Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

пр про JSOC 2015

3,886 views

Published on

про JSOC 2015

Published in: Technology
  • Login to see the comments

пр про JSOC 2015

  1. 1. Эльман Бейбутов Толкатель бизнеса аутсорсинга ИБ
  2. 2. solarsecurity.ru +7 (499) 750-07-70 Про Solar Security 3 Основные факты  Компания Solar Security разработчик ПО и провайдер сервисов ИБ  Компания Solar Security основана компанией «Инфосистемы Джет» – интегратором № 1 по информационной безопасности на коммерческом рынке  Solar Security – это команда с двадцатилетним опытом разработки продуктов и собственная исследовательская лаборатория по анализу и прогнозированию инцидентов информационной безопасности
  3. 3. Security as a Service = = JSOC Только представьте себе на минуту…
  4. 4. Позиционирование JSOC • Подключение к сервисам ИБ здесь и сейчас, вместо проектирования, внедрения, обучения и эксплуатации собственных систем • Агрегация компетенций, партнерских связей и лучших технологий в едином поставщике Представление об аутсорсинге ИБ • Мы первые в России развили идеи аутсорсинга SOC до первых коммерческих подключений к центру мониторинга инцидентов • В-первую очередь интересно предлагать емкие аналитические темы • Мы гарантируем выполнение SLA по реагированию и разбору инцидентов Позиционирование Solar Security и JSOC
  5. 5. Опыт MSSP заграницей* • Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN) • Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом Сервисы, доступные за рубежом • Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection) • SIEM as a Service (не путать с SOC!) • Практически не встречается – SOC as a Service Малодоступные услуги западных MSSP *Gartner, MSSP report, декабрь 2014
  6. 6. Почему аутсорсинг стал интересен в России От SIEM к SOC – Дорогу осилит смотрящий? • Когда-то мы внедрили более 35 SIEM • «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека • Примерно 80% компаний так и не построили SOC • У 20% компаний через год обнаружились сложности с доступом в консоль SIEM из-за забытых логинов и паролей • Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО Мы по-настоящему гордимся теми клиентами, которые смогли построить SOC сами!
  7. 7. Зрелость SOC в России Уровень зрелости SOC по индустриям Количество выполненных проектов по SIEM с 2010 года
  8. 8. Почему это стало важным Переход на APT – Кто еще не стал жертвой киберпреступности? • «Рынок антивирусов умер» (с) вице-президент Symantec, 2014 • Взлет рынка «песочниц» для автоматического анализа ПО • Смещение акцентов на атаки против инфраструктуры конкретной компании
  9. 9. Неудобные вопросы, но всё же… Мониторинг инцидентов Вы потратили 200K$ на SIEM, а сколько критичных инцидентов в месяц вы выявляете и разбираете? Говорят, что опытный специалист по SIEM – на вес золота. Сможете ли вы удержать сотрудника в компании после года его стажировок и практики? Администрирование систем ИБ У вас около 15 решений в области ИБ, а штат сотрудников – не более 5 человек. Они успевают хотя бы обновлять версии систем безопасности, не говоря уже о тонкой настройке правил? Как быстро вы обычно регистрируете сбой в системах ИБ? Как вы думаете, обо всех ли сбоях становится вам известно? Анализ кода приложений Правда ли, что безопасность мало вовлечена в процесс разработки кода, а инциденты взлома приложений приходится разбирать пачками? Не так то просто найти специалиста ИБ, сильного в программировании? Да, впрочем, и наоборот тоже
  10. 10. solarsecurity.ru +7 (499) 750-07-70 Почему используют аутсорсинг 11
  11. 11. Проблемы, решаемые JSOC Дорого и долго строить полноценный SOC внутри компании Сложно найти готовых специалистов, способных противостоять таргетированным атакам Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность Необходимость обеспечения защиты web-приложений, в том числе от DDoS
  12. 12. У нас есть, что предложить… • Мониторинг инцидентов • Противодействие киберпреступности • Контроль защищенности • Эксплуатация систем ИБ • Анализ кода приложений • Защита web-приложений • Анти-DDoS Предлагаем SECaaS
  13. 13. Архитектура сервисов JSOC
  14. 14. Команда JSOC Группа разбора инцидентов Руководитель департамента JSOC (Дрюков В.) Группа администрирования Группа развития JSOC (пресейл-аналитик,архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 11*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 7 человек) 2-ая линия администрирования – 11*5 (Москва, 3 человека) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва, 3 человека) Группа управления качеством (сервис-менеджеры, 4 человека) Администраторы ИБ (Москва, 2 человека)
  15. 15. JSOC: Мониторинг инцидентов – если SIEM нет Как это выглядит: 1. Оборудование и лицензии – арендная схема 2. Мониторинг и анализ инцидентов – силами JSOC 3. Подключение – установка сервера коннекторов и настройка источников Преимущества: • Нет стартовых капитальных вложений • Быстрый запуск услуги – до 1,5 месяцев • Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня • Агрегация информации об угрозах в одном центре мониторинга
  16. 16. JSOC: Мониторинг инцидентов – если ArcSight уже есть Как это выглядит: 1. Оборудование и лицензии – в собственности клиента 2. Правила SIEM обогащаются сценариями JSOC 3. Команда JSOC анализирует все инциденты в SIEM Преимущества: • Обновление SIEM, тюнинг источников под задачи • Более 1500 корреляционных правил, объединенных в 174 таргетированных сценариев инцидентов ИБ • Мониторинг и разбор инцидентов в режиме 24х7 при полном соблюдении гарантированного уровня SLA
  17. 17. JSOC – Противодействие киберпреступности Как это выглядит: 1. Мы сообщим о том, что ваши учетные записи были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации 2. Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky 3. Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов Преимущества: • Наиболее релевантная российскому рынку информация об атаках, основанная на информации бот-сетей и сенсорах, установленных в компаниях • Информирование об атаке, когда она случилась у других, а не у вас • Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка
  18. 18. JSOC – Эксплуатация систем ИБ Как это выглядит: Обеспечение работоспособности систем ИБ: – Мониторинг «здоровья» систем, восстановление работоспособности; – Обновление версий, администрирование и профилактика Эксплуатация систем ИБ: – Администрирование, разработка и оптимизация политик; – Оповещение о новых угрозах и обновление сигнатур Преимущества: • Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной смены специалистов JSOC; • Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности;
  19. 19. JSOC – безопасность внешних сервисов Как это выглядит: Защита от DDoS – Мониторинг атак и переключение трафика на очистку в облако Kaspersky – Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor Web application firewall – Предоставление WAF в аренду с полным администрированием из JSOC – Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек Преимущества: • Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и конфиденциальность • Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз
  20. 20. JSOC - Контроль защищенности Как это выглядит: • Инвентаризация систем • Инструментальный анализ уязвимостей • Адаптация отчетов о сканировании • Формирование конечных рекомендаций для ИТ- специалистов по устранению критичных уязвимостей • Сопровождение устранения уязвимостей • Регулярная оценка защищённости от zero-day Преимущества: • Получение реальной картины уязвимостей инфраструктуры с учетом всех особенностей архитектуры • Технический и организационный контроль процесса закрытия уязвимостей ИТ- службами • Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования
  21. 21. JSOC – Анализ кода Как это выглядит: • Проверка исходного кода Java, PHP, C# и более десятка других языков по запросу • Анализ безопасности мобильных приложений iOS, Android по бинарному файлу • Встраивание проверки безопасности кода в процесс разработки ПО в компании Преимущества: • Результаты анализа предоставляются в формате конкретных рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений; • Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода; • Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших
  22. 22. solarsecurity.ru +7 (499) 750-07-70 Что дороже аутсорсинг или инсорсинг?
  23. 23. Подключайтесь к JSOC! Среди наших клиентов • Лето-банк • УБРиР Среди наших партнеров • Kaspersky lab • Group-IB
  24. 24. Ваши вопросы? Отвечаю за развитие бизнеса JSOC • Эльман Бейбутов • +7 985 721 66 22 • e.beybutov@solarsecurity.ru

×