1. Security as a Service = JSOC
Эльман Бейбутов,
Толкатель бизнеса аутсорсинга ИБ
2. solarsecurity.ru +7 (499) 755-07-70
Про Solar Security
2
Основные факты
Компания Solar Security разработчик ПО и провайдер сервисов
ИБ
Компания Solar Security основана компанией «Инфосистемы
Джет» – интегратором № 1 по информационной безопасности на
коммерческом рынке
Solar Security – это команда с двадцатилетним опытом разработки
продуктов и собственная исследовательская лаборатория по
анализу и прогнозированию инцидентов информационной
безопасности
3. solarsecurity.ru +7 (499) 755-07-70
Позиционирование JSOC
3
Представление об аутсорсинге ИБ
Подключение к сервисам ИБ здесь и сейчас, вместо
проектирования, внедрения, обучения и эксплуатации
собственных систем
Агрегация компетенций, партнерских связей и лучших
технологий в едином поставщике
Позиционирование Solar Security и JSOC
Мы первые в России развили идеи аутсорсинга SOC до первых
коммерческих подключений к центру мониторинга инцидентов
В-первую очередь интересно предлагать емкие аналитические
темы
Мы гарантируем выполнение SLA по реагированию и разбору
инцидентов
4. solarsecurity.ru +7 (499) 755-07-70
Опыт MSSP заграницей*
4
Сервисы, доступные за рубежом
Базовый мониторинг логов и хранение событий (Compliance)
периметральных СЗИ (FW, IPS, Proxy, VPN)
Предоставление Software as a Service (Web-, Email- security,
antiDDoS, MDM) в аренду с базовым мониторингом
Малодоступные услуги западных MSSP
Анализ хакерской активности в окружении конкретных
компаний-клиентов (APT detection)
SIEM as a Service (не путать с SOC!)
Практически не встречается – SOC as a Service
*Gartner, MSSP report, декабрь 2014
5. solarsecurity.ru +7 (499) 755-07-70
Почему аутсорсинг стал интересен
в России
5
От SIEM к SOC – Дорогу осилит смотрящий?
Когда-то мы внедрили более 35 SIEM
«В среднем по больнице» на стороне наших клиентов темой SIEM
занимается 0.5 – 1.5 человека
Примерно 80% компаний так и не построили SOC
У 20% компаний через год обнаружились сложности с доступом
в консоль SIEM из-за забытых логинов и паролей
Не более 15% компаний вышли на осознанные вторые этапы развития
SIEM и дозакупки оборудования и ПО
МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ,
КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!
6. solarsecurity.ru +7 (499) 755-07-70
Зрелость SOC в России
6
Количество выполненных
проектов по SIEM с 2010 года
Уровень зрелости SOC
по индустриям,
по 5-ти бальной шкале
17
6
3
3
1
3
Финансы
ТЭК
Госсектор
Телеком
Ритейл
ИТ-сервисы
0 0.5 1 1.5 2 2.5
ИТ-сервисы
ТЭК
Финансы
Госсектор
Ритейл
Телекомы
7. solarsecurity.ru +7 (499) 755-07-70
Почему это стало важным
7
Переход на APT – кто еще не стал жертвой киберпреступности?
«Рынок антивирусов умер» (с) вице-президент Symantec, 2014
Взлет рынка «песочниц» для автоматического анализа ПО
Смещение акцентов на атаки против инфраструктуры
конкретной компании
8. solarsecurity.ru +7 (499) 755-07-70
Неудобные вопросы, но всё же…
8
Мониторинг
инцидентов
Вы потратили 200K$ на
SIEM, а сколько
критичных инцидентов в
месяц вы выявляете и
разбираете?
Говорят, что опытный
специалист по SIEM – на
вес золота. Сможете ли
вы удержать сотрудника
в компании после года
его стажировок и
практики?
Администрирование
систем ИБ
У вас около 15 решений
в области ИБ, а штат
сотрудников – не более 5
человек. Они успевают
хотя бы обновлять
версии систем
безопасности, не говоря
уже о тонкой настройке
правил?
Как быстро вы обычно
регистрируете сбой в
системах ИБ? Как вы
думаете, обо всех ли
сбоях становится вам
известно?
Анализ кода
приложений
Правда ли, что
безопасность мало
вовлечена в процесс
разработки кода, а
инциденты взлома
приложений приходится
разбирать пачками?
Не так то просто найти
специалиста ИБ,
сильного в
программировании? Да,
впрочем, и наоборот
тоже
9. solarsecurity.ru +7 (499) 755-07-70
Почему используют аутсорсинг
9
1
32%
2
22%
3
18%
4
12%
5
10%
6
6%
НЕХВАТКА
ПЕРСОНАЛА
ОРГАНИЗАЦИЯ
СЕРВИСОВ 24*7
НЕОБХОДИМОСТЬ
БЫСТРОГО
СТАРТА СЕРВИСОВ
НЕОБХОДИМОСТЬ
РАЗНОПЛАНОВОЙ
ЭКСПЕРТИЗЫ
СНИЖЕНИЕ ЗАВИСИМОСТИ
ОТ СВОИХ СПЕЦИАЛИСТОВ
СОКРАЩЕНИЕ
УПРАВЛЕНЧЕСКИХ ЗАТРАТ
10. solarsecurity.ru +7 (499) 755-07-70
Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять
таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств
защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения,
а за инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
1
2
3
4
5
11. solarsecurity.ru +7 (499) 755-07-70
У нас есть, что предложить…
11
Контроль защищенности
Противодействие
киберпреступности
Эксплуатация
систем ИБ
Анализ кода
Защита
web-приложений
Анти-DDoS
Мониторинг
инцидентов
ПРЕДЛАГАЕМ
SECaaS
13. solarsecurity.ru +7 (499) 755-07-70
Команда JSOC
13
Группа разбора инцидентов
Руководитель департамента JSOC
(Дрюков Владимир)
Группа администрирования
Группа развития JSOC
(пресейл-аналитик, архитектор,
ведущий аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 5 человек)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
14. solarsecurity.ru +7 (499) 755-07-70
JSOC: Мониторинг инцидентов –
если SIEM нет
14
Как это выглядит:
Оборудование и лицензии – арендная схема
Мониторинг и анализ инцидентов – силами JSOC
Подключение – установка сервера коннекторов
и настройка источников
Преимущества:
Нет стартовых капитальных вложений
Быстрый запуск услуги – до 1,5 месяцев
Перекрестное информирование схожих по инфраструктуре
клиентов об обнаруженных атаках нулевого дня
Агрегация информации об угрозах в одном центре мониторинга
Мониторинг
инцидентов
15. solarsecurity.ru +7 (499) 755-07-70
JSOC: Мониторинг инцидентов –
если ArcSight уже есть
15
Как это выглядит:
Оборудование и лицензии –
в собственности клиента
Правила SIEM обогащаются сценариями JSOC
Команда JSOC анализирует все инциденты
в SIEM
Преимущества:
Обновление SIEM, тюнинг источников под задачи
Более 1500 корреляционных правил, объединенных в 174
таргетированных сценариев инцидентов ИБ
Мониторинг и разбор инцидентов в режиме 24*7 при полном
соблюдении гарантированного уровня SLA
Мониторинг
инцидентов
16. solarsecurity.ru +7 (499) 755-07-70
Факты, преимущества и выгоды
16
Факты
•1-я линия дежурной
смены 24х7 обрабатывает
более 75 000 событий с
подозрением на
инциденты в год
•Штат JSOC насчитывает
более 30 человек
•Реагирование в течение
15 минут
•Катастрофоустойчивая
платформа на ArcSight
•Партнерские соглашения
с ведущими CERT и
другими аналитическими
центрами ИБ для
оперативного
противодействия
киберпреступности
Преимущества
•Более 170 детектируемых
векторов атак
•Перекрестное
информирование
клиентов об обнаруженных
атаках
•Использование
информации о хакерских
группировках, бот-сетях и
не доверенных IP-адресах
от нескольких ведущих
зарубежных и российских
аналитических центров
•Мониторинг инцидентов и
противодействие
киберпреступности в
режиме 24х7 при полном
соблюдении уровня SLA
Выгоды
•Получение готового
сервиса по мониторингу
инцидентов без
капитальных затрат спустя
1 месяц после подписания
контракта
•Compliance в части
управления инцидентами,
защиты web-приложений
и анализа кода
•Информированность и
готовность к атакам
нулевого дня
•Высвобождение ресурсов
своих сотрудников для
новых проектов после
передачи
администрирования
систем ИБ в JSOC
17. solarsecurity.ru +7 (499) 755-07-70
JSOC – Противодействие
киберпреступности
17
Как это выглядит:
Мы сообщим о том, что ваши учетные записи были
взломаны и выложены в Интернет.
Проведем анализ последствий такой компрометации
Оперативный поиск zero-day троянов, обнаруженных
через JSOC, Group-IB, Kaspersky
Круглосуточное выявление обращений к вредоносным
ресурсам и входящих подключений с опасных ресурсов
Преимущества:
Наиболее релевантная российскому рынку информация об атаках, основанная
на информации бот-сетей и сенсорах, установленных в компаниях
Информирование об атаке, когда она случилась у других, а не у вас
Защита на ранних стадиях атаки путем анализа трендов реализации целевых
угроз ИБ в различных сегментах российского рынка
Противодействие
киберпреступности
18. solarsecurity.ru +7 (499) 755-07-70
JSOC – Эксплуатация систем ИБ
18
Как это выглядит:
Обеспечение работоспособности систем ИБ:
• Мониторинг «здоровья» систем, восстановление
работоспособности;
• Обновление версий, администрирование и профилактика
Эксплуатация систем ИБ:
• Администрирование, разработка и оптимизация политик;
• Оповещение о новых угрозах и обновление сигнатур
Преимущества:
Круглосуточное обеспечение мониторинга работоспособности
систем силами дежурной смены специалистов JSOC;
Применение лучших практик и высокой экспертизы
команды JSOC для обеспечения вашей безопасности;
Эксплуатация
систем ИБ
19. solarsecurity.ru +7 (499) 755-07-70
JSOC – безопасность внешних сервисов
19
Как это выглядит:
Защита от DDoS
• Мониторинг атак и переключение трафика на очистку
в облако Kaspersky
• Для клиентов Ростелекома услуга по очистке трафика
и защита канала с помощью Arbor
Web application firewall
• Предоставление WAF в аренду с полным администрированием
из JSOC
• Подключение к JSOC имеющегося WAF (Imperva, F5)
и эксплуатация/рекомендации настроек
Преимущества:
Защита web-сервисов от наиболее распространенных угроз:
атакам на доступность и конфиденциальность
Минимальное вовлечение специалистов клиента
и оперативная настройка политик и сигнатур WAF
при обнаружении новых угроз
Анти-DDoS
WAF
20. solarsecurity.ru +7 (499) 755-07-70
JSOC – Контроль защищенности
20
Как это выглядит:
Инвентаризация систем
Инструментальный анализ уязвимостей
Адаптация отчетов о сканировании
Формирование конечных рекомендаций для
ИТ-специалистов по устранению критичных уязвимостей
Сопровождение устранения уязвимостей
Регулярная оценка защищённости от zero-day
Преимущества:
Получение реальной картины уязвимостей инфраструктуры с учетом всех
особенностей архитектуры
Технический и организационный контроль процесса закрытия уязвимостей
ИТ-службами
Возможность высвободить время собственных специалистов от рутинных задач
обработки отчетов сканирования
Контроль
защищенности
21. solarsecurity.ru +7 (499) 755-07-70
JSOC – Анализ кода
21
Как это выглядит:
Проверка исходного кода Java, PHP, C# и более
десятка других языков по запросу
Анализ безопасности мобильных приложений iOS,
Android по бинарному файлу
Встраивание проверки безопасности кода
в процесс разработки ПО в компании
Преимущества:
Результаты анализа предоставляются в формате конкретных рекомендаций
по устранению уязвимостей кода приложений с оценкой трудоемкости
исправлений;
Выдача детальных рекомендаций по настройке наложенных средств
защиты для закрытия уязвимостей без изменения кода;
Возможность анализа приложений, разработанных на любых языках
программирования: как современных, так и устаревших
Анализ кода
22. solarsecurity.ru +7 (499) 755-07-70
Гарантии выполнения SLA
22
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время
обнаружения
инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой
диагностики и
информирования
заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи
рекомендаций по
противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч