Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

пр 02.Устройство и Сервисы JSOC

8,699 views

Published on

Презентация с конференции JSOC 21.08.2015 НН

Published in: Technology
  • Be the first to comment

пр 02.Устройство и Сервисы JSOC

  1. 1. Устройство и Сервисы JSOC Эльман Бейбутов, Толкатель бизнеса аутсорсинга ИБ
  2. 2. solarsecurity.ru +7 (499) 755-07-70 Почему аутсорсинг стал интересен в России 2 От SIEM к SOC – Дорогу осилит смотрящий?  Когда-то мы внедрили более 35 SIEM  «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека  Примерно 80% компаний так и не построили SOC  У 20% компаний через год обнаружились сложности с доступом в консоль SIEM из-за забытых логинов и паролей  Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ, КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!
  3. 3. solarsecurity.ru +7 (499) 755-07-70 Зрелость SOC в России 3 Количество выполненных проектов по SIEM с 2010 года Уровень зрелости SOC по индустриям, по 5-ти бальной шкале 17 6 3 3 1 3 Финансы ТЭК Госсектор Телеком Ритейл ИТ-сервисы 0 0,5 1 1,5 2 2,5 ИТ-сервисы Ритейл Финансы Госсектор ТЭК Телекомы
  4. 4. solarsecurity.ru +7 (499) 755-07-70 Почему используют аутсорсинг 4 32% 22% 18% 12% 10% 6% НЕХВАТКА ПЕРСОНАЛА ОРГАНИЗАЦИЯ СЕРВИСОВ 24*7 НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ НЕОБХОДИМОСТЬ РАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ
  5. 5. solarsecurity.ru +7 (499) 755-07-70 Опыт MSSP заграницей* 5 Сервисы, доступные за рубежом Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN) Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом Малодоступные услуги западных MSSP Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection) SIEM as a Service (не путать с SOC!) Практически не встречается – SOC as a Service *Gartner, MSSP report, декабрь 2014
  6. 6. solarsecurity.ru +7 (499) 755-07-70 У нас есть, что предложить… 6 Контроль защищенности Противодействие кибепреступности Эксплуатация систем ИБ Анализ кода Защита web-приложений Анти-DDoS Мониторинг инцидентов ПРЕДЛАГАЕМ SECaaS
  7. 7. solarsecurity.ru +7 (499) 755-07-70 Проблемы, решаемые JSOC Дорого и долго строить полноценный SOC внутри компании Сложно найти готовых специалистов, способных противостоять таргетированным атакам Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность Необходимость обеспечения защиты web-приложений, в том числе от DDoS 1 2 3 4 5
  8. 8. solarsecurity.ru +7 (499) 755-07-70 Архитектура сервисов JSOC 9
  9. 9. solarsecurity.ru +7 (499) 755-07-70 Команда JSOC 10 Группа разбора инцидентов Руководитель департамента JSOC (Дрюков Владимир) Группа администрирования Группа развития JSOC (пресейл-аналитик, архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 11*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 7 человек) 2-ая линия администрирования – 11*5 (Москва, 3 человека) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва, 3 человека) Группа управления качеством (сервис-менеджеры, 4 человека) Администраторы ИБ (Москва, 2 человека)
  10. 10. solarsecurity.ru +7 (499) 755-07-70 Гарантии выполнения SLA 11 Параметры сервиса Базовый Расширенный Премиум Время обслуживания 8*5 24*7 24*7 Время обнаружения инцидента (мин) Критичные инциденты 15-30 10-20 5-10 Прочие инциденты до 60 до 60 до 45 Время базовой диагностики и информирования заказчика (мин) Критичные инциденты 45 30 20 Прочие инциденты до 120 до 120 до 90 Время выдачи рекомендаций по противодействию Критичные инциденты до 2 ч до 1,5 ч до 45 мин Прочие инциденты до 8 ч до 6 ч до 4 ч
  11. 11. solarsecurity.ru +7 (499) 755-07-70 JSOC: Мониторинг инцидентов – если SIEM нет 12 Как это выглядит:  Оборудование и лицензии – арендная схема  Мониторинг и анализ инцидентов – силами JSOC  Подключение – установка сервера коннекторов и настройка источников Преимущества:  Нет стартовых капитальных вложений  Быстрый запуск услуги – до 1,5 месяцев  Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня  Агрегация информации об угрозах в одном центре мониторинга Мониторинг инцидентов
  12. 12. solarsecurity.ru +7 (499) 755-07-70 JSOC: Мониторинг инцидентов – если ArcSight уже есть 13 Как это выглядит:  Оборудование и лицензии – в собственности клиента  Правила SIEM обогащаются сценариями JSOC  Команда JSOC анализирует все инциденты в SIEM Преимущества:  Обновление SIEM, тюнинг источников под задачи  Более 1500 корреляционных правил, объединенных в 174 таргетированных сценариев инцидентов ИБ  Мониторинг и разбор инцидентов в режиме 24*7 при полном соблюдении гарантированного уровня SLA Мониторинг инцидентов
  13. 13. solarsecurity.ru +7 (499) 755-07-70 Факты, преимущества и выгоды 14 Факты •1-я линия дежурной смены 24х7 обрабатывает более 75 000 событий с подозрением на инциденты в год •Штат JSOC насчитывает более 30 человек •Реагирование в течение 15 минут •Катастрофоустойчивая платформа на ArcSight •Партнерские соглашения с ведущими CERT и другими аналитическими центрами ИБ для оперативного противодействия киберпреступности Преимущества •Более 170 детектируемых векторов атак •Перекрестное информирование клиентов об обнаруженных атаках •Использование информации о хакерских группировках, бот-сетях и не доверенных IP-адресах от нескольких ведущих зарубежных и российских аналитических центров •Мониторинг инцидентов и противодействие киберпреступности в режиме 24х7 при полном соблюдении уровня SLA Выгоды •Получение готового сервиса по мониторингу инцидентов без капитальных затрат спустя 1 месяц после подписания контракта •Compliance в части управления инцидентами, защиты web-приложений и анализа кода •Информированность и готовность к атакам нулевого дня •Высвобождение ресурсов своих сотрудников для новых проектов после передачи администрирования систем ИБ в JSOC
  14. 14. solarsecurity.ru +7 (499) 755-07-70 JSOC – Противодействие киберпреступности 15 Как это выглядит:  Мы сообщим о том, что ваши учетные записи были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации  Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky  Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов Преимущества:  Наиболее релевантная российскому рынку информация об атаках, основанная на информации бот-сетей и сенсорах, установленных в компаниях  Информирование об атаке, когда она случилась у других, а не у вас  Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка Противодействие киберпреступности
  15. 15. solarsecurity.ru +7 (499) 755-07-70 JSOC – Эксплуатация систем ИБ 16 Как это выглядит:  Обеспечение работоспособности систем ИБ: • Мониторинг «здоровья» систем, восстановление работоспособности; • Обновление версий, администрирование и профилактика  Эксплуатация систем ИБ: • Администрирование, разработка и оптимизация политик; • Оповещение о новых угрозах и обновление сигнатур Преимущества:  Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной смены специалистов JSOC;  Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности; Эксплуатация систем ИБ
  16. 16. solarsecurity.ru +7 (499) 755-07-70 JSOC – безопасность внешних сервисов 17 Как это выглядит:  Защита от DDoS • Мониторинг атак и переключение трафика на очистку в облако Kaspersky • Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor  Web application firewall • Предоставление WAF в аренду с полным администрированием из JSOC • Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек Преимущества:  Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и конфиденциальность  Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз Анти-DDoS WAF
  17. 17. solarsecurity.ru +7 (499) 755-07-70 JSOC – Контроль защищенности 18 Как это выглядит:  Инвентаризация систем  Инструментальный анализ уязвимостей  Адаптация отчетов о сканировании  Формирование конечных рекомендаций для ИТ-специалистов по устранению критичных уязвимостей  Сопровождение устранения уязвимостей  Регулярная оценка защищённости от zero-day Преимущества:  Получение реальной картины уязвимостей инфраструктуры с учетом всех особенностей архитектуры  Технический и организационный контроль процесса закрытия уязвимостей ИТ-службами  Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования Контроль защищенности
  18. 18. solarsecurity.ru +7 (499) 755-07-70 JSOC – Анализ кода 19 Как это выглядит:  Проверка исходного кода Java, PHP, C# и более десятка других языков по запросу  Анализ безопасности мобильных приложений iOS, Android по бинарному файлу  Встраивание проверки безопасности кода в процесс разработки ПО в компании Преимущества:  Результаты анализа предоставляются в формате конкретных рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений;  Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода;  Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших Анализ кода
  19. 19. solarsecurity.ru +7 (499) 755-07-70 Что дороже аутсорсинг или инсорсинг? 20
  20. 20. solarsecurity.ru +7 (499) 755-07-70 Подключайтесь к JSOC! 21 Среди наших клиентов  Лето-Банк  УБРиР  И многие другие… Среди наших партнеров
  21. 21. ОТВЕЧАЮ ЗА РАЗВИТИЕ БИЗНЕСА JSOC Эльман Бейбутов +7 985 721 66 22 e.beybutov@solarsecurity.ru Ваши вопросы?

×