Как правильно сделать SOC на базе SIEM

1. Как сократить путь от SIEM * к SOC** The shortest way from SIEM to SOC Денис Батранков архитектор по безопасности HP Enterprise Security *SIEM - Security information and event management **SOC – Security Operation Center © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

2. О чем пойдет речь? SIEM это лишь очень хороший инструмент SOC это продукты*люди*процессы SOC на верхнем уровне зрелости включает более 140 процессов Аналитики в SOC больше 1-3 лет не выдерживают режима анализа логов При правильной настройке SIEM та же команда аналитиков обрабатывает в сотни раз большее число событий в сети Как достичь зрелого SOC HP помогло построить более сотни SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

3. Что такое HP Enterprise Security 1400 безопасников из команд ArcSight, Fortify, TippingPoint 1500 безопасников из сервисного подразделения HP Enterprise Security Services Лидер рынка согласно квадратам Gartner (SIEM, Log Mgt, AppSec, Network Security) Одна команда, одно видение Лидер согласно квадрату Gartner Увеличивающаяся доля рынка 5 -й ATALLA DATA SECURITY среди самых крупных вендоров по безопасности © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

4. Что такое SIEM На примере HP ArcSight HP ArcSight Многокомпонентная платформа для своевременного выявления атак и контроля требований безопасности • Сбор любых журналов с любых систем • Управление и хранение всех событий • Анализ событий в реальном времени • Идентификация необычного поведения на уровне пользователей • Реагировать своевременно, чтобы предотвратить потери © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

5. Что такое SOC  Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга.  Бизнес требования реализуются сразу при разработке решения.  Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами.  Создает платформу для любого вида мониторинга и отчетности.  Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

6. SOC (и SIEM) требует стратегии Например • Безопасность • ISO 27002 Security Compliance • Соответствие требованиям • PCI-DSS • Операции ИТ • Процедуры и политики компании IT Operations © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

7. Вопросы перед созданием SOC. Зачем? • Какие потребности у организации будут удовлетворены в SOC? • Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.) • Кто потребитель информации, которую собирает и рапортует SOC? • Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC? • Какие события безопасности должен «переваривать» SOC? © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

8. Примеры использования SOC (от одного из заказчиков) Мониторинг распространения вредоносного кода Мониторинг устройств топ-менеджеров (VIP мониторинг) Мониторинг сереров Windows Мониторинг IPS Мониторинг Active Directory Контроль соответствия PCI: отчетность и оповещение Мониторинг утечек данных (DLP) Мониторинг привилегированных пользователей © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

9. Основные бизнес драйверы к появлению SOC  Создание SOC стоит того, чтобы знать и предотвращать атаки  SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы  Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение  Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

10. Стратегическое видение безопасного функционирования компании с использованием SOC ТЕХНОЛОГИИ ПРОЦЕССЫ Эскалация Firewall Intrusion Detection Router ЛЮДИ 5 Владельцы 2 сети и 1 систем Разбор Web инцидента Server Уровень 1 Уровень 2 6 Закрыт 4 инженер Proxy 3 Server ESM Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

11. Задача – найти события, на которые надо реагировать Intrusion Сервера и Firewalls/ рабочие Сетевое Vulnerability Антивирусы Detection Приложения БД VPN станции оборудование Assessment Systems Физическая Identity Directory System Health Web инфраструктура Management Services Information Traffic Знакомые Миллионы уже угрозы разных событий Тысячи Известные уязвимости событий относящихся к безопасности Критичные для бизнеса Сотни ИТ ресурсы событий в результате корреляции На поверхности сразу Приоритезация на основе рисков критичные события © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

12. На какие события реагировать? Что ищем? (UseCase) Источники данных Критерий для реакции Действие Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Соединения от или к известным Показ активности на экране SOC Intelligence вредоносным сайтам Распространение вирусов Антивирус 3 одинаковых вируса на разных Начать контроль на экране SOC, хостах за 10 минут оповестить отвественных за рабочие станции Успешная атака на сервер IDS/IPS, информация об Атакованный сервер реально Оповестить серверную команду / уязвимости содержит данную уязвимость начать контроль за действиями сервера / вывести на экран SOC SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое Вывести на экран аналитика время Фишинг Threat Intelligence, Firewall, IDS, Connection to or from known Display in analyst active channel Proxy, Mail malicious host or domain Неавторизованный удаленный VPN, Applications Successful VPN authentication from a Display in analyst active channel / доступ non domain member Page network team Новая уязвимость на хосте в Vulnerability Новая уязвимость найдена на Email daily report to vulnerability ДМЗ публично доступной системе team Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Escalating watch lists (recon, exploit, Email daily suspicious user activity brute force, etc.) report to level 1 Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Moving average variation of X Display alerts in situational Server magnitude in specified time frame awareness dashboard Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

13. Подбор правильного персонала в SOC Роли и должностные обязанности Обучение  Аналитики 1 и 2 уровня  Основы ИТ безопасности  Разборщик инцидентов  Обучение в процессе работы  Инженер SIEM  Обучение SIEM  Менеджер SOC  Logger Search & Reporting  Logger Admin & Operations  ESM Security Analyst  ESM Administrator  Connector Foundations  Connector Appliance  GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

14. Оргструктура Security Operations Senior Manager Business Office SIRT – SOC Security Device Management группа разбора инцидентов Security Device Engineering Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) ArcSight Engineering Уровень-1 & Уровень-2 (Admin, Ops, Eng.) SOC 24x7x365 = 10 аналитиков, работающих в смену © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

15. Аналитик это  Оппонент хакерам  Очень стрессоустойчивый человек  Знает сетевые технологии  Знает как выглядят исходные коды  Знает шестнадцатиричную систему счисления  Понимает как проходят атаки  Понимает как работает вредоносный код  Умеет делать выводы  Любит учиться  Любит ковыряться в продуктах  Не спит  Не болеет © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

17. Кто еще нужен для работы SOC?  Администраторы различных систем: серверов, баз данных, виртуализации, сети и т.д.  Группа разбора инцидентов  Администраторы системам безопасности  Юристы  Отдел кадров  Отдел PR  Руководители подразделений  Да и всем сотрудникам стоит оповещать SOC о том, что видят глазами: фишинговые письма, краденое оборудование, потери данных и т.д. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

19. Совершенствование процессов CMMI - Capability Maturity Model® Integration – методология совершенствования процессов в организациях © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

20. Обобщение информации Сбор Анализ Использование Inductive Daily Intel Summary • Security news • Nodal analysis This is tactical intelligence for the primary • Geopolitical news • Technology news • Pattern analysis use of the SOC analysts to enable them to identify events of interest. • CERTs • Statistical analysis • Indications & warnings • Google alerts • Internal news • Inference Quarterly Threat Report • Investor news • Trained intuition This is strategic intelligence for the use of • Industry news managers and executives who are making long term technology decisions. • iDefense Deductive • DeepSight • Analogy • Secunia • FIRST • Fact collection Mechanisms • Visual analysis • Email • Intrusion detection • Time sequence • Dashboard • Network monitoring • Formal document • Weekly threat report • Traffic analysis • Briefing • Intrusion analysis © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

21. Обработка событий людьми – cамый важный процесс SOC Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 Обозначения Неавторизованный админ A A A C1 C1  C1: Реакция в теч. 15 мин Неавторизованый пользователь A A I2 C2 C1  C2: Реакция в теч. 30 мин  C3: Реакция 2 часа Попытка неавторизованного A A A I3 C3  I2: Срочное расследование доступа  I3: Обычное расследование  T1: Критичный тикет Успешный DoS A A I2 C2 C1  T2: Срочный тикет Нарушение политики A A T3 T2 T1  T3: Обычный тикет  A: активный мониторинг Сканирование A A A I3 I2 Вредоносный код A A T3 T2 C2 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

22. Как измерить эффективность работы SOC Weekly Analysis of Events per Analyst Week Raw Correlated Analysts Raw / Analyst Correlated / Analyst Week 1 38,697,210 97,922 10 3,869,721 9,792.20 Week 2 60,581,457 66,102 10 6,058,146 6,610.20 Raw Events / Analyst Week 4 55,585,228 19,116 10 5,558,523 1,911.60 25,000,000 Week 5 55,917,976 23,755 10 5,591,798 2,375.50 Week 6 54,044,928 18,340 10 5,404,493 1,834.00 20,000,000 Week 7 59,840,026 18,340 10 5,984,003 1,834.00 Week 8 72,364,038 33,866 10 7,236,404 3,386.60 15,000,000 Week 9 71,964,115 30,927 10 7,196,412 3,092.70 y = 589551x + 2E+06 Week 10 71,500,000 28,900 10 7,150,000 2,890.00 10,000,000 Week 11 59,600,000 19,300 10 5,960,000 1,930.00 Week 12 51,200,000 11,400 10 5,120,000 1,140.00 5,000,000 Week 13 67,600,000 17,600 10 6,760,000 1,760.00 Week 14 76,600,000 30,000 10 7,660,000 3,000.00 - Week 15 75,300,000 22,000 10 7,530,000 2,200.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Week 16 69,200,000 17,000 10 6,920,000 1,700.00 Week 17 97,800,000 17,800 10 9,780,000 1,780.00 Week 18 108,500,000 11,500 10 10,850,000 1,150.00 Correlated Events / Analyst Week 19 183,200,000 5,600 10 18,320,000 560.00 12,000.00 Week 20 182,400,000 5,100 10 18,240,000 510.00 10,000.00 Week 21 170,000,000 4,800 10 17,000,000 480.00 Week 22 182,400,000 7,600 10 18,240,000 760.00 8,000.00 Week 23 219,000,000 11,300 10 21,900,000 1,130.00 6,000.00 Week 24 168,800,000 8,100 10 16,880,000 810.00 Week 25 151,500,000 6,876 10 15,150,000 687.60 4,000.00 Week 26 170,500,000 7,813 10 17,050,000 781.30 y = -150.3x + 4274 2,000.00 Week 27 165,300,000 28,247 10 16,530,000 2,824.70 Week 28 161,500,000 4,569 10 16,150,000 456.90 - Week 29 186,700,000 6,164 10 18,670,000 616.40 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Week 30 173,600,000 5,632 10 17,360,000 563.20 (2,000.00) Average 112,454,999 20,195 11,245,500 2,020 Median 76,600,000 17,600 7,660,000 1,760 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 22

25. Зрелость процессов SOC 1: Хаотично Всегда по-разному 2: Повторяемо Можно повторить 3: Задано Повторяется и улучшается 4: Управляемо Измеряется и улучшается 5: Само-оптимизируемо Постоянно улучшается © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

27. Построение SOC и одновременно снижение риска Разработка Разработка Реализация Взросление и Последний стратегии решения сетификация рывок SOC мирового Аудит класса Упражняемся SOC полностью работает • Staffing • Training SOC начал • Process / Procedure работу • Deploying Technology • Building content • Maturity Архитектура и операции задокументированы Легко принять Проект полностью готов 30 days 90 days 180 days 270 days 365 days Workshop & Roadmap © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

28. Спасибо Денис Батранков, Архитектор по безопасности HP Enterprise Security © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Как правильно сделать SOC на базе SIEM

Как правильно сделать SOC на базе SIEM

Recommended

More Related Content

What's hot

What's hot(20)

Similar to Как правильно сделать SOC на базе SIEM

Similar to Как правильно сделать SOC на базе SIEM(20)

More from Denis Batrankov, CISSP

More from Denis Batrankov, CISSP(14)

Как правильно сделать SOC на базе SIEM