1. Обработка
информации
На стыке обработки
инцидентов и
артефактов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 333/431

2. Обработка информации
 Обработка инцидентов всегда связана с обработкой
информации
 Вопросы управления обработкой информацией
Сбор информации
Проверка и подтверждение информации
Категорирование информации
Защита информации
Хранение информации
Уничтожение информации
Раскрытие информации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 334/431

3. Сбор информации
 Какая информация нам нужна?
 Откуда берется информация?
Открытые источники или по обмену?
 Как обеспечить качество собираемой информации?
И ее целостность
 Как распознать ошибки, нестыковки и неточные
данные?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 335/431

4. Как собирать информацию?
Интервью
 Каков уровень квалификации пользователя?
 Каков уровень защиты устройства?
 Кто владелец оборудования?
 Какие логи доступны?
 Какова частота использования?
 Как используется устройство?
 Где хранилище информации?
 Как происходит взаимодействие и с кем?
 Какие операторы связи используются?
…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 336/431

5. Как и где собирать информацию?
Местонахождение устройств, людей, данных
 Примененные рабочие, личные или публичные
устройства и системы
 Компьютерное оборудование (ПК, КПК, принтер,
носители информации…)
 Компьютерные аксессуары (зарядка,
держатели/чехлы, батареи, сумки…)
Могут свидетельствовать о наличии скрытых или спрятанных
устройств
 Носители информации
 Бытовая электроника (автоответчики, мобильные
телефоны, копиры, сканеры, фотоаппараты, игровые
приставки, USB-плейеры…)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 337/431

6. Как и где собирать информацию?
Местонахождение устройств, людей, данных
 Интернет-устройства (USB-модемы, PCMCIA-модемы,
ADSL-модемы, маршрутизаторы, Wi-Fi-точки…)
 Документы и записи, содержащие информацию о
доступе
 Книги, руководства, гарантия, коробки от ПО
Свидетельствует о наличии спрятанного или скрываемого ПО
 Мусор
 Чеки, связанные с приобретением ПО и оборудования
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 338/431

7. Как и где собирать информацию?
Публично доступная информация
 Интернет-поиск
 Новостные группы
 Форумы
 Блоги
 Чаты
 IRC-каналы
 Сайты
 WHOIS
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 339/431

8. Как и где собирать информацию?
Коммуникации
 Электронная почта (в т.ч. и на смартфонах)
 SMS (в т.ч. и через компьютер)
 Мобильная связь
 АОН, автоответчик и голосовая почта
 IM и чаты
 P2P
 Web-сайты
 Skype
 Контроль звонков на корпоративной АТС или логи
домашнего телефона
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 340/431

9. Как и где собирать информацию?
Видеонаблюдение
 Корпоративное видеонаблюдение
 Ближайшие к объекту видеокамеры других
организаций
 Web-камеры
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 341/431

10. Как и где собирать информацию?
Мониторинг
 Анализ телефонных переговоров на корпоративной
АТС
 Анализ сетевого трафика
 Анализ беспроводного трафика
Включая локализацию беспроводных точек и клиентов
 Видеонаблюдение
 Микрофоны
 Контроль ввода с клавиатуры
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 342/431

11. Как и где собирать информацию?
Другие местонахождения
 Системы контроля доступа
С целью определить местонахождение подозреваемого в
нужное время в нужном месте
 GPS
Местоположение подозреваемого в нужное время в нужном
месте (например, iPhone сохраняет местоположение
сделанных фотографий)
 Диктофоны
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 343/431

12. Сбор
доказательств
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 344/431

13. Методология сбора доказательств
 Подготовка
 Документирование инцидента
 Проверка политик
 Стратегия сбора доказательств
 Инициация процесса сбора доказательств
 Сбор доказательств
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 345/431

14. 1. Подготовка
 Инструментарий
ПО (например, EnCase или Sysinternals)
Оборудование
 Создание или проверка наличия политик сбора
доказательств для подозреваемых систем
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 346/431

15. Специализированное ПО EnCase
 Разработано для нужд Секретной службы МинФина
США, ФБР и АНБ
Сейчас предлагается в открытой продаже
 Контекстный поиск и анализ информации
FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Mac, RAID…
CD-ROM, DVD-R, Jaz, Zip, IDE, SCSI, магнитооптика
 Встроенный макроязык для автоматизации
Анализ файлов без их изменения
 Сохранение и восстановление образа диска
 Предварительный анализ компьютера (без следов)
через параллельный порт или сетевую плату
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 347/431

16. Специализированное ПО EnCase
(окончание)
 Поиск стандартных скрытых следов
Swap-файл, «корзина»…
 Продвинутая система генерации отчетов
 Комментарии и заметки следователя
 Логи не анализирует!
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 348/431

17. 2. Документирование
 Профиль инцидента
Как был зафиксирован инцидент
Когда он произошел?
Кто или что зафиксировал инцидент?
Какое ПО и железо задействовано?
Кто контакт?
Насколько критичен подозреваемый ресурс?
 Дневник сбора доказательств
Фиксируйте все, что вы делаете во время расследования
 Фиксация результатов сбора доказательств
Логи и т.п.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 349/431

18. 3. Проверка политик
 У вас есть полномочия для сбора доказательств?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 350/431

19. 4. Стратегия сбора доказательств
 Что собираем? Типы данных?
 Инструменты и техники для сбора доказательств?
 Где хранить результаты сбора доказательств?
 Какой доступ нужен? Права администратора?
 Типы периферийных устройств
 Подключение к сети
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 351/431

20. Где хранятся данные?
 Оперативная память (RAM)
 Постоянное запоминающее устройство (ПЗУ)
 НЖМД
 НГМД
 «Флешки», Zip, Jazz, Firewire (IEEE 1394)
 Карты памяти (включая PCMCIA)
 Оптические носители
 Магнитные носители
 «Нестандартные» устройства
Смартфоны, iPod (и другие плейеры), Xbox, PSP, USB-часы…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 352/431

21. Что надо помнить о носителях данных?
 Любые носители данных категорически «не любят»
Потерю питания
Электромагнитное воздействие (например, мониторы)
Высокие и низкие температуры
Повышенную влажность
Воздействие света
Статическое электричество (например, в пластиковых
пакетах)
 Исследуйте и храните их в надежном месте
 Помните, что некоторые устройства могут уходить в
спящий режим, после которого заново запрашивать
пароль
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 353/431

22. Что надо помнить о питании?
 Многие места хранения/нахождения доказательств
требуют постоянного электропитания
В случае его отключения доказательства могут быть
потеряны
 На ПК рекомендуется осуществить мгновенное
отключение системы после чего сделать дубликат
системы, который и подвергнуть анализу
Мгновенное отключение можно осуществить
выдергиванием питания (убедитесь, что нет ИБП)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 354/431

23. 5. Инициация сбора доказательств
 Доверенная загрузка
 Методы передачи и хранения
 Целостность результатов
 Неизменность среды анализа
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 355/431

24. 6. Сбор доказательств
 Фиксируйте все действия
Дата, время, история вводимых команд…
 Отслеживайте время и дату старта всех команд и
инструментов
Для последующего анализа логов
 Соберите всю необходимую информацию
Исходя из типа анализируемой системы – ОС, приложение,
СУБД, сетевое оборудование, мобильные устройства,
принтеры…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 356/431

25. Управление
отдельными
видами
инцидентов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 357/431

26. Где можно найти артефакты?
 На персональном компьютере
 В локальной вычислительной сети
 В Интернет
 В электронной почты
 В Web
 На мобильных устройствах
 На неуправляемых устройствах
 Анализ исходных кодов
 Контент
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 358/431

27. Сбор
доказательств в
Интернет
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 359/431

28. Трекинг IP-адреса
 Сервис whois позволяет определить владельца IP-
адреса
Он может быть статическим или динамическим
(злоумышленник находится в сети провайдера или
Интернет-кафе)
Злоумышленник может работать через серию
промежуточных прокси-серверов
Злоумышленник может работать через вредоносное ПО,
установленное на компьютере ничего неподозревающего
пользователя (прямо или через команды боту)
 Сервис traceroute позволяет отследить путь до
злоумышленника
В т.ч. понять несанкционированное изменение таблиц
маршрутизации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 360/431

29. Сбор
доказательств в e-
mail
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 361/431

30. Заголовок электронной почты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 362/431

31. Сбор
доказательств на
ПК
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 363/431

32. Где искать следы на ПК?
 Реестр и кэш (буфер обмена)
 Таблицы маршрутизации, ARP кэш, таблица
процессов, статистика ядра, соединения
 Временные и удаленные файлы
 Жесткий диск и другие внешние носители
 Открытые файлы, запущенные процессы, файлы
автозагрузки
 Данные мониторинга и регистрации
 Физическая конфигурация и сетевая топология
 Архивные и резервные данные/копии
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 364/431

33. Где искать следы на ПК? (окончание)
 Базы данных, электронные таблицы, картинки и
документы
 Cookies, данные авторегистрации, закладки
 Логи (чаты, ICQ и т.п.)
 Электронная почта (включая Web-почту)
 P2P-приложения
 IM-приложения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 365/431

34. Файловая система
 Файловая система
Разные файловые системы (FAT12, FAT16, FAT32, NTFS, Linux,
UNIX, Mac, RAID)
Скрытые данные (swap)
Нераспределенное пространство
Хвосты файлов
Корзина
 Особенности
Слабое документирование
Расположение файлов не строго определено
При удалении файлов они не удаляются, а помечаются такими
InfoSecurity 2008
Динамические связи между файлами (DLL)
© 2008 Cisco Systems, Inc. All rights reserved. 366/431

35. Сбор
доказательств на
маршрутизаторе
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 367/431

36. Расследование на маршрутизаторе
ПК Маршрутизатор
• Немедленно • Не выключать
выключить систему маршрутизатор
• Сделать дубликат • Выключение
системы удалить все
• Проанализировать данные
дубликат • Анализ должен
проводиться на
«живой» системе
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 368/431

37. Что делать и чего не делать?
Что делать? Чего не делать?
• Подключитесь к • Не выключать
маршрутизатору через маршрутизатор
консоль • Не подключаться к
• Сохраните вашу машрутизатору через
консольную сессию сеть (Telnet или SSH)
• Запустить команду show • Не запускать команды
• Зафиксируйте время конфигурации
реальное и на
машрутизаторе
• Зафиксируйте следы
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 369/431

38. Подключение к маршрутизатору
• Всегда фиксируйте все, что вы делаете
• Определите время с помощью команды show clock detail
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 370/431

39. Команды для анализа
Конфигурация и пользователи Сетевая информация
show clock detail show ip route
show version show ip ospf {summary, neighbors,
show running-config etc)
show startup-config show ip bgp summary
show reload show cdp neighbors : Cisco
show users/who Discovery Protocol
show ip arp
Логи, процессы и память show {ip} interfaces
show tcp brief all
show log/debug show ip sockets
show stack : stack state show ip nat translations verbose
show context : stack information show ip cache flow : Netflow
show tech-support : incomplete show ip cef : Cisco Express
show processes {cpu, memory} Forwarding
content of bootflash:crashinfo show snmp {user, group, sessions}
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 371/431

40. Эскалация
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 372/431

41. Эскалация инцидента
 Зачем нужна эскалация инцидентов?
Вы не можете справиться с данным инцидентом
Вы не знаете, как сообщить об инциденте целевой
аудитории
Вам нужны новые ресурсы
Инцидент не в вашей зоне ответственности
Получена несвязанная с инцидентами информация от
важного лица
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 373/431

42. Докладывать или нет
 Многие специалисты боятся докладывать «наверх» о
произошедших инцидентах безопасности
 Результат доклада зависит от выстроенных до этого
отношений
 Не стоит отвлекать руководство по пустякам
 Выстройте для себя иерархию инцидентов по
возможному ущербу для предприятия или для
отдельных руководителей
Мелкие – решать внутри подразделения
Средние – выносить на уровень CISO/CIO
Крупные – выносить на уровень топ-менеджмента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 374/431

43. Реагирование на
инциденты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 375/431

44. Реагирование
 Реагирование - действия для защиты от атаки
Должны ли Вы отражать атаку? Где? Когда?
Никакой реакции – обоснованная форма реакции в
определенных обстоятельствах
 Стоит ли останавливать злоумышленника, если вы
его обнаружили?
Все зависит от вашей философии и стратегии!
Защитить и
забыть Задержать и
преследовать
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 376/431

45. Сценарии реагирования
 Блокирование атаку
Реконфигурация МСЭ, блокирование порта на коммутаторе,
изменение ACL, фильтрация трафика, блокирование команд…
 Отключение от сети
 Проведение контратаки
 Устранение уязвимости и удаление вредоносного ПО
 Сообщение в правоохранительные органы
 Перенаправление в honeypot/honeynet
 Восстановление из резервной копии
 Установка патчей и реконфигурация
 Перезагрузка (повторная сборка) системы
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 377/431

46. Закрытие
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 379/431

47. Закрытие инцидента
 Инцидент может быть закрыт по разным причинам
Информация о новых вирусах ничего не дает для анализа
Техническая поддержка со стороны CSIRT больше не
требуется
 Если судебное дело, связанное с инцидентом не
закрыто, то инцидент не закрывается
 Если инцидент закрыт, то необходимо уведомить об
этом все заинтересованные стороны
Чтобы не было путаницы, недопонимания и неоправданных
ожиданий
 При появлении новой важной информации инцидент
может быть открыт заново или объединен с другим
Если это не продолжение предыдущего расследования, то
InfoSecurity 2008
инцидент лучше создать заново
© 2008 Cisco Systems, Inc. All rights reserved. 380/431

48. Стандарты
управления
инцидентами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 381/431

49. ISO/IEC TR 18044
 ISO/IEC TR 18044 Information security incident
management
Принят как ГОСТ Р ИСО/МЭК
 Высокоуровневый стандарт
Предварительная информация (исходные данные)
Планирование и подготовка
Эксплуатация системы управления инцидентами
Анализ
Улучшение
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 382/431

50. Стандарты управления инцидентами
 Соответствующие разделы в ГОСТ Р ИСО/МЭК
20000-200х, BS 25999, ГОСТ Р ИСО/МЭК 17799:2005
 RFC 2350. Expectations for Computer Security Incident
Response
 ITU-T E.409 Организация по реагированию на
инциденты и обработка инцидентов безопасности:
Руководство для организаций электросвязи
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 383/431

51. ГОСТ Р ИСО/МЭК 18044 vs. ITU-T E.409
ГОСТ Р ИСО/МЭК 18044 ITU-T E.409
Событие ИБ Ложный сигнал
Событие
Инцидент
ИБ
Инцидент
Инцидент ИБ
Катастрофа, кризис
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 384/431

52. ITU-T E.409
 Инцидент - событие, которое может привести к
явлению или эпизоду, не являющемуся серьезным
ITU-T E.409
 Инцидент безопасности – это любое неблагоприятное
событие, в результате которого некий аспект
безопасности может подвергнуться угрозе
ITU-T E.409
 Инцидент безопасности инфокоммуникационных
сетей (ICN) - любое фактическое или предполагаемое
неблагоприятное событие в отношении безопасности
ICN
ITU-T E.409
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 385/431

53. Управление инцидентом по E.409
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 386/431

54. Документы CERT
 Defining Incident Management Processes for CSIRTs: A
Work in Progress
 Handbook for Computer Security Incident Response
Teams (CSIRTs)
 State of the Practice of Computer Security Incident
Response Teams
 Incident Management Capability Metrics
 Incident Management Mission Diagnostic Method
 Staffing Your Computer Security Incident Response Team
– What Basic Skills Are Needed?
 Action List for Developing a Computer Security Incident
Response Team (CSIRT)
http://www.cert.org/csirts/
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 387/431

55. Другие стандарты
 NIST SP 800-86 Guide to Integrating Forensic
Techniques into Incident Response
 NIST SP 800-61 Computer Security Incident Handling
Guide
 NIST SP 800-3 Establishing a Computer Incident
Response Capability (CSIRT)
 ISO/PAS 22399. Guidelines for incident preparedness
and operational continuity management
 NFPA 1600. Standard on Disaster/Emergency
Management and Business Continuity Programs
National Fire Protection Association – 25 стандартов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 388/431

56. SOC это
российский CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 389/431

57. Аномалия: червь или еще что-то?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 390/431

58. Аномалия: DoS или еще что-то?
Источник: Cisco Systems, Inc.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 391/431

59. Аномалия: червь или еще что-то?
Источник: www.mrtg.org
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 392/431

60. Аномалия: DoS или еще что-то?
Расследование
причин пика
Идентифицированная причина
Источник: Университет Висконсина временной неработоспособности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 393/431

61. Аномалия: DoS или еще что-то?
Аномалия для запросов DNS
Пик
полосы
пропус-
кания
Источник: http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
Пик RTT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 394/431

62. Разные консоли управления
 МСЭ (firewall)
 VPN
 Anti-virus
 Network IDS/IPS
 Host IDS/IPS
 Поиск уязвимостей
 Управление патчами
 Нарушения политики
 Маршрутизаторы
 Коммутаторы
 ОС, СУБД, приложения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 395/431

63. Крупная сеть – множество СЗИ
 Точки контроля  
 
 


 

  

 


 
   
 
   
  
  
 
 
  
 
  
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 396/431

64. Большое число событий
 Огромный поток информации
 Для оператора связи
> 2500 событий в секунду
1375 Мб в час
32,2 Гб в день
 Для крупной компании
500 событий в секунду
274,7 Мб в час
6,43 Гб в день
 Только для одного МСЭ (!)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 397/431

65. Наша цель и что делать при атаке?!
 Большинство отделов защиты информации
Не имеют описанных политик безопасности
Не имеют описанных процедур безопасности
Не тренируются для использования инструментов и
процедур
Учатся «на ходу»
Не взаимодействуют с «контрагентами»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 398/431

66. Что делает SOC?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 399/431

67. От разрозненных данных к инцидентам
Firewall Log IDS Event Server Log
Switch Log
SNMP
RMON
Packet
AV Alert
App Log
ДАННЫЕ
Netflow
.
.
Capture
.
VA Scanner
Без SOC не
обойтись!
Полезная информация ИНФОРМАЦИЯ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 400/431

68. Стандартные функции SOC
 Мониторинг безопасности в режиме 24x7x365 с
помощью систем Security Information Management
System (SIMS)
 Отражение угроз в реальном режиме времени
 Сканирование уязвимостей
 Анализ и корреляция собираемых данных с целью
управления инцидентами безопасности
 Централизованное управление средствами защиты
 Генерация периодических и в реальном времени
отчетов о состоянии защищенности и результатах
аудита
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 401/431

69. Пример SOC
Графическое представление
1 временной последовательности
вектора атаки
2
Событие: Сетевое
сканирование ICMP
Событие:
WWW IIS .ida – Переполнение
сервиса индексирования
3
Событие:
построение/разрыв/разрешено IP-соединение
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 402/431

70. Пример SOC (продолжение)
Две возможные точки подавления, в
которых мы можем действовать
Выбор:
1. Устройство подавления
2. Предпочтительная
команда:
Block host
Block connection
Shun
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 403/431

71. Пример SOC (продолжение)
 От отчетов
высокого уровня
для быстрого и
простого чтения…
 …до деталей
конкретного
исходного сообщения
полученного
консолью
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 404/431

72. Пример SOC (продолжение)
В моей сети
найдены
вирусы Вирусы
не вылечены
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 405/431

73. Пример SOC (окончание)
Не соответствует
политике
безопасности
Общая ситуация с
соответствием политике
ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 406/431

74. Расширенные функции SOC
 Обнаружение аномалий
 Управление изменениями (конфигурации, патчи и
т.д.)
 Security Dashboard
 Управление рисками
 Сбор и обеспечение доказательств
несанкционированной активности
 Контроль информационных ресурсов
 Интеграция c Service Desk (генерация ticket)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 407/431

75. Пример SOC
Пред-вирусная
активность Фактическая
атака
вируса
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 408/431

76. Архитектура SOC
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 409/431

77. Эволюция SOC
Функции SOC
Отчеты периодически и в
реальном времени –
 Аудит
Инциденты,
соответствие, SLA Технологии + соответствия
процессы +  Устранение риска
 Защищенный портал
интеграция с
 Улучшенный
Service Desk анализ
Управление:
(ITIL)
Инцидент, Проблема, Анализ и
Изменение корреляция
 Отчеты - периодично Эксперты
безопасности
 Контроль SLA
Расширенные
функции Построение эталона
Процесс и инструментарий
Внедрение контроля защиты
Видимость Управление инцидентами
Оценка
уязвимостей
Политика безопасности
Базовые Планирование управления
функции рисками
Установление SLA
Бизнес-активы Сложность систем защиты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 410/431

78. Чужой SOC или свой?
«Чужой Переход «Свой»
» SOC ный SOC SOC
Аутсорсинг Инсорсинг
Анализ рисков в
Security Experts режиме 24x7
Процессы по ITIL и COBiT для
Процессы управления рисками
Анализ и корреляция для
Tools управления инцидентами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 411/431

79. SOC Вымпелкома
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 412/431

80. SOC Вымпелкома
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 413/431

81. SOC Вымпелкома
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 414/431

82. Как сделать SOC
успешным
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 415/431

83. Этапы процесса управления ИБ
 Какие цели мы хотим достичь?
Политика
 Что надо сделать для достижения целей?
Процесс
 Кто должен это делать, когда и где?
Процедуры
 Как это делать?
Инструкции
 С помощью чего это делать?
Люди и инструменты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 416/431

84. Слагаемые успеха: техника
 Максимальное покрытие
Получать данные из всех возможных источников
Агрегировать данные для последующего анализа
 Корреляция
Максимальное покрытие
Встроенные и пользовательские правила
Подключение собственных источников
 Ускорение
Быстрое реагирование
«Робот-консультант» (помощник)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 417/431

85. Слагаемые успеха: процессы
Подготовка
Подготовка сети
Создание инструментария
Разбор полетов Тестирование Идентификация
Что было сделано? Подготовка процедур Что вы знаете об атаках?
Что еще можно было Тренинг команды Какие средства вы
сделать? SLA используете?
Какие уроки можно извлечь в Как вы взаимодействуете?
будущем?
Реагирование
Как реагировать на атаки?
Как это может повлиять на
Классификация
сеть? Что это за атака?
Отслеживание Нарушение SLA?
Откуда исходит атака?
Где и как атаки влияют на сеть?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 418/431

86. Слагаемые успеха: люди
 Квалифицированные специалисты
 Регулярные тренинги и ролевые игры
 Взаимодействие с
Другими подразделениями
Операторами связи
Правоохранительными структурами
Производителями
 Круглосуточная работа
 Документирование
 Извлечение уроков
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 419/431

87. Причины неудач
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 420/431

88. Причины неудач
 Низкий уровень зрелости
Люди «не готовы»
 Люди – не автоматы и не всегда следуют «лучшим
практикам»
Специалист SOC мог не инициировать разбор инцидента,
потому что он может повлиять на его друга или у него «нет
времени» или не собрана полная информация
 Нет ресурсов для выполнения работ
 Не установлены цели или они не приоритезированы
 Попытка «съесть слона» целиком
 Дело не доведено до конца
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 421/431

89. Причины неудач
 Не хватает людей для внедрения и управления
SOC
Одним-двумя людьми проблему не решить
 Отсутствие четких инструкций
 Отсутствие владельца процесса
Очень важно для безопасности, которая пересекает
границы многих подразделений в компании
 Концентрация на технологиях в ущерб процессам и
людям
 Отсутствие технологической инфраструктуры
безопасности
МСЭ, антивирусы, ID&PS и т.д.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 422/431

90. Причины неудач
 Отсутствие взаимодействия с другими участниками
процесса управления ИБ
Включая внутренние подразделения (ИТ, HR и т.д.)
 Психология
Единая точка контакта, как стена, отделяет ИТ от
пользователя и он не прощает то, что простилось бы при
личном контакте
Формализация требует более высокого качества
обслуживания
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 423/431

91. Заключение
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 424/431

92. 100% исключение инцидентов
 Инциденты у вас уже были, есть и будут в будущем!
 Исключить инциденты на 100% невозможно
Слишком дорого и никому не нужно
 Если вы будете стремиться к 100%
Первый удачный инцидент приведет вас в ступор
Ваши затраты превысят все преимущества
Вы поставите крест на своей карьере профессионала
 Необходимо создать условия, в которых вероятность
инцидентов снижается, наносимый ущерб
минимизируется, число инцидентов сводится к
определенному минимуму, а реакция на
свершившиеся инциденты будет предсказуемой
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 425/431

93. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 426/431

94. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 427/431

95. Версия 1.1
 Аналогия с автомобилем
 Интеллект-карта курса
 Вопросы, которые заставляют нас задуматься
 Пошаговая процедура SANS
 Систематизация материала и более логичные
переходы между темами
 Понятие «информационная безопасность»
 Примеры инцидентов
 Пример отчета об инциденте
 Стратегии управления инцидентами
 Детальный план создания CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 428/431

96. Версия 1.1
 Сколько человек надо в CSIRT?
 Оборудование CSIRT
 Политики CSIRT
 Как общаться с неизвестным абонентом?
 Показатели качества для CSIRT целиком
 Реагирование на инциденты
 Модели существования CSIRT
 Бизнес-модели CSIRT
 Бизнес-план CSIRT руководству
 Управление проектом создания CSIRT в MS Project
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 429/431

97. Версия 1.1
 Статистика опроса по различным CSIRT
 Стоимость инцидента
 Состав CSIRT
 ПО трекинга инцидентов
 Приоритезация инцидентов
 Где можно собирать доказательства?
 Как собирать информацию?
 Где хранятся доказательства?
 Где искать следы на ПК?
 Что надо помнить о носителях данных?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 430/431

98. Версия 1.1
 Что надо помнить о питании?
 Управление отдельными видами инцидентов
ПК, маршрутизатор Cisco, Интернет, e-mail
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 431/431