и хранения  Целостность результатов  Неизменность среды анализа InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 355/431
  • 24. 6. Сбор доказательств  Фиксируйте все действия Дата, время, история вводимых команд…  Отслеживайте время и дату старта всех команд и инструментов Для последующего анализа логов  Соберите всю необходимую информацию Исходя из типа анализируемой системы – ОС, приложение, СУБД, сетевое оборудование, мобильные устройства, принтеры… InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 356/431
  • 25. Управление отдельными видами инцидентов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 357/431
  • 26. Где можно найти артефакты?  На персональном компьютере  В локальной вычислительной сети  В Интернет  В электронной почты  В Web  На мобильных устройствах  На неуправляемых устройствах  Анализ исходных кодов  Контент InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 358/431
  • 27. Сбор доказательств в Интернет InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 359/431
  • 28. Трекинг IP-адреса  Сервис whois позволяет определить владельца IP- адреса Он может быть статическим или динамическим (злоумышленник находится в сети провайдера или Интернет-кафе) Злоумышленник может работать через серию промежуточных прокси-серверов Злоумышленник может работать через вредоносное ПО, установленное на компьютере ничего неподозревающего пользователя (прямо или через команды боту)  Сервис traceroute позволяет отследить путь до злоумышленника В т.ч. понять несанкционированное изменение таблиц маршрутизации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 360/431
  • 29. Сбор доказательств в e- mail InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 361/431
  • 30. Заголовок электронной почты InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 362/431
  • 31. Сбор доказательств на ПК InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 363/431
  • 32. Где искать следы на ПК?  Реестр и кэш (буфер обмена)  Таблицы маршрутизации, ARP кэш, таблица процессов, статистика ядра, соединения  Временные и удаленные файлы  Жесткий диск и другие внешние носители  Открытые файлы, запущенные процессы, файлы автозагрузки  Данные мониторинга и регистрации  Физическая конфигурация и сетевая топология  Архивные и резервные данные/копии InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 364/431
  • 33. Где искать следы на ПК? (окончание)  Базы данных, электронные таблицы, картинки и документы  Cookies, данные авторегистрации, закладки  Логи (чаты, ICQ и т.п.)  Электронная почта (включая Web-почту)  P2P-приложения  IM-приложения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 365/431
  • 34. Файловая система  Файловая система Разные файловые системы (FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Mac, RAID) Скрытые данные (swap) Нераспределенное пространство Хвосты файлов Корзина  Особенности Слабое документирование Расположение файлов не строго определено При удалении файлов они не удаляются, а помечаются такими InfoSecurity 2008 Динамические связи между файлами (DLL) © 2008 Cisco Systems, Inc. All rights reserved. 366/431
  • 35. Сбор доказательств на маршрутизаторе InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 367/431
  • 36. Расследование на маршрутизаторе ПК Маршрутизатор • Немедленно • Не выключать выключить систему маршрутизатор • Сделать дубликат • Выключение системы удалить все • Проанализировать данные дубликат • Анализ должен проводиться на «живой» системе InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 368/431
  • 37. Что делать и чего не делать? Что делать? Чего не делать? • Подключитесь к • Не выключать маршрутизатору через маршрутизатор консоль • Не подключаться к • Сохраните вашу машрутизатору через консольную сессию сеть (Telnet или SSH) • Запустить команду show • Не запускать команды • Зафиксируйте время конфигурации реальное и на машрутизаторе • Зафиксируйте следы инцидента InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 369/431
  • 38. Подключение к маршрутизатору • Всегда фиксируйте все, что вы делаете • Определите время с помощью команды show clock detail InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 370/431
  • 39. Команды для анализа Конфигурация и пользователи Сетевая информация show clock detail show ip route show version show ip ospf {summary, neighbors, show running-config etc) show startup-config show ip bgp summary show reload show cdp neighbors : Cisco show users/who Discovery Protocol show ip arp Логи, процессы и память show {ip} interfaces show tcp brief all show log/debug show ip sockets show stack : stack state show ip nat translations verbose show context : stack information show ip cache flow : Netflow show tech-support : incomplete show ip cef : Cisco Express show processes {cpu, memory} Forwarding content of bootflash:crashinfo show snmp {user, group, sessions} InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 371/431
  • 40. Эскалация инцидента InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 372/431
  • 41. Эскалация инцидента  Зачем нужна эскалация инцидентов? Вы не можете справиться с данным инцидентом Вы не знаете, как сообщить об инциденте целевой аудитории Вам нужны новые ресурсы Инцидент не в вашей зоне ответственности Получена несвязанная с инцидентами информация от важного лица InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 373/431
  • 42. Докладывать или нет  Многие специалисты боятся докладывать «наверх» о произошедших инцидентах безопасности  Результат доклада зависит от выстроенных до этого отношений  Не стоит отвлекать руководство по пустякам  Выстройте для себя иерархию инцидентов по возможному ущербу для предприятия или для отдельных руководителей Мелкие – решать внутри подразделения Средние – выносить на уровень CISO/CIO Крупные – выносить на уровень топ-менеджмента InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 374/431
  • 43. Реагирование на инциденты InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 375/431
  • 44. Реагирование  Реагирование - действия для защиты от атаки Должны ли Вы отражать атаку? Где? Когда? Никакой реакции – обоснованная форма реакции в определенных обстоятельствах  Стоит ли останавливать злоумышленника, если вы его обнаружили? Все зависит от вашей философии и стратегии! Защитить и забыть Задержать и преследовать InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 376/431
  • 45. Сценарии реагирования  Блокирование атаку Реконфигурация МСЭ, блокирование порта на коммутаторе, изменение ACL, фильтрация трафика, блокирование команд…  Отключение от сети  Проведение контратаки  Устранение уязвимости и удаление вредоносного ПО  Сообщение в правоохранительные органы  Перенаправление в honeypot/honeynet  Восстановление из резервной копии  Установка патчей и реконфигурация  Перезагрузка (повторная сборка) системы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 377/431
  • 46. Закрытие инцидента InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 379/431
  • 47. Закрытие инцидента  Инцидент может быть закрыт по разным причинам Информация о новых вирусах ничего не дает для анализа Техническая поддержка со стороны CSIRT больше не требуется  Если судебное дело, связанное с инцидентом не закрыто, то инцидент не закрывается  Если инцидент закрыт, то необходимо уведомить об этом все заинтересованные стороны Чтобы не было путаницы, недопонимания и неоправданных ожиданий  При появлении новой важной информации инцидент может быть открыт заново или объединен с другим Если это не продолжение предыдущего расследования, то InfoSecurity 2008 инцидент лучше создать заново © 2008 Cisco Systems, Inc. All rights reserved. 380/431
  • 48. Стандарты управления инцидентами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 381/431
  • 49. ISO/IEC TR 18044  ISO/IEC TR 18044 Information security incident management Принят как ГОСТ Р ИСО/МЭК  Высокоуровневый стандарт Предварительная информация (исходные данные) Планирование и подготовка Эксплуатация системы управления инцидентами Анализ Улучшение InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 382/431
  • 50. Стандарты управления инцидентами  Соответствующие разделы в ГОСТ Р ИСО/МЭК 20000-200х, BS 25999, ГОСТ Р ИСО/МЭК 17799:2005  RFC 2350. Expectations for Computer Security Incident Response  ITU-T E.409 Организация по реагированию на инциденты и обработка инцидентов безопасности: Руководство для организаций электросвязи InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 383/431
  • 51. ГОСТ Р ИСО/МЭК 18044 vs. ITU-T E.409 ГОСТ Р ИСО/МЭК 18044 ITU-T E.409 Событие ИБ Ложный сигнал Событие Инцидент ИБ Инцидент Инцидент ИБ Катастрофа, кризис InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 384/431
  • 52. ITU-T E.409  Инцидент - событие, которое может привести к явлению или эпизоду, не являющемуся серьезным ITU-T E.409  Инцидент безопасности – это любое неблагоприятное событие, в результате которого некий аспект безопасности может подвергнуться угрозе ITU-T E.409  Инцидент безопасности инфокоммуникационных сетей (ICN) - любое фактическое или предполагаемое неблагоприятное событие в отношении безопасности ICN ITU-T E.409 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 385/431
  • 53. Управление инцидентом по E.409 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 386/431
  • 54. Документы CERT  Defining Incident Management Processes for CSIRTs: A Work in Progress  Handbook for Computer Security Incident Response Teams (CSIRTs)  State of the Practice of Computer Security Incident Response Teams  Incident Management Capability Metrics  Incident Management Mission Diagnostic Method  Staffing Your Computer Security Incident Response Team – What Basic Skills Are Needed?  Action List for Developing a Computer Security Incident Response Team (CSIRT) http://www.cert.org/csirts/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 387/431
  • 55. Другие стандарты  NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response  NIST SP 800-61 Computer Security Incident Handling Guide  NIST SP 800-3 Establishing a Computer Incident Response Capability (CSIRT)  ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management  NFPA 1600. Standard on Disaster/Emergency Management and Business Continuity Programs National Fire Protection Association – 25 стандартов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 388/431
  • 56. SOC это российский CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 389/431
  • 57. Аномалия: червь или еще что-то? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 390/431
  • 58. Аномалия: DoS или еще что-то? Источник: Cisco Systems, Inc. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 391/431
  • 59. Аномалия: червь или еще что-то? Источник: www.mrtg.org InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 392/431
  • 60. Аномалия: DoS или еще что-то? Расследование причин пика Идентифицированная причина Источник: Университет Висконсина временной неработоспособности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 393/431
  • 61. Аномалия: DoS или еще что-то? Аномалия для запросов DNS Пик полосы пропус- кания Источник: http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/ Пик RTT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 394/431
  • 62. Разные консоли управления  МСЭ (firewall)  VPN  Anti-virus  Network IDS/IPS  Host IDS/IPS  Поиск уязвимостей  Управление патчами  Нарушения политики  Маршрутизаторы  Коммутаторы  ОС, СУБД, приложения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 395/431
  • 63. Крупная сеть – множество СЗИ  Точки контроля                                                  InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 396/431
  • 64. Большое число событий  Огромный поток информации  Для оператора связи > 2500 событий в секунду 1375 Мб в час 32,2 Гб в день  Для крупной компании 500 событий в секунду 274,7 Мб в час 6,43 Гб в день  Только для одного МСЭ (!) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 397/431
  • 65. Наша цель и что делать при атаке?!  Большинство отделов защиты информации Не имеют описанных политик безопасности Не имеют описанных процедур безопасности Не тренируются для использования инструментов и процедур Учатся «на ходу» Не взаимодействуют с «контрагентами» InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 398/431
  • 66. Что делает SOC? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 399/431
  • 67. От разрозненных данных к инцидентам Firewall Log IDS Event Server Log Switch Log SNMP RMON Packet AV Alert App Log ДАННЫЕ Netflow . . Capture . VA Scanner Без SOC не обойтись! Полезная информация ИНФОРМАЦИЯ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 400/431
  • 68. Стандартные функции SOC  Мониторинг безопасности в режиме 24x7x365 с помощью систем Security Information Management System (SIMS)  Отражение угроз в реальном режиме времени  Сканирование уязвимостей  Анализ и корреляция собираемых данных с целью управления инцидентами безопасности  Централизованное управление средствами защиты  Генерация периодических и в реальном времени отчетов о состоянии защищенности и результатах аудита InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 401/431
  • 69. Пример SOC Графическое представление 1 временной последовательности вектора атаки 2 Событие: Сетевое сканирование ICMP Событие: WWW IIS .ida – Переполнение сервиса индексирования 3 Событие: построение/разрыв/разрешено IP-соединение InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 402/431
  • 70. Пример SOC (продолжение) Две возможные точки подавления, в которых мы можем действовать Выбор: 1. Устройство подавления 2. Предпочтительная команда: Block host Block connection Shun InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 403/431
  • 71. Пример SOC (продолжение)  От отчетов высокого уровня для быстрого и простого чтения…  …до деталей конкретного исходного сообщения полученного консолью InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 404/431
  • 72. Пример SOC (продолжение) В моей сети найдены вирусы Вирусы не вылечены InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 405/431
  • 73. Пример SOC (окончание) Не соответствует политике безопасности Общая ситуация с соответствием политике ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 406/431
  • 74. Расширенные функции SOC  Обнаружение аномалий  Управление изменениями (конфигурации, патчи и т.д.)  Security Dashboard  Управление рисками  Сбор и обеспечение доказательств несанкционированной активности  Контроль информационных ресурсов  Интеграция c Service Desk (генерация ticket) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 407/431
  • 75. Пример SOC Пред-вирусная активность Фактическая атака вируса InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 408/431
  • 76. Архитектура SOC InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 409/431
  • 77. Эволюция SOC Функции SOC Отчеты периодически и в реальном времени –  Аудит Инциденты, соответствие, SLA Технологии + соответствия процессы +  Устранение риска  Защищенный портал интеграция с  Улучшенный Service Desk анализ Управление: (ITIL) Инцидент, Проблема, Анализ и Изменение корреляция  Отчеты - периодично Эксперты безопасности  Контроль SLA Расширенные функции Построение эталона Процесс и инструментарий Внедрение контроля защиты Видимость Управление инцидентами Оценка уязвимостей Политика безопасности Базовые Планирование управления функции рисками Установление SLA Бизнес-активы Сложность систем защиты InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 410/431
  • 78. Чужой SOC или свой? «Чужой Переход «Свой» » SOC ный SOC SOC Аутсорсинг Инсорсинг Анализ рисков в Security Experts режиме 24x7 Процессы по ITIL и COBiT для Процессы управления рисками Анализ и корреляция для Tools управления инцидентами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 411/431
  • 79. SOC Вымпелкома InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 412/431
  • 80. SOC Вымпелкома InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 413/431
  • 81. SOC Вымпелкома InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 414/431
  • 82. Как сделать SOC успешным InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 415/431
  • 83. Этапы процесса управления ИБ  Какие цели мы хотим достичь? Политика  Что надо сделать для достижения целей? Процесс  Кто должен это делать, когда и где? Процедуры  Как это делать? Инструкции  С помощью чего это делать? Люди и инструменты InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 416/431
  • 84. Слагаемые успеха: техника  Максимальное покрытие Получать данные из всех возможных источников Агрегировать данные для последующего анализа  Корреляция Максимальное покрытие Встроенные и пользовательские правила Подключение собственных источников  Ускорение Быстрое реагирование «Робот-консультант» (помощник) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 417/431
  • 85. Слагаемые успеха: процессы Подготовка Подготовка сети Создание инструментария Разбор полетов Тестирование Идентификация Что было сделано? Подготовка процедур Что вы знаете об атаках? Что еще можно было Тренинг команды Какие средства вы сделать? SLA используете? Какие уроки можно извлечь в Как вы взаимодействуете? будущем? Реагирование Как реагировать на атаки? Как это может повлиять на Классификация сеть? Что это за атака? Отслеживание Нарушение SLA? Откуда исходит атака? Где и как атаки влияют на сеть? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 418/431
  • 86. Слагаемые успеха: люди  Квалифицированные специалисты  Регулярные тренинги и ролевые игры  Взаимодействие с Другими подразделениями Операторами связи Правоохранительными структурами Производителями  Круглосуточная работа  Документирование  Извлечение уроков InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 419/431
  • 87. Причины неудач InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 420/431
  • 88. Причины неудач  Низкий уровень зрелости Люди «не готовы»  Люди – не автоматы и не всегда следуют «лучшим практикам» Специалист SOC мог не инициировать разбор инцидента, потому что он может повлиять на его друга или у него «нет времени» или не собрана полная информация  Нет ресурсов для выполнения работ  Не установлены цели или они не приоритезированы  Попытка «съесть слона» целиком  Дело не доведено до конца InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 421/431
  • 89. Причины неудач  Не хватает людей для внедрения и управления SOC Одним-двумя людьми проблему не решить  Отсутствие четких инструкций  Отсутствие владельца процесса Очень важно для безопасности, которая пересекает границы многих подразделений в компании  Концентрация на технологиях в ущерб процессам и людям  Отсутствие технологической инфраструктуры безопасности МСЭ, антивирусы, ID&PS и т.д. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 422/431
  • 90. Причины неудач  Отсутствие взаимодействия с другими участниками процесса управления ИБ Включая внутренние подразделения (ИТ, HR и т.д.)  Психология Единая точка контакта, как стена, отделяет ИТ от пользователя и он не прощает то, что простилось бы при личном контакте Формализация требует более высокого качества обслуживания InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 423/431
  • 91. Заключение InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 424/431
  • 92. 100% исключение инцидентов  Инциденты у вас уже были, есть и будут в будущем!  Исключить инциденты на 100% невозможно Слишком дорого и никому не нужно  Если вы будете стремиться к 100% Первый удачный инцидент приведет вас в ступор Ваши затраты превысят все преимущества Вы поставите крест на своей карьере профессионала  Необходимо создать условия, в которых вероятность инцидентов снижается, наносимый ущерб минимизируется, число инцидентов сводится к определенному минимуму, а реакция на свершившиеся инциденты будет предсказуемой InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 425/431
  • 93. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 426/431
  • 94. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 427/431
  • 95. Версия 1.1  Аналогия с автомобилем  Интеллект-карта курса  Вопросы, которые заставляют нас задуматься  Пошаговая процедура SANS  Систематизация материала и более логичные переходы между темами  Понятие «информационная безопасность»  Примеры инцидентов  Пример отчета об инциденте  Стратегии управления инцидентами  Детальный план создания CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 428/431
  • 96. Версия 1.1  Сколько человек надо в CSIRT?  Оборудование CSIRT  Политики CSIRT  Как общаться с неизвестным абонентом?  Показатели качества для CSIRT целиком  Реагирование на инциденты  Модели существования CSIRT  Бизнес-модели CSIRT  Бизнес-план CSIRT руководству  Управление проектом создания CSIRT в MS Project InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 429/431
  • 97. Версия 1.1  Статистика опроса по различным CSIRT  Стоимость инцидента  Состав CSIRT  ПО трекинга инцидентов  Приоритезация инцидентов  Где можно собирать доказательства?  Как собирать информацию?  Где хранятся доказательства?  Где искать следы на ПК?  Что надо помнить о носителях данных? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 430/431
  • 98. Версия 1.1  Что надо помнить о питании?  Управление отдельными видами инцидентов ПК, маршрутизатор Cisco, Интернет, e-mail InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 431/431