Документ описывает 10 основных ошибок при создании и управлении центрами операций безопасности (SOC) с акцентом на необходимость качественного логирования и психологии работы аналитиков. Основные моменты включают важность комбинирования методов обнаружения угроз, мотивации аналитиков и учета внутренних сетей. Также подчеркивается значение аутсорсинга SOC и необходимость четкого определения ответственности в соглашениях об уровне обслуживания.

1. 12 апреля 2018
Бизнес-консультант по безопасности
10 типовых ошибок
при работе с SOC
Алексей Лукацкий

2. Опыт Cisco в части построения SOC
Cisco CSIRT
SOC
Enablement
Service
Cisco ATA
Cisco SecOps
Собственный «SOC» и
служба реагирования
на инциденты Cisco
Услуги Cisco по
построению SOC
для заказчиков
Аутсорсинговый SOC
Cisco для заказчиков
Аутсорсинговый SOC
Cisco для
промышленных
предприятий

3. Думая о мониторинге, не забывайте о
реагировании
№1

4. Не гонитесь за красивыми плазмами
№2

5. Карты атак - красиво, но эффективно ли?

6. Реальность не так красива, как на
постановочных кадрах

7. Не стройте SOC, не имея логов
• Классическая концепция SOC
базируется на мониторинге
событий безопасности, которые
генерятся различными
средствами защиты, сетевым
оборудованием, приложениями и
т.п., обогащенными данными
Threat Intelligence
№3

8. Не стройте SOC, не умея работать с
логами
SOC
≠
SIEM
≠
LM

9. Основа SOC – это не только SIEM
NTA
EDR
SIEM
UEBA
/
CASB
Cisco AMP for Endpoints
Cisco Stealthwatch
Cisco TrustSec
Cisco CloudLock
№4

10. Комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

11. Мобильные пользователи
Филиал
Мониторинг только периметра создает
чувство ложной защищенности
Облако
Сеть
Админ
ЦОД
Пользователи
ЗАПИСЫВАТЬ
каждую коммуникацию
Понимать, что
такое НОРМА
Предупреждать об
ИЗМЕНЕНИЯХ
ЗНАТЬ
каждый узел
Реагировать на
УГРОЗЫ быстро
HQ

12. Не ограничивайтесь мониторингом
периметра, помните про внутреннюю сеть
уникальный источник
информации о событиях
безопасности, который
позволяет использовать
каждый коммутатору и
маршрутизатор в
качестве
распределенной
системы обнаружения
атак и аномалий
Netflow
Cisco Stealthwatch

13. Вы хотите квалифицированных
аналитиков?
• Подумайте логически, может ли в SOC быть несколько
десятков высококвалифицированных аналитиков?
• Уровень квалификации зависит от линии поддержки
В Европе уровень ротации специалистов SOC - 90% №5

14. Займитесь мотивацией аналитиков
• Изо дня в день видеть огромное
количество событий и при этом не знать,
какие из них хорошие, а какие плохие
• Боязнь совершить ошибку в
ответственном мероприятии
• Страх отвлекает аналитика SOC от
смысла выполняемых действий; он
фиксируется на мелочах, упуская
главное
• Страх сделать ошибку заставляет
аналитика перепроверять свои выводы и
свою работу, что приводит к лишней
трате времени и сил и снижает
продуктивность специалистов SOC
№6

15. Помните о психологической слепоте
• Слепота невнимания (inattentional blindness),
которая подразумевает неспособность
наблюдать какой-либо объект,
появляющийся внезапно
• Половина людей имеет эту не
физиологическую, а психологическую
проблему зрения, связанную с тем, что люди
слишком концентрируются на основной
задаче, упуская второстепенные
№7

16. Пример №1: вы видите аномалию?
Подсказка: обратите внимание на 6-ю строку
Подсказка: все зависит от исходной гипотезы

17. Пример №2: вы видите аномалию?
Подсказка: обратите внимание на 3-ю строку

18. Не пренебрегайте ИИ
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностичес-
кая аналитика
Почему это
случилось?
Предсказатель
-ная аналитика
Что
случится?
Предписываю-
щая аналитика
Что я должен
сделать?
Сложность
Ценность
№8

19. Пример №3: Обнаружение ВПО в
шифрованном трафике Acc. FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP SPLT+BD
На примере Cisco ETA

20. Пример №4: обнаружение tailgating
20
Обнаружение посторонних @
Cisco4

22. Не все можно купить. Даже если у вас
есть деньги
• Решение iCAM
разрабатывалось
внутри службы ИБ
Cisco для
мониторинга утечек
информации и
анализа поведения
пользователей
• Готового решения
мы не нашли
№9

23. iCAM People
Data
Identity
Policy
Identity
Data
Center
Lab
End
Points
Public
Cloud
User
Identity
Device
Identity
Applications
& Data
InfoSec
End User
HR/Legal
Manager
Raw Events
Corrective Action
Alert
Feedback
CPR
HRMS
LDAP
OnRamp
DCE
ISE
EMANCES
PSIRT
BI
DI
DLP
GDM
ARTCEPM
DSPL
iCAM: внутренняя разработка Cisco

24. Topic
(Services)
Behavior
Rules
События
пользователей
Box
Jive
SFDC
End-User’s
Manager
Уведомление
1
Behavior DB
4
Аномальное
поведение
6
7
Обратная связь
с менеджером
8
Анализ
поведения
5
Determine and Log the Cisco data at risk
Анализ событий3
Behavior Reconstruction
Balance
Security and
Productivity
Public Cloud
Обеспечение
контекста
User Identity: DSX, CES, HRMS, CPR
Data Identity: Symantec DLP, DSPL, PSIRT
Device Identity: ISE, DCE, GDM
Network Identity: EMAN
2
iCAM in green
Others in violet
ENG DC
Topic
Alfresco
Private Cloud
CITEIS
ENG Lab
Data Lake
…
…
Процесс работы iCAM в Cisco

25. Доверяй, но будь готов!
• Обращаясь к аутсорсингу SOC, не забудьте прописать SLA и
ответственность
№10

26. Дополнительная информация
• Презентация «Сочные мифы». Заблуждения, связанные с
SOC»
• Презентация «Нюансы эксплуатации SOC внутри Cisco»
26
Запросить можно по адресу: security-request@cisco.com

27. А также блог Cisco СSIRT…

28. …и книги
28

29. Спасибо!
alukatsk@cisco.com