Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Как сократить путь         от SIEM * к SOC**         The shortest way from         SIEM to SOC         Денис Батранков    ...
О чем пойдет речь?SIEM это лишь очень хороший инструментSOC это продукты*люди*процессыSOC на верхнем уровне зрелости включ...
Что такое HP Enterprise Security1400 безопасников из команд ArcSight, Fortify, TippingPoint1500 безопасников из сервисного...
Что такое SIEMНа примере HP ArcSight                                                                                      ...
Что такое SOC Контроль всех процессов безопасности в любой точке компании из  одного центра –> высокая эффективность мони...
SOC (и SIEM) требует стратегииНапример•     Безопасность      • ISO 27002                                                 ...
Вопросы перед созданием SOC. Зачем?• Какие потребности у организации будут удовлетворены в SOC?• Какие конкретно задачи ст...
Примеры использования SOC(от одного из заказчиков)       Мониторинг распространения вредоносного кода                     ...
Основные бизнес драйверы к появлению SOC   Создание SOC стоит того, чтобы знать и предотвращать атаки   SOC автоматизиру...
Стратегическое видение безопасногофункционирования компании с использованиемSOC                                       ТЕХН...
Задача – найти события, на которые надо реагировать                            Intrusion                  Сервера и Firewa...
На какие события реагировать?Что ищем? (UseCase)                               Источники данных                           ...
Подбор правильного персонала в SOCРоли и должностные обязанности                                                          ...
Оргструктура                                                                                         Security Operations  ...
Аналитик это    Оппонент хакерам    Очень стрессоустойчивый человек    Знает сетевые технологии    Знает как выглядят ...
Программа тренировок аналитика © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein...
Кто еще нужен для работы SOC?   Администраторы различных систем: серверов, баз данных,    виртуализации, сети и т.д.   Г...
Процессы и процедуры SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is su...
Совершенствование процессовCMMI - Capability Maturity Model® Integration –методология совершенствования процессов в органи...
Обобщение информации   Сбор                                                                                  Анализ       ...
Обработка событий людьми –cамый важный процесс SOC                         Категории                                      ...
Как измерить эффективность работы SOC                     Weekly Analysis of Events per Analyst  Week          Raw      Co...
SOC отчитывается по определенным KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained ...
SOC KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change w...
Зрелость процессов SOC1:    Хаотично                                                                                      ...
Оценка зрелости SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject...
Построение SOC и одновременно снижение риска            Разработка                             Разработка                 ...
Спасибо      Денис Батранков,      Архитектор по безопасности      HP Enterprise Security© Copyright 2012 Hewlett-Packard ...
Upcoming SlideShare
Loading in …5
×

Как правильно сделать SOC на базе SIEM

13,249 views

Published on

Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.

Как правильно сделать SOC на базе SIEM

  1. 1. Как сократить путь от SIEM * к SOC** The shortest way from SIEM to SOC Денис Батранков архитектор по безопасности HP Enterprise Security *SIEM - Security information and event management **SOC – Security Operation Center© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  2. 2. О чем пойдет речь?SIEM это лишь очень хороший инструментSOC это продукты*люди*процессыSOC на верхнем уровне зрелости включает более 140 процессовАналитики в SOC больше 1-3 лет не выдерживают режима анализалоговПри правильной настройке SIEM та же команда аналитиковобрабатывает в сотни раз большее число событий в сетиКак достичь зрелого SOCHP помогло построить более сотни SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  3. 3. Что такое HP Enterprise Security1400 безопасников из команд ArcSight, Fortify, TippingPoint1500 безопасников из сервисного подразделения HP Enterprise SecurityServicesЛидер рынка согласно квадратам Gartner (SIEM, Log Mgt, AppSec, NetworkSecurity) Одна команда, одно видение Лидер согласно квадрату Gartner Увеличивающаяся доля рынка 5 -й ATALLA DATA SECURITY среди самых крупных вендоров по безопасности © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  4. 4. Что такое SIEMНа примере HP ArcSight HP ArcSight Многокомпонентная платформа для своевременного выявления атак и контроля требований безопасности • Сбор любых журналов с любых систем • Управление и хранение всех событий • Анализ событий в реальном времени • Идентификация необычного поведения на уровне пользователей • Реагировать своевременно, чтобы предотвратить потери © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  5. 5. Что такое SOC Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга. Бизнес требования реализуются сразу при разработке решения. Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами. Создает платформу для любого вида мониторинга и отчетности. Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалироватьважные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  6. 6. SOC (и SIEM) требует стратегииНапример• Безопасность • ISO 27002 Security Compliance• Соответствие требованиям • PCI-DSS• Операции ИТ • Процедуры и политики компании IT Operations © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  7. 7. Вопросы перед созданием SOC. Зачем?• Какие потребности у организации будут удовлетворены в SOC?• Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.)• Кто потребитель информации, которую собирает и рапортует SOC?• Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC?• Какие события безопасности должен «переваривать» SOC? © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  8. 8. Примеры использования SOC(от одного из заказчиков) Мониторинг распространения вредоносного кода Мониторинг устройств топ-менеджеров (VIP мониторинг) Мониторинг сереров Windows Мониторинг IPS Мониторинг Active Directory Контроль соответствия PCI: отчетность и оповещение Мониторинг утечек данных (DLP) Мониторинг привилегированных пользователей © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  9. 9. Основные бизнес драйверы к появлению SOC Создание SOC стоит того, чтобы знать и предотвращать атаки SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  10. 10. Стратегическое видение безопасногофункционирования компании с использованиемSOC ТЕХНОЛОГИИ ПРОЦЕССЫ Эскалация Firewall Intrusion Detection Router ЛЮДИ 5 Владельцы 2 сети и1 систем Разбор Web инцидента Server Уровень 1 Уровень 2 6 Закрыт 4 инженер Proxy 3 Server ESM Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  11. 11. Задача – найти события, на которые надо реагировать Intrusion Сервера и Firewalls/ рабочие Сетевое Vulnerability Антивирусы Detection Приложения БД VPN станции оборудование Assessment Systems Физическая Identity Directory System Health Web инфраструктура Management Services Information Traffic Знакомые Миллионы уже угрозы разных событий Тысячи Известные уязвимости событий относящихся к безопасности Критичные для бизнеса Сотни ИТ ресурсы событий в результате корреляции На поверхности сразу Приоритезация на основе рисков критичные события © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  12. 12. На какие события реагировать?Что ищем? (UseCase) Источники данных Критерий для реакции ДействиеАктивность бот-сетей Firewall, IDS, Proxy, Mail, Threat Соединения от или к известным Показ активности на экране SOC Intelligence вредоносным сайтамРаспространение вирусов Антивирус 3 одинаковых вируса на разных Начать контроль на экране SOC, хостах за 10 минут оповестить отвественных за рабочие станцииУспешная атака на сервер IDS/IPS, информация об Атакованный сервер реально Оповестить серверную команду / уязвимости содержит данную уязвимость начать контроль за действиями сервера / вывести на экран SOCSQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое Вывести на экран аналитика времяФишинг Threat Intelligence, Firewall, IDS, Connection to or from known Display in analyst active channel Proxy, Mail malicious host or domainНеавторизованный удаленный VPN, Applications Successful VPN authentication from a Display in analyst active channel /доступ non domain member Page network teamНовая уязвимость на хосте в Vulnerability Новая уязвимость найдена на Email daily report to vulnerabilityДМЗ публично доступной системе teamПодозрительная активность Firewall, IDS, Mail, Proxy, VPN Escalating watch lists (recon, exploit, Email daily suspicious user activity brute force, etc.) report to level 1Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Moving average variation of X Display alerts in situational Server magnitude in specified time frame awareness dashboardНовый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  13. 13. Подбор правильного персонала в SOCРоли и должностные обязанности Обучение Аналитики 1 и 2 уровня  Основы ИТ безопасности Разборщик инцидентов  Обучение в процессе работы Инженер SIEM  Обучение SIEM Менеджер SOC  Logger Search & Reporting  Logger Admin & Operations  ESM Security Analyst  ESM Administrator  Connector Foundations  Connector Appliance  GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  14. 14. Оргструктура Security Operations Senior Manager Business Office SIRT – SOC Security Device Management группа разбора инцидентов Security Device Engineering Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) ArcSight Engineering Уровень-1 & Уровень-2 (Admin, Ops, Eng.) SOC 24x7x365 = 10 аналитиков, работающих в смену © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  15. 15. Аналитик это Оппонент хакерам Очень стрессоустойчивый человек Знает сетевые технологии Знает как выглядят исходные коды Знает шестнадцатиричную систему счисления Понимает как проходят атаки Понимает как работает вредоносный код Умеет делать выводы Любит учиться Любит ковыряться в продуктах Не спит Не болеет © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  16. 16. Программа тренировок аналитика © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  17. 17. Кто еще нужен для работы SOC? Администраторы различных систем: серверов, баз данных, виртуализации, сети и т.д. Группа разбора инцидентов Администраторы системам безопасности Юристы Отдел кадров Отдел PR Руководители подразделений Да и всем сотрудникам стоит оповещать SOC о том, что видят глазами: фишинговые письма, краденое оборудование, потери данных и т.д. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  18. 18. Процессы и процедуры SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  19. 19. Совершенствование процессовCMMI - Capability Maturity Model® Integration –методология совершенствования процессов в организациях © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  20. 20. Обобщение информации Сбор Анализ Использование Inductive Daily Intel Summary• Security news • Nodal analysis This is tactical intelligence for the primary• Geopolitical news• Technology news • Pattern analysis use of the SOC analysts to enable them to identify events of interest.• CERTs • Statistical analysis • Indications & warnings• Google alerts• Internal news • Inference Quarterly Threat Report• Investor news • Trained intuition This is strategic intelligence for the use of• Industry news managers and executives who are making long term technology decisions.• iDefense Deductive• DeepSight • Analogy• Secunia• FIRST • Fact collection Mechanisms • Visual analysis • Email• Intrusion detection • Time sequence • Dashboard• Network monitoring • Formal document• Weekly threat report • Traffic analysis • Briefing • Intrusion analysis © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  21. 21. Обработка событий людьми –cамый важный процесс SOC Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 ОбозначенияНеавторизованный админ A A A C1 C1  C1: Реакция в теч. 15 минНеавторизованый пользователь A A I2 C2 C1  C2: Реакция в теч. 30 мин  C3: Реакция 2 часаПопытка неавторизованного A A A I3 C3  I2: Срочное расследованиедоступа  I3: Обычное расследование  T1: Критичный тикетУспешный DoS A A I2 C2 C1  T2: Срочный тикетНарушение политики A A T3 T2 T1  T3: Обычный тикет  A: активный мониторингСканирование A A A I3 I2Вредоносный код A A T3 T2 C2 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  22. 22. Как измерить эффективность работы SOC Weekly Analysis of Events per Analyst Week Raw Correlated Analysts Raw / Analyst Correlated / AnalystWeek 1 38,697,210 97,922 10 3,869,721 9,792.20Week 2 60,581,457 66,102 10 6,058,146 6,610.20 Raw Events / AnalystWeek 4 55,585,228 19,116 10 5,558,523 1,911.60 25,000,000Week 5 55,917,976 23,755 10 5,591,798 2,375.50Week 6 54,044,928 18,340 10 5,404,493 1,834.00 20,000,000Week 7 59,840,026 18,340 10 5,984,003 1,834.00Week 8 72,364,038 33,866 10 7,236,404 3,386.60 15,000,000Week 9 71,964,115 30,927 10 7,196,412 3,092.70 y = 589551x + 2E+06Week 10 71,500,000 28,900 10 7,150,000 2,890.00 10,000,000Week 11 59,600,000 19,300 10 5,960,000 1,930.00Week 12 51,200,000 11,400 10 5,120,000 1,140.00 5,000,000Week 13 67,600,000 17,600 10 6,760,000 1,760.00Week 14 76,600,000 30,000 10 7,660,000 3,000.00 -Week 15 75,300,000 22,000 10 7,530,000 2,200.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29Week 16 69,200,000 17,000 10 6,920,000 1,700.00Week 17 97,800,000 17,800 10 9,780,000 1,780.00Week 18 108,500,000 11,500 10 10,850,000 1,150.00 Correlated Events / AnalystWeek 19 183,200,000 5,600 10 18,320,000 560.00 12,000.00Week 20 182,400,000 5,100 10 18,240,000 510.00 10,000.00Week 21 170,000,000 4,800 10 17,000,000 480.00Week 22 182,400,000 7,600 10 18,240,000 760.00 8,000.00Week 23 219,000,000 11,300 10 21,900,000 1,130.00 6,000.00Week 24 168,800,000 8,100 10 16,880,000 810.00Week 25 151,500,000 6,876 10 15,150,000 687.60 4,000.00Week 26 170,500,000 7,813 10 17,050,000 781.30 y = -150.3x + 4274 2,000.00Week 27 165,300,000 28,247 10 16,530,000 2,824.70Week 28 161,500,000 4,569 10 16,150,000 456.90 -Week 29 186,700,000 6,164 10 18,670,000 616.40 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29Week 30 173,600,000 5,632 10 17,360,000 563.20 (2,000.00)Average 112,454,999 20,195 11,245,500 2,020Median 76,600,000 17,600 7,660,000 1,760 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 22
  23. 23. SOC отчитывается по определенным KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  24. 24. SOC KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  25. 25. Зрелость процессов SOC1: Хаотично Всегда по-разному2: Повторяемо Можно повторить3: Задано Повторяется и улучшается4: Управляемо Измеряется и улучшается5: Само-оптимизируемо Постоянно улучшается © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  26. 26. Оценка зрелости SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  27. 27. Построение SOC и одновременно снижение риска Разработка Разработка Реализация Взросление и Последний стратегии решения сетификация рывок SOC мирового Аудит класса Упражняемся SOC полностью работает • Staffing • Training SOC начал • Process / Procedure работу • Deploying Technology • Building content • Maturity Архитектура и операции задокументированы Легко принять Проект полностью готов 30 days 90 days 180 days 270 days 365 daysWorkshop & Roadmap © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  28. 28. Спасибо Денис Батранков, Архитектор по безопасности HP Enterprise Security© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

×