пр Про SOC: Зачем это надо и когда начать думать про строительство
1. Когда пора начать думать о
строительстве SOC и зачем это надо?
Прозоров Андрей, CISM
Руководитель экспертного направления
Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
#PAYMENTSECURITY 2017-06-29
2. solarsecurity.ru +7 (499) 755-07-70 2
— У нас, когда долго бежишь, непременно
попадаешь в другое место.
— Ну, а здесь, знаешь ли, приходится
бежать со всех ног, чтобы только остаться
на том же месте, а чтобы попасть в другое
место, нужно бежать вдвое быстрее.
6. solarsecurity.ru +7 (499) 755-07-70
Прогнозы Gartner
6
• By 2020, 60% of enterprises' information
security budgets will be allocated for rapid
detection and response approaches, up
from less than 30% in 2016.
• By 2020, 15% of organizations will be using
services such as MDR, which is an increase
from fewer than 1% today.
7. solarsecurity.ru +7 (499) 755-07-70
Все больше тех.мер в Compliance и
требований по уведомлению об инцидентах
7
• ЦБ РФ: Новый ГОСТ (проект),
382-П, Уведомление FinCERT
об инцидентах и пр.
• Требования ФСТЭК России к
защите ГосИС
• Лицензирование услуг по
Мониторингу ИБ
• КИИ и ГосСОПКА
• …
12. solarsecurity.ru +7 (499) 755-07-70
Чем занимается ИБ?
12
Операционная
деятельность
Проектная
деятельность
(ИБ и ИТ)
Управление
ИБ (G&M)
Фокус внимания
сместился сюда
14. solarsecurity.ru +7 (499) 755-07-70
SANS и MITRE про SOC
14
Security Operations Center
(SOC) - A team primarily
composed of security analysts
organized to Detect, Analyze,
Respond to, Report on and
Prevent cybersecurity
incidents…
Gartner: KEY FOCUS: Security monitoring
15. solarsecurity.ru +7 (499) 755-07-70
Особенности SOC
(Security Operations Center)
15
Направления РЕГУЛЯРНОЙ деятельности:
Анализ и Контроль защищенности
Мониторинг событий ИБ
Управление инцидентами ИБ
Администрирование отдельных СЗИ
Threat Intelligence / Threat Hunting
Forensic
Люди и процессы важнее технологий. Сервисы важнее процессов.
Важно оперативное взаимодействие с ИТ
Ориентир на работу 24x7
16. solarsecurity.ru +7 (499) 755-07-70
Почему SOC стал популярен?
16
• Идея безопасности 24х7 с фокусом на
реагирование на инциденты ИБ
• Необходим Compliance с фокусом на
реальную безопасность и реагирование
на инциденты
• Вендоры, интеграторы, регуляторы и
провайдеры услуг активно продвигают
идею «SOC»… Чем больше говорят, тем
больше хочется?
• На это можно выбить бюджет. Большой
бюджет!
• SOC – редкий зверь. Обладать им
приятно. Это как было с ISO 27001…
17. solarsecurity.ru +7 (499) 755-07-70 17
— Нельзя поверить в невозможное!
— Просто у тебя мало опыта, – заметила
Королева. – В твоем возрасте я уделяла
этому полчаса каждый день! В иные дни я
успевала поверить в десяток невозможностей
до завтрака!
18. solarsecurity.ru +7 (499) 755-07-70
Когда можно думать о SOC?
18
• Высокие риски ИБ –> нужна реальная ИБ
• Есть поддержка руководства (дают ресурсы и
полномочия, помогают синхронизироваться с ИТ)
• Высокий базовый уровень ИБ. Уже готовы выявлять и
реагировать на инциденты.
• Хотим честно выполнить compliance
• Понимаем зачем нужен SIEM, и есть на него бюджет
• Понимаем опасность Shadow IT
• У ИБ действительно много операционных задач
20. solarsecurity.ru +7 (499) 755-07-70
Можно ли обойтись без SOC?
20
Но с конкретной сущностью («SOC»)
работать удобнее:
• Выделенный Scope (и только он)
• Отдельный бюджет
• Цели и задачи
• Первые шаги и приоритеты
• Метрики и KPI
• Каталог сервисов
• …
21. solarsecurity.ru +7 (499) 755-07-70 21
Модели SOC
• Тип I: Внутренний
(собственный) SOC
• Тип II: Общий
(ведомственный) SOC
• Тип III: Внешний SOC
(аутсорсинг)
И гибридные схемы…
22. solarsecurity.ru +7 (499) 755-07-70
Тип I Тип II Тип III
Причина
выбора
Наличие ресурсов и
желание все делать
самостоятельно
Требование «материнской»
компании / регулятора
Желание оптимизировать
ресурсы / их нехватка
Затраты CAPEX + OPEX, часть
затрат может быть
скрытым
OPEX (но может быть
бесплатно), предсказуемые
OPEX, предсказуемые
Min кол-во
персонала
(Заказчик)
Большое подразделение
(3 линии SOC)
1 сервис менеджер 1 сервис менеджер
Скорость
запуска
Медленно,
надо построить SOC
Быстро, надо
подключить услуги
Быстро, надо
подключить услуги
Понимание
контекста
Высокое Среднее Низкое
Режим работы Обычно 8х5 или 12х5 Обычно 24х7 Обычно 24х7
Доступ к
ИС и СЗИ
Внутренний Внешний Внешний
Возможности по
реагированию и
гибкость
Полные Расширенные В рамках SLA
Сравнение моделей SOC
22
23. solarsecurity.ru +7 (499) 755-07-70 23
— Она всегда давала себе хорошие советы,
хоть следовала им нечасто.
24. solarsecurity.ru +7 (499) 755-07-70
Где брать вдохновение для построения SOC?
24
• PMBOK и PRINCE2
• Большие гайды по SOC: MITRE, SANS, HP, IBM,
Ernst & Young и пр.
• ITSM: ITIL и COBIT5
• Рекомендации по расследованию
инцидентов: NIST, CERT, SANS, Microsoft, и пр.
• Документы регуляторов
(например. ГОССОПКА)
• Опыт коллег (http://www.soc-club.ru)
• Если вы MSSP, то стоит посмотреть стандарты
по аутсорсингу (OPBOK, ISO 37500, NOA)
27. solarsecurity.ru +7 (499) 755-07-70 27
Если бы каждый человек занимался своим
делом, Земля бы вертелась быстрее.
28. solarsecurity.ru +7 (499) 755-07-70
Еще вариант ролей для SOC
28
1 линия 2 линия 3 линия
• Специалист по
взаимодействию с
персоналом и
пользователями
• Специалист по
обнаружению
компьютерных атак и
инцидентов
• Специалист по
обслуживанию
технических средств
• Специалист по оценке
защищенности
• Специалист по
ликвидации
последствий
компьютерных
инцидентов
• Специалист по
установлению причин
компьютерных
инцидентов
• Аналитик-методист
• Технический эксперт
• Юрист
• Руководитель
29. solarsecurity.ru +7 (499) 755-07-70
Группа Мониторинга ИБ
Структура команды Solar JSOC
29
Руководитель JSOC
Группа эксплуатации СЗИ
Инженеры реагирования и
противодействия – 12*5
(НН, 3 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 12 человек)
2-ая линия
администрирования – 12*5
(Москва+НН, 6 человек)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва+НН, 7 человек)
Администраторы ИБ - эксперты
(Москва, 2 человека)
Группа развития
( 2 архитектора,
ведущий аналитик
2 пресейл-аналитика)
Группа управления
(сервис-менеджеры, 6
человек)
Группа
расследования
(pentest/forensic/reverse -
5 человек)
31. solarsecurity.ru +7 (499) 755-07-70
SOC – это люди! Необходима выделенная команда SOC
Начинать стоит с 2-3 человек 1й линии + 1 аналитик + руководитель.
Люди «с горящими глазами» будут полезнее дорогих специалистов
Необходимо определить программы подбора персонала, стажировок
(желательно партнерство с ВУЗами), и обучения сотрудников
Специалистов не хватает. Ваших сотрудников будут активно
перекупать…
Необходимо работать с мотивацией:
интересные задачи, перспективы роста,
комфортные условия и пр.
Нет кадров – пора думать об услугах MSSP/MDR
C чего начать: Люди
31
32. solarsecurity.ru +7 (499) 755-07-70 32
Делать ей было совершенно нечего, а сидеть
без дела, сами знаете, дело нелегкое.
33. solarsecurity.ru +7 (499) 755-07-70
Процессы SOC. Да, их больше, чем кажется
33
• Инвентаризация и контроль конфигураций
• Анализ угроз / рисков
• Выявление уязвимостей и контроль их устранения
• Тестирование на проникновение
• Threat Hunting
• Контроль выполнения требований (аудит)
• Анализ кода приложений
• Управление событиями ИБ
• Управление инцидентами
• Управление знаниями
• Управление проблемами
• Управление изменениями
• Обучение и повышение осведомленности
• Управление уровнем услуг
• ...
34. solarsecurity.ru +7 (499) 755-07-70
Процессы / Функции ГосСОПКА
34
• Инвентаризация информационных ресурсов
• Выявление уязвимостей информационных ресурсов
• Анализ угроз информационной безопасности
• Повышение квалификации персонала информационных ресурсов
• Прием сообщений о возможных инцидентах от персонала и
пользователей информационных ресурсов
• Обеспечение процесса обнаружения компьютерных атак
• Анализ данных о событиях безопасности
• Регистрация инцидентов
• Реагирование на инциденты и ликвидация их последствий
• Установление причин инцидентов
• Анализ результатов устранения последствий инцидентов
35. solarsecurity.ru +7 (499) 755-07-70
C чего начать: Процессы
35
Набор процессов будет зависеть от целей SOC и
порядка взаимодействия с ИТ
Первые процессы: управление событиями и
инцидентами. Ориентируемся на ITIL!!!
Потом формализуем управление изменениями
(работа по заявкам), и управление проблемами
Сначала надо выстроить процессы, а уже потом их
документировать
Заранее определите метрики для работы 1й линии
Часть процессов можно отдать на аутсорсинг
(кратковременный (пока строим свои) или
долговременный)
Начинать стоит с режима работы 8х5, но задать
целью 24х7
36. solarsecurity.ru +7 (499) 755-07-70 36
— Скажите, пожалуйста, куда мне отсюда идти?
— А куда ты хочешь попасть? — ответил Кот.
— Мне все равно… — сказала Алиса.
— Тогда все равно, куда и идти, — заметил Кот.
37. solarsecurity.ru +7 (499) 755-07-70
Технологии SOC
37
Мониторинг и СЗИ Автоматизация и управление
• SIEM: HPE ArcSight ESM, MaxPatrol SIEM
• VM: Qualys, MaxPatrol, Tenable (Nessus)
+ NMap, Metasploit,
• Sandbox: Cuckoo Sandbox, + работаем с
СЗИ Заказчика: FireEye, KATA,
FortiSandbox, TrendMicro
• IDS и МСЭ: все основные Заказчика
• UEBA: HPE и разработки Solar Security
• WAF: F5, Imperva, PTAF, SolidWall
• VPN: ViPNet, S-Terra SCP, Континент
• Анти-DDoS: Arbor (Appliance и канал
Ростелеком), Kaspersky DDoS Prevention
• Сканер кода: Solar InCode
• Прочее: Skybox Security и пр.
• Service Desk: Kayako + можем
интегрироваться с BMC Remedy,
HP Service Manager, R-Vision
• CMDB: пока Excel под каждого
Заказчика
• Визуализация и отчеты: Solar
InView
• Threat Intelligence: СУБД в связке
с SIEM
• Knowledge base: средствами
Kayako
• Виртуализация: Oracle VM
VirtualBox и VMWare
+ внутренняя ИБ SOC…
38. solarsecurity.ru +7 (499) 755-07-70
C чего начать: Технологии
38
• Тщательно выбираем SIEM, его потом ОЧЕНЬ
сложно заменить… Все процессы строим вокруг
него
• Если покупаем сложное средство мониторинга или
СЗИ, то нужен аналитик. Если опенсорс, то
аналитик и программист…
• Вам точно потребуются средства автоматизации
процессов ITSM: SD и CMDB
• ITSM-системы, закупленные ИТ, вам скорее всего
не подойдут, они «заточены» под другие задачи
• Не стоит брать дорогое решение, все равно
придется переделывать…
39. solarsecurity.ru +7 (499) 755-07-70 39
— Этой ужасной минуты я не забуду никогда в жизни.
— Забудешь, если не запишешь
40. solarsecurity.ru +7 (499) 755-07-70
Методологии и знания SOC
40
Правила корреляции
Фиды (feeds)
Инструкции и памятки
Учебные материалы и стенды
41. solarsecurity.ru +7 (499) 755-07-70
Threat Intelligence в JSOC
41
• Opensource базы
• Репутационные базы вендоров и других
технологических партнеров
• Платные подписки (тратим более 300 000 $
в год): ЛК, Group-IB и другие
• Информация с СЗИ
• Расследование инцидентов
• Собственные исследования в «серой зоне»
• Информационный обмен с регуляторами:
ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ),
bdu.fstec.ru (ФСТЭК России)
• Партнерство с CERTами
42. solarsecurity.ru +7 (499) 755-07-70
C чего начать: Знания
42
• Знания необходимо накапливать…
Фиды, фиды, фиды…
• Правила «из коробки» работают в
«сферической» инфраструктуре
• Длинные цепочки корреляции
низкоэффективны
• Короткие цепочки генерят очень много
FP, необходимо эффективно фильтровать
43. solarsecurity.ru +7 (499) 755-07-70 43
План, что и говорить, был превосходный: простой и
ясный, лучше не придумать. Недостаток у него был
только один: было совершенно неизвестно, как
привести его в исполнение.
44. solarsecurity.ru +7 (499) 755-07-70
Начните с этого…
44
На следующую неделю
Изучите доступные материалы про SOC
Верхнеуровнево оцените зрелость процессов, необходимых для SOC
На 3 месяца
Поймите и примите необходимость управления инцидентами и
донесите эту мысль до руководства
Актуализируйте перечень важных информационных ресурсов
Определите уместный тип SOC (I, II, III)
Определите необходимые ресурсы (люди, процессы, технологии)
Определите модель взаимодействия с ИТ, роли и ответственность
Подготовьте верхнеуровневый план работ
На год
Запустите процессы: Управление уязвимостями, Управление
событиями ИБ и Управление инцидентами