SlideShare a Scribd company logo

пр Про SOC: Зачем это надо и когда начать думать про строительство

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация с конференции Безопасность платежей 2017, СПб

Technology
1 of 45
Download to read offline
Когда пора начать думать о строительстве SOC и зачем это надо? Прозоров Андрей, CISM Руководитель экспертного направления Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave #PAYMENTSECURITY 2017-06-29
solarsecurity.ru +7 (499) 755-07-70 2 — У нас, когда долго бежишь, непременно попадаешь в другое место. — Ну, а здесь, знаешь ли, приходится бежать со всех ног, чтобы только остаться на том же месте, а чтобы попасть в другое место, нужно бежать вдвое быстрее.
solarsecurity.ru +7 (499) 755-07-70 Очень много СЗИ… 3 CyberEdge: 2017 Cyberthreat Defense Report
solarsecurity.ru +7 (499) 755-07-70 Solar JSOC flash report 2016 4
solarsecurity.ru +7 (499) 755-07-70 Типовые атаки и реагирование на них 5
solarsecurity.ru +7 (499) 755-07-70 Прогнозы Gartner 6 • By 2020, 60% of enterprises' information security budgets will be allocated for rapid detection and response approaches, up from less than 30% in 2016. • By 2020, 15% of organizations will be using services such as MDR, which is an increase from fewer than 1% today.
solarsecurity.ru +7 (499) 755-07-70 Все больше тех.мер в Compliance и требований по уведомлению об инцидентах 7 • ЦБ РФ: Новый ГОСТ (проект), 382-П, Уведомление FinCERT об инцидентах и пр. • Требования ФСТЭК России к защите ГосИС • Лицензирование услуг по Мониторингу ИБ • КИИ и ГосСОПКА • …
solarsecurity.ru +7 (499) 755-07-70 8 Чем обычно занимается ИБ?
solarsecurity.ru +7 (499) 755-07-70 Системный и комплексный подход к ИБ 9
solarsecurity.ru +7 (499) 755-07-70 Чем занимается ИБ? 10 Операционная деятельность Проектная деятельность (ИБ и ИТ) Управление ИБ (G&M)
solarsecurity.ru +7 (499) 755-07-70 Приоритеты ИБ 11
solarsecurity.ru +7 (499) 755-07-70 Чем занимается ИБ? 12 Операционная деятельность Проектная деятельность (ИБ и ИТ) Управление ИБ (G&M) Фокус внимания сместился сюда
solarsecurity.ru +7 (499) 755-07-70 13 Алиса, это пудинг. Пудинг, это Алиса.
solarsecurity.ru +7 (499) 755-07-70 SANS и MITRE про SOC 14 Security Operations Center (SOC) - A team primarily composed of security analysts organized to Detect, Analyze, Respond to, Report on and Prevent cybersecurity incidents… Gartner: KEY FOCUS: Security monitoring
solarsecurity.ru +7 (499) 755-07-70 Особенности SOC (Security Operations Center) 15  Направления РЕГУЛЯРНОЙ деятельности:  Анализ и Контроль защищенности  Мониторинг событий ИБ  Управление инцидентами ИБ  Администрирование отдельных СЗИ  Threat Intelligence / Threat Hunting  Forensic  Люди и процессы важнее технологий. Сервисы важнее процессов.  Важно оперативное взаимодействие с ИТ  Ориентир на работу 24x7
solarsecurity.ru +7 (499) 755-07-70 Почему SOC стал популярен? 16 • Идея безопасности 24х7 с фокусом на реагирование на инциденты ИБ • Необходим Compliance с фокусом на реальную безопасность и реагирование на инциденты • Вендоры, интеграторы, регуляторы и провайдеры услуг активно продвигают идею «SOC»… Чем больше говорят, тем больше хочется? • На это можно выбить бюджет. Большой бюджет! • SOC – редкий зверь. Обладать им приятно. Это как было с ISO 27001…
solarsecurity.ru +7 (499) 755-07-70 17 — Нельзя поверить в невозможное! — Просто у тебя мало опыта, – заметила Королева. – В твоем возрасте я уделяла этому полчаса каждый день! В иные дни я успевала поверить в десяток невозможностей до завтрака!
solarsecurity.ru +7 (499) 755-07-70 Когда можно думать о SOC? 18 • Высокие риски ИБ –> нужна реальная ИБ • Есть поддержка руководства (дают ресурсы и полномочия, помогают синхронизироваться с ИТ) • Высокий базовый уровень ИБ. Уже готовы выявлять и реагировать на инциденты. • Хотим честно выполнить compliance • Понимаем зачем нужен SIEM, и есть на него бюджет • Понимаем опасность Shadow IT • У ИБ действительно много операционных задач
solarsecurity.ru +7 (499) 755-07-70 Можно ли обойтись без SOC? 19 Да, можно…
solarsecurity.ru +7 (499) 755-07-70 Можно ли обойтись без SOC? 20 Но с конкретной сущностью («SOC») работать удобнее: • Выделенный Scope (и только он) • Отдельный бюджет • Цели и задачи • Первые шаги и приоритеты • Метрики и KPI • Каталог сервисов • …
solarsecurity.ru +7 (499) 755-07-70 21 Модели SOC • Тип I: Внутренний (собственный) SOC • Тип II: Общий (ведомственный) SOC • Тип III: Внешний SOC (аутсорсинг) И гибридные схемы…
solarsecurity.ru +7 (499) 755-07-70 Тип I Тип II Тип III Причина выбора Наличие ресурсов и желание все делать самостоятельно Требование «материнской» компании / регулятора Желание оптимизировать ресурсы / их нехватка Затраты CAPEX + OPEX, часть затрат может быть скрытым OPEX (но может быть бесплатно), предсказуемые OPEX, предсказуемые Min кол-во персонала (Заказчик) Большое подразделение (3 линии SOC) 1 сервис менеджер 1 сервис менеджер Скорость запуска Медленно, надо построить SOC Быстро, надо подключить услуги Быстро, надо подключить услуги Понимание контекста Высокое Среднее Низкое Режим работы Обычно 8х5 или 12х5 Обычно 24х7 Обычно 24х7 Доступ к ИС и СЗИ Внутренний Внешний Внешний Возможности по реагированию и гибкость Полные Расширенные В рамках SLA Сравнение моделей SOC 22
solarsecurity.ru +7 (499) 755-07-70 23 — Она всегда давала себе хорошие советы, хоть следовала им нечасто.
solarsecurity.ru +7 (499) 755-07-70 Где брать вдохновение для построения SOC? 24 • PMBOK и PRINCE2 • Большие гайды по SOC: MITRE, SANS, HP, IBM, Ernst & Young и пр. • ITSM: ITIL и COBIT5 • Рекомендации по расследованию инцидентов: NIST, CERT, SANS, Microsoft, и пр. • Документы регуляторов (например. ГОССОПКА) • Опыт коллег (http://www.soc-club.ru) • Если вы MSSP, то стоит посмотреть стандарты по аутсорсингу (OPBOK, ISO 37500, NOA)
solarsecurity.ru +7 (499) 755-07-70 25 Лучший способ объяснить – это самому сделать.
solarsecurity.ru +7 (499) 755-07-70 SOC: Люди, процессы, технологии, знания 26
solarsecurity.ru +7 (499) 755-07-70 27 Если бы каждый человек занимался своим делом, Земля бы вертелась быстрее.
solarsecurity.ru +7 (499) 755-07-70 Еще вариант ролей для SOC 28 1 линия 2 линия 3 линия • Специалист по взаимодействию с персоналом и пользователями • Специалист по обнаружению компьютерных атак и инцидентов • Специалист по обслуживанию технических средств • Специалист по оценке защищенности • Специалист по ликвидации последствий компьютерных инцидентов • Специалист по установлению причин компьютерных инцидентов • Аналитик-методист • Технический эксперт • Юрист • Руководитель
solarsecurity.ru +7 (499) 755-07-70 Группа Мониторинга ИБ Структура команды Solar JSOC 29 Руководитель JSOC Группа эксплуатации СЗИ Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) Администраторы ИБ - эксперты (Москва, 2 человека) Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Группа управления (сервис-менеджеры, 6 человек) Группа расследования (pentest/forensic/reverse - 5 человек)
solarsecurity.ru +7 (499) 755-07-70 1я линия Solar JSOC 30
solarsecurity.ru +7 (499) 755-07-70  SOC – это люди! Необходима выделенная команда SOC  Начинать стоит с 2-3 человек 1й линии + 1 аналитик + руководитель. Люди «с горящими глазами» будут полезнее дорогих специалистов  Необходимо определить программы подбора персонала, стажировок (желательно партнерство с ВУЗами), и обучения сотрудников  Специалистов не хватает. Ваших сотрудников будут активно перекупать…  Необходимо работать с мотивацией: интересные задачи, перспективы роста, комфортные условия и пр.  Нет кадров – пора думать об услугах MSSP/MDR C чего начать: Люди 31
solarsecurity.ru +7 (499) 755-07-70 32 Делать ей было совершенно нечего, а сидеть без дела, сами знаете, дело нелегкое.
solarsecurity.ru +7 (499) 755-07-70 Процессы SOC. Да, их больше, чем кажется 33 • Инвентаризация и контроль конфигураций • Анализ угроз / рисков • Выявление уязвимостей и контроль их устранения • Тестирование на проникновение • Threat Hunting • Контроль выполнения требований (аудит) • Анализ кода приложений • Управление событиями ИБ • Управление инцидентами • Управление знаниями • Управление проблемами • Управление изменениями • Обучение и повышение осведомленности • Управление уровнем услуг • ...
solarsecurity.ru +7 (499) 755-07-70 Процессы / Функции ГосСОПКА 34 • Инвентаризация информационных ресурсов • Выявление уязвимостей информационных ресурсов • Анализ угроз информационной безопасности • Повышение квалификации персонала информационных ресурсов • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
solarsecurity.ru +7 (499) 755-07-70 C чего начать: Процессы 35  Набор процессов будет зависеть от целей SOC и порядка взаимодействия с ИТ  Первые процессы: управление событиями и инцидентами. Ориентируемся на ITIL!!!  Потом формализуем управление изменениями (работа по заявкам), и управление проблемами  Сначала надо выстроить процессы, а уже потом их документировать  Заранее определите метрики для работы 1й линии  Часть процессов можно отдать на аутсорсинг (кратковременный (пока строим свои) или долговременный)  Начинать стоит с режима работы 8х5, но задать целью 24х7
solarsecurity.ru +7 (499) 755-07-70 36 — Скажите, пожалуйста, куда мне отсюда идти? — А куда ты хочешь попасть? — ответил Кот. — Мне все равно… — сказала Алиса. — Тогда все равно, куда и идти, — заметил Кот.
solarsecurity.ru +7 (499) 755-07-70 Технологии SOC 37 Мониторинг и СЗИ Автоматизация и управление • SIEM: HPE ArcSight ESM, MaxPatrol SIEM • VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit, • Sandbox: Cuckoo Sandbox, + работаем с СЗИ Заказчика: FireEye, KATA, FortiSandbox, TrendMicro • IDS и МСЭ: все основные Заказчика • UEBA: HPE и разработки Solar Security • WAF: F5, Imperva, PTAF, SolidWall • VPN: ViPNet, S-Terra SCP, Континент • Анти-DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention • Сканер кода: Solar InCode • Прочее: Skybox Security и пр. • Service Desk: Kayako + можем интегрироваться с BMC Remedy, HP Service Manager, R-Vision • CMDB: пока Excel под каждого Заказчика • Визуализация и отчеты: Solar InView • Threat Intelligence: СУБД в связке с SIEM • Knowledge base: средствами Kayako • Виртуализация: Oracle VM VirtualBox и VMWare + внутренняя ИБ SOC…
solarsecurity.ru +7 (499) 755-07-70 C чего начать: Технологии 38 • Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно заменить… Все процессы строим вокруг него • Если покупаем сложное средство мониторинга или СЗИ, то нужен аналитик. Если опенсорс, то аналитик и программист… • Вам точно потребуются средства автоматизации процессов ITSM: SD и CMDB • ITSM-системы, закупленные ИТ, вам скорее всего не подойдут, они «заточены» под другие задачи • Не стоит брать дорогое решение, все равно придется переделывать…
solarsecurity.ru +7 (499) 755-07-70 39 — Этой ужасной минуты я не забуду никогда в жизни. — Забудешь, если не запишешь
solarsecurity.ru +7 (499) 755-07-70 Методологии и знания SOC 40  Правила корреляции  Фиды (feeds)  Инструкции и памятки  Учебные материалы и стенды
solarsecurity.ru +7 (499) 755-07-70 Threat Intelligence в JSOC 41 • Opensource базы • Репутационные базы вендоров и других технологических партнеров • Платные подписки (тратим более 300 000 $ в год): ЛК, Group-IB и другие • Информация с СЗИ • Расследование инцидентов • Собственные исследования в «серой зоне» • Информационный обмен с регуляторами: ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ), bdu.fstec.ru (ФСТЭК России) • Партнерство с CERTами
solarsecurity.ru +7 (499) 755-07-70 C чего начать: Знания 42 • Знания необходимо накапливать… Фиды, фиды, фиды… • Правила «из коробки» работают в «сферической» инфраструктуре • Длинные цепочки корреляции низкоэффективны • Короткие цепочки генерят очень много FP, необходимо эффективно фильтровать
solarsecurity.ru +7 (499) 755-07-70 43 План, что и говорить, был превосходный: простой и ясный, лучше не придумать. Недостаток у него был только один: было совершенно неизвестно, как привести его в исполнение.
solarsecurity.ru +7 (499) 755-07-70 Начните с этого… 44 На следующую неделю  Изучите доступные материалы про SOC  Верхнеуровнево оцените зрелость процессов, необходимых для SOC На 3 месяца  Поймите и примите необходимость управления инцидентами и донесите эту мысль до руководства  Актуализируйте перечень важных информационных ресурсов  Определите уместный тип SOC (I, II, III)  Определите необходимые ресурсы (люди, процессы, технологии)  Определите модель взаимодействия с ИТ, роли и ответственность  Подготовьте верхнеуровневый план работ На год  Запустите процессы: Управление уязвимостями, Управление событиями ИБ и Управление инцидентами
Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Моя почта: a.prozorov@solarsecurity.ru

Recommended

пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной иб
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной иб
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
Bulat Shamsutdinov
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб Сертификаты по ИБ
тб Сертификаты по ИБтб Сертификаты по ИБ
тб Сертификаты по ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Solar Security
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 

What's hot (19)

пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
тб Сертификаты по ИБ
тб Сертификаты по ИБтб Сертификаты по ИБ
тб Сертификаты по ИБ
 

Similar to пр Про SOC: Зачем это надо и когда начать думать про строительство

Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Solar Security
 
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Expolink
 

Similar to пр Про SOC: Зачем это надо и когда начать думать про строительство (20)

Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Про SOC: Зачем это надо и когда начать думать про строительство

  • 1. Когда пора начать думать о строительстве SOC и зачем это надо? Прозоров Андрей, CISM Руководитель экспертного направления Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave #PAYMENTSECURITY 2017-06-29
  • 2. solarsecurity.ru +7 (499) 755-07-70 2 — У нас, когда долго бежишь, непременно попадаешь в другое место. — Ну, а здесь, знаешь ли, приходится бежать со всех ног, чтобы только остаться на том же месте, а чтобы попасть в другое место, нужно бежать вдвое быстрее.
  • 3. solarsecurity.ru +7 (499) 755-07-70 Очень много СЗИ… 3 CyberEdge: 2017 Cyberthreat Defense Report
  • 4. solarsecurity.ru +7 (499) 755-07-70 Solar JSOC flash report 2016 4
  • 5. solarsecurity.ru +7 (499) 755-07-70 Типовые атаки и реагирование на них 5
  • 6. solarsecurity.ru +7 (499) 755-07-70 Прогнозы Gartner 6 • By 2020, 60% of enterprises' information security budgets will be allocated for rapid detection and response approaches, up from less than 30% in 2016. • By 2020, 15% of organizations will be using services such as MDR, which is an increase from fewer than 1% today.
  • 7. solarsecurity.ru +7 (499) 755-07-70 Все больше тех.мер в Compliance и требований по уведомлению об инцидентах 7 • ЦБ РФ: Новый ГОСТ (проект), 382-П, Уведомление FinCERT об инцидентах и пр. • Требования ФСТЭК России к защите ГосИС • Лицензирование услуг по Мониторингу ИБ • КИИ и ГосСОПКА • …
  • 8. solarsecurity.ru +7 (499) 755-07-70 8 Чем обычно занимается ИБ?
  • 9. solarsecurity.ru +7 (499) 755-07-70 Системный и комплексный подход к ИБ 9
  • 10. solarsecurity.ru +7 (499) 755-07-70 Чем занимается ИБ? 10 Операционная деятельность Проектная деятельность (ИБ и ИТ) Управление ИБ (G&M)
  • 11. solarsecurity.ru +7 (499) 755-07-70 Приоритеты ИБ 11
  • 12. solarsecurity.ru +7 (499) 755-07-70 Чем занимается ИБ? 12 Операционная деятельность Проектная деятельность (ИБ и ИТ) Управление ИБ (G&M) Фокус внимания сместился сюда
  • 13. solarsecurity.ru +7 (499) 755-07-70 13 Алиса, это пудинг. Пудинг, это Алиса.
  • 14. solarsecurity.ru +7 (499) 755-07-70 SANS и MITRE про SOC 14 Security Operations Center (SOC) - A team primarily composed of security analysts organized to Detect, Analyze, Respond to, Report on and Prevent cybersecurity incidents… Gartner: KEY FOCUS: Security monitoring
  • 15. solarsecurity.ru +7 (499) 755-07-70 Особенности SOC (Security Operations Center) 15  Направления РЕГУЛЯРНОЙ деятельности:  Анализ и Контроль защищенности  Мониторинг событий ИБ  Управление инцидентами ИБ  Администрирование отдельных СЗИ  Threat Intelligence / Threat Hunting  Forensic  Люди и процессы важнее технологий. Сервисы важнее процессов.  Важно оперативное взаимодействие с ИТ  Ориентир на работу 24x7
  • 16. solarsecurity.ru +7 (499) 755-07-70 Почему SOC стал популярен? 16 • Идея безопасности 24х7 с фокусом на реагирование на инциденты ИБ • Необходим Compliance с фокусом на реальную безопасность и реагирование на инциденты • Вендоры, интеграторы, регуляторы и провайдеры услуг активно продвигают идею «SOC»… Чем больше говорят, тем больше хочется? • На это можно выбить бюджет. Большой бюджет! • SOC – редкий зверь. Обладать им приятно. Это как было с ISO 27001…
  • 17. solarsecurity.ru +7 (499) 755-07-70 17 — Нельзя поверить в невозможное! — Просто у тебя мало опыта, – заметила Королева. – В твоем возрасте я уделяла этому полчаса каждый день! В иные дни я успевала поверить в десяток невозможностей до завтрака!
  • 18. solarsecurity.ru +7 (499) 755-07-70 Когда можно думать о SOC? 18 • Высокие риски ИБ –> нужна реальная ИБ • Есть поддержка руководства (дают ресурсы и полномочия, помогают синхронизироваться с ИТ) • Высокий базовый уровень ИБ. Уже готовы выявлять и реагировать на инциденты. • Хотим честно выполнить compliance • Понимаем зачем нужен SIEM, и есть на него бюджет • Понимаем опасность Shadow IT • У ИБ действительно много операционных задач
  • 19. solarsecurity.ru +7 (499) 755-07-70 Можно ли обойтись без SOC? 19 Да, можно…
  • 20. solarsecurity.ru +7 (499) 755-07-70 Можно ли обойтись без SOC? 20 Но с конкретной сущностью («SOC») работать удобнее: • Выделенный Scope (и только он) • Отдельный бюджет • Цели и задачи • Первые шаги и приоритеты • Метрики и KPI • Каталог сервисов • …
  • 21. solarsecurity.ru +7 (499) 755-07-70 21 Модели SOC • Тип I: Внутренний (собственный) SOC • Тип II: Общий (ведомственный) SOC • Тип III: Внешний SOC (аутсорсинг) И гибридные схемы…
  • 22. solarsecurity.ru +7 (499) 755-07-70 Тип I Тип II Тип III Причина выбора Наличие ресурсов и желание все делать самостоятельно Требование «материнской» компании / регулятора Желание оптимизировать ресурсы / их нехватка Затраты CAPEX + OPEX, часть затрат может быть скрытым OPEX (но может быть бесплатно), предсказуемые OPEX, предсказуемые Min кол-во персонала (Заказчик) Большое подразделение (3 линии SOC) 1 сервис менеджер 1 сервис менеджер Скорость запуска Медленно, надо построить SOC Быстро, надо подключить услуги Быстро, надо подключить услуги Понимание контекста Высокое Среднее Низкое Режим работы Обычно 8х5 или 12х5 Обычно 24х7 Обычно 24х7 Доступ к ИС и СЗИ Внутренний Внешний Внешний Возможности по реагированию и гибкость Полные Расширенные В рамках SLA Сравнение моделей SOC 22
  • 23. solarsecurity.ru +7 (499) 755-07-70 23 — Она всегда давала себе хорошие советы, хоть следовала им нечасто.
  • 24. solarsecurity.ru +7 (499) 755-07-70 Где брать вдохновение для построения SOC? 24 • PMBOK и PRINCE2 • Большие гайды по SOC: MITRE, SANS, HP, IBM, Ernst & Young и пр. • ITSM: ITIL и COBIT5 • Рекомендации по расследованию инцидентов: NIST, CERT, SANS, Microsoft, и пр. • Документы регуляторов (например. ГОССОПКА) • Опыт коллег (http://www.soc-club.ru) • Если вы MSSP, то стоит посмотреть стандарты по аутсорсингу (OPBOK, ISO 37500, NOA)
  • 25. solarsecurity.ru +7 (499) 755-07-70 25 Лучший способ объяснить – это самому сделать.
  • 26. solarsecurity.ru +7 (499) 755-07-70 SOC: Люди, процессы, технологии, знания 26
  • 27. solarsecurity.ru +7 (499) 755-07-70 27 Если бы каждый человек занимался своим делом, Земля бы вертелась быстрее.
  • 28. solarsecurity.ru +7 (499) 755-07-70 Еще вариант ролей для SOC 28 1 линия 2 линия 3 линия • Специалист по взаимодействию с персоналом и пользователями • Специалист по обнаружению компьютерных атак и инцидентов • Специалист по обслуживанию технических средств • Специалист по оценке защищенности • Специалист по ликвидации последствий компьютерных инцидентов • Специалист по установлению причин компьютерных инцидентов • Аналитик-методист • Технический эксперт • Юрист • Руководитель
  • 29. solarsecurity.ru +7 (499) 755-07-70 Группа Мониторинга ИБ Структура команды Solar JSOC 29 Руководитель JSOC Группа эксплуатации СЗИ Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) Администраторы ИБ - эксперты (Москва, 2 человека) Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Группа управления (сервис-менеджеры, 6 человек) Группа расследования (pentest/forensic/reverse - 5 человек)
  • 30. solarsecurity.ru +7 (499) 755-07-70 1я линия Solar JSOC 30
  • 31. solarsecurity.ru +7 (499) 755-07-70  SOC – это люди! Необходима выделенная команда SOC  Начинать стоит с 2-3 человек 1й линии + 1 аналитик + руководитель. Люди «с горящими глазами» будут полезнее дорогих специалистов  Необходимо определить программы подбора персонала, стажировок (желательно партнерство с ВУЗами), и обучения сотрудников  Специалистов не хватает. Ваших сотрудников будут активно перекупать…  Необходимо работать с мотивацией: интересные задачи, перспективы роста, комфортные условия и пр.  Нет кадров – пора думать об услугах MSSP/MDR C чего начать: Люди 31
  • 32. solarsecurity.ru +7 (499) 755-07-70 32 Делать ей было совершенно нечего, а сидеть без дела, сами знаете, дело нелегкое.
  • 33. solarsecurity.ru +7 (499) 755-07-70 Процессы SOC. Да, их больше, чем кажется 33 • Инвентаризация и контроль конфигураций • Анализ угроз / рисков • Выявление уязвимостей и контроль их устранения • Тестирование на проникновение • Threat Hunting • Контроль выполнения требований (аудит) • Анализ кода приложений • Управление событиями ИБ • Управление инцидентами • Управление знаниями • Управление проблемами • Управление изменениями • Обучение и повышение осведомленности • Управление уровнем услуг • ...
  • 34. solarsecurity.ru +7 (499) 755-07-70 Процессы / Функции ГосСОПКА 34 • Инвентаризация информационных ресурсов • Выявление уязвимостей информационных ресурсов • Анализ угроз информационной безопасности • Повышение квалификации персонала информационных ресурсов • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
  • 35. solarsecurity.ru +7 (499) 755-07-70 C чего начать: Процессы 35  Набор процессов будет зависеть от целей SOC и порядка взаимодействия с ИТ  Первые процессы: управление событиями и инцидентами. Ориентируемся на ITIL!!!  Потом формализуем управление изменениями (работа по заявкам), и управление проблемами  Сначала надо выстроить процессы, а уже потом их документировать  Заранее определите метрики для работы 1й линии  Часть процессов можно отдать на аутсорсинг (кратковременный (пока строим свои) или долговременный)  Начинать стоит с режима работы 8х5, но задать целью 24х7
  • 36. solarsecurity.ru +7 (499) 755-07-70 36 — Скажите, пожалуйста, куда мне отсюда идти? — А куда ты хочешь попасть? — ответил Кот. — Мне все равно… — сказала Алиса. — Тогда все равно, куда и идти, — заметил Кот.
  • 37. solarsecurity.ru +7 (499) 755-07-70 Технологии SOC 37 Мониторинг и СЗИ Автоматизация и управление • SIEM: HPE ArcSight ESM, MaxPatrol SIEM • VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit, • Sandbox: Cuckoo Sandbox, + работаем с СЗИ Заказчика: FireEye, KATA, FortiSandbox, TrendMicro • IDS и МСЭ: все основные Заказчика • UEBA: HPE и разработки Solar Security • WAF: F5, Imperva, PTAF, SolidWall • VPN: ViPNet, S-Terra SCP, Континент • Анти-DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention • Сканер кода: Solar InCode • Прочее: Skybox Security и пр. • Service Desk: Kayako + можем интегрироваться с BMC Remedy, HP Service Manager, R-Vision • CMDB: пока Excel под каждого Заказчика • Визуализация и отчеты: Solar InView • Threat Intelligence: СУБД в связке с SIEM • Knowledge base: средствами Kayako • Виртуализация: Oracle VM VirtualBox и VMWare + внутренняя ИБ SOC…
  • 38. solarsecurity.ru +7 (499) 755-07-70 C чего начать: Технологии 38 • Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно заменить… Все процессы строим вокруг него • Если покупаем сложное средство мониторинга или СЗИ, то нужен аналитик. Если опенсорс, то аналитик и программист… • Вам точно потребуются средства автоматизации процессов ITSM: SD и CMDB • ITSM-системы, закупленные ИТ, вам скорее всего не подойдут, они «заточены» под другие задачи • Не стоит брать дорогое решение, все равно придется переделывать…
  • 39. solarsecurity.ru +7 (499) 755-07-70 39 — Этой ужасной минуты я не забуду никогда в жизни. — Забудешь, если не запишешь
  • 40. solarsecurity.ru +7 (499) 755-07-70 Методологии и знания SOC 40  Правила корреляции  Фиды (feeds)  Инструкции и памятки  Учебные материалы и стенды
  • 41. solarsecurity.ru +7 (499) 755-07-70 Threat Intelligence в JSOC 41 • Opensource базы • Репутационные базы вендоров и других технологических партнеров • Платные подписки (тратим более 300 000 $ в год): ЛК, Group-IB и другие • Информация с СЗИ • Расследование инцидентов • Собственные исследования в «серой зоне» • Информационный обмен с регуляторами: ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ), bdu.fstec.ru (ФСТЭК России) • Партнерство с CERTами
  • 42. solarsecurity.ru +7 (499) 755-07-70 C чего начать: Знания 42 • Знания необходимо накапливать… Фиды, фиды, фиды… • Правила «из коробки» работают в «сферической» инфраструктуре • Длинные цепочки корреляции низкоэффективны • Короткие цепочки генерят очень много FP, необходимо эффективно фильтровать
  • 43. solarsecurity.ru +7 (499) 755-07-70 43 План, что и говорить, был превосходный: простой и ясный, лучше не придумать. Недостаток у него был только один: было совершенно неизвестно, как привести его в исполнение.
  • 44. solarsecurity.ru +7 (499) 755-07-70 Начните с этого… 44 На следующую неделю  Изучите доступные материалы про SOC  Верхнеуровнево оцените зрелость процессов, необходимых для SOC На 3 месяца  Поймите и примите необходимость управления инцидентами и донесите эту мысль до руководства  Актуализируйте перечень важных информационных ресурсов  Определите уместный тип SOC (I, II, III)  Определите необходимые ресурсы (люди, процессы, технологии)  Определите модель взаимодействия с ИТ, роли и ответственность  Подготовьте верхнеуровневый план работ На год  Запустите процессы: Управление уязвимостями, Управление событиями ИБ и Управление инцидентами
  • 45. Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Моя почта: a.prozorov@solarsecurity.ru