Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

10 заблуждений при (внедрении | использовании | аутсорсинге) SOC

1,754 views

Published on

Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.

Published in: Technology
  • Hello! Get Your Professional Job-Winning Resume Here - Check our website! https://vk.cc/818RFv
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

10 заблуждений при (внедрении | использовании | аутсорсинге) SOC

  1. 1. 12 апреля 2018 Бизнес-консультант по безопасности 10 типовых ошибок при работе с SOC Алексей Лукацкий
  2. 2. Опыт Cisco в части построения SOC Cisco CSIRT SOC Enablement Service Cisco ATA Cisco SecOps Собственный «SOC» и служба реагирования на инциденты Cisco Услуги Cisco по построению SOC для заказчиков Аутсорсинговый SOC Cisco для заказчиков Аутсорсинговый SOC Cisco для промышленных предприятий
  3. 3. Думая о мониторинге, не забывайте о реагировании №1
  4. 4. Не гонитесь за красивыми плазмами №2
  5. 5. Карты атак - красиво, но эффективно ли?
  6. 6. Реальность не так красива, как на постановочных кадрах
  7. 7. Не стройте SOC, не имея логов • Классическая концепция SOC базируется на мониторинге событий безопасности, которые генерятся различными средствами защиты, сетевым оборудованием, приложениями и т.п., обогащенными данными Threat Intelligence №3
  8. 8. Не стройте SOC, не умея работать с логами SOC ≠ SIEM ≠ LM
  9. 9. Основа SOC – это не только SIEM NTA EDR SIEM UEBA / CASB Cisco AMP for Endpoints Cisco Stealthwatch Cisco TrustSec Cisco CloudLock №4
  10. 10. Комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  11. 11. Мобильные пользователи Филиал Мониторинг только периметра создает чувство ложной защищенности Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
  12. 12. Не ограничивайтесь мониторингом периметра, помните про внутреннюю сеть уникальный источник информации о событиях безопасности, который позволяет использовать каждый коммутатору и маршрутизатор в качестве распределенной системы обнаружения атак и аномалий Netflow Cisco Stealthwatch
  13. 13. Вы хотите квалифицированных аналитиков? • Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков? • Уровень квалификации зависит от линии поддержки В Европе уровень ротации специалистов SOC - 90% №5
  14. 14. Займитесь мотивацией аналитиков • Изо дня в день видеть огромное количество событий и при этом не знать, какие из них хорошие, а какие плохие • Боязнь совершить ошибку в ответственном мероприятии • Страх отвлекает аналитика SOC от смысла выполняемых действий; он фиксируется на мелочах, упуская главное • Страх сделать ошибку заставляет аналитика перепроверять свои выводы и свою работу, что приводит к лишней трате времени и сил и снижает продуктивность специалистов SOC №6
  15. 15. Помните о психологической слепоте • Слепота невнимания (inattentional blindness), которая подразумевает неспособность наблюдать какой-либо объект, появляющийся внезапно • Половина людей имеет эту не физиологическую, а психологическую проблему зрения, связанную с тем, что люди слишком концентрируются на основной задаче, упуская второстепенные №7
  16. 16. Пример №1: вы видите аномалию? Подсказка: обратите внимание на 6-ю строку Подсказка: все зависит от исходной гипотезы
  17. 17. Пример №2: вы видите аномалию? Подсказка: обратите внимание на 3-ю строку
  18. 18. Не пренебрегайте ИИ Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностичес- кая аналитика Почему это случилось? Предсказатель -ная аналитика Что случится? Предписываю- щая аналитика Что я должен сделать? Сложность Ценность №8
  19. 19. Пример №3: Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD На примере Cisco ETA
  20. 20. Пример №4: обнаружение tailgating 20 Обнаружение посторонних @ Cisco4
  21. 21. Не все можно купить. Даже если у вас есть деньги • Решение iCAM разрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей • Готового решения мы не нашли №9
  22. 22. iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL iCAM: внутренняя разработка Cisco
  23. 23. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … Процесс работы iCAM в Cisco
  24. 24. Доверяй, но будь готов! • Обращаясь к аутсорсингу SOC, не забудьте прописать SLA и ответственность №10
  25. 25. Дополнительная информация • Презентация «Сочные мифы». Заблуждения, связанные с SOC» • Презентация «Нюансы эксплуатации SOC внутри Cisco» 26 Запросить можно по адресу: security-request@cisco.com
  26. 26. А также блог Cisco СSIRT…
  27. 27. …и книги 28
  28. 28. Спасибо! alukatsk@cisco.com

×