Successfully reported this slideshow.
Your SlideShare is downloading. ×

От SOC v0.1 к SOC v2.0

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 43 Ad

More Related Content

Slideshows for you (20)

Similar to От SOC v0.1 к SOC v2.0 (20)

Advertisement

More from Aleksey Lukatskiy (9)

Recently uploaded (20)

Advertisement

От SOC v0.1 к SOC v2.0

  1. 1. От SOC v0.1 к SOC v2.0: от простого к инновационному Алексей Лукацкий 31 мая 2019 Бизнес-консультант по кибербезопасности
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Внутри Cisco SOC строится уже 19 лет!
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Выбросьте триаду на помойку Команда Технологии Процессы Окружение Intelligence Стратегия Миссия / цели
  4. 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Начиная с SOC v0.1
  5. 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы только мониторите или также реагируете?
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда NG SOC • Архитектор SOC • Специалист по Use Cases (правилам) • Программисты Engineering • Управление средствами ИБ • Аналитики • Investigator • 1st Responder • SIEM/NTA/EDR/UEBA • SOC Lead Ядро SOC • … по продуктам • … по SIEM • … по уязвимостям • … по compliance SME • Incident Handler • Incident Responder • Forensic Expert CSIRT • Контроль качества • Администратор SOC • Безопасность Поддержка • Data Scientist • Hunters • Threat Intelligence CTA/CTI • Сканирование сети • Тестирование приложений • Red Team AVMT
  7. 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на НПА ЦБ / ФСБ / ФСТЭК • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для ГосСОПКИ • У всех есть и мне нужен SOC v0.1 SOC v1.0+SOC v0.5
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы будете охватывать вашим SOCом? Любые пользователи Сотрудники Контрактники Партнеры Любые устройства Корпоративные Собственные IoT Любые приложения ЦОД Мультиоблако SaaS В любых местах Внутри сети Через VPN Вне сети
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public SOC: сервисы vs процессы Сервис • Управление значимыми результатами деятельности, без погружения в детали реализации • Поставщик отвечает за результат, а потребитель – за корректные требования к результату Процесс • Непосредственное управление деятельностью • За конечный результат отвечает потребитель, устанавливающий правила для процессов
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисная стратегия SOC Драйвера, ожидания заказчика, ключевые принципы и ожидаемый результат Видение стратегии Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты Резюме по сервисам Описание ключевых процессов, необходимых для реализации сервисов SOC Ключевые процессы Описание структуры команды SOC и всех ролей Организационная стратегия Описание технологического стека SOC Технологическая стратегия
  11. 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Вы думаете о SOC? А у вас есть, что мониторить?
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Прежде чем строить SOC или отдавать мониторинг на аутсорсинг в внешний SOC, сначала внедрите то, что будет отдавать данные Сначала внедрите то, что вы хотите мониторить Для мониторинга МСЭ на периметре и антивируса на ПК SOC не нужен! В Н И М А Н И Е Это частый запрос в наш аутсорсинговый SOC
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие данные собирает ваш SOC? События ИБ • МСЭ • IDS • AV / EPP / EDR • DLP • VPN • Web-доступ • Обманные системы • WAF Сетевые события • Маршрутизаторы • Коммутаторы • Точки доступа • DNS-сервера • Частные облака • Публичные облака Приложения и устройства • Базы данных • Сервера приложений • Web- приложения • SaaS- приложения • Мобильные устройства • Десктопы и лэптопы ИТ- инфраструктура • Конфигурации • Геолокация • Владельцы • Инвентаризация • Сетевые карты • Уязвимости
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Продукты ➩ Security Operations ➩ SOC События Нормализация / категоризация Корреляция Triage ИнцидентПравилаХранение False Positive Расследование и реагирование R&D Контроль качества Внешние службы Извлечение уроков Playbook / Wiki Обогащение Security Operations объединяет множество решений в единый комплекс! платных и бесплатных
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Учитываете ли вы физиологию или когда вы поймете, что L1 вам не нужна?
  16. 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сейчас вы увидите видео Посчитайте количество передач мяча, сделанных людьми в белых футболках!
  17. 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Правильный ответ - 16
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили гориллу?!
  20. 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход девушки в черной футболке?!
  21. 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили смену цвета штор на заднем плане?!
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Вы учитываете физиологию работы аналитика? После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота Подумайте о ротации смен, режиме отдыха аналитиков и, возможно, замене L1 машинным обучением или иными технологиями
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов, а также открытием заявок Почему первая линия SOC не нужна Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что ищут аналитики L1 – известное или неизвестное? Базовый уровень Средний уровень Продвинутый § Security Device Management § Collective Security Intelligence § Log Collection § Event Correlation § Rule-Based Analytics + Deeper Investigation Toolkit + Statistical Anomaly Detection + NetFlow Generation + Protocol Metadata Extraction + Data Enrichment + Real-time Visual Analytics + Machine Learning (Supervised and Unsupervised) + Raw Capture + Proactive Threat Hunting + Advanced Statistical Analytics (polymorphic) Speed Accuracy Focus Speed Accuracy FocusSpeed Accuracy Focus L1 – это для этого уровня зрелости аналитических технологий SOC
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SOC v2.0 базируется не на SIEM
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В чем разница? Традиционный SOC • В среднем 150 дней • В течение часов • В течение дней • В течение часов • В течение дней • В течение недель SOC нового поколения • Непрерывно • В реальном времени • Менее часа • За минуты • В течение часов • В течение дней Возможности • Обнаружение угроз • Классификация угроз • Анализ инцидентов и составление плана реагирования • Локализация угрозы • Восстановление от угрозы • Время на возврат к исходному состоянию
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура современного SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  28. 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Security Analytics Suite NTA EDR SIEM UEBA / CASB
  29. 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco SOC: раньше и сейчас Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+
  30. 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Не только технологии и автоматизация
  31. 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Workflow для отслеживания утекших паролей Конфиденциальная иллюстрация
  32. 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мониторинг Darknet для отслеживания утекших паролей Проблема - Учетные записи сотрудников появляются в онлайн-дампах - С хешами паролей или в открытом виде - Утечки данных с скомпрометированных внешних сайтов - Корпоративные адреса использовались при регистрации - Опасность в использовании паролей для других сервисов Действия - Использование специализированных сервисов - https://haveibeenpwned.com/ - https://breachalarm.com/ - https://www.infoarmor.com/ - Уведомление сотрудников напрямую и через скомпрометированных провайдеров услуг - Автоматический workflow для уведомления сотрудников
  33. 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мониторинг Darknet для отслеживания утекших паролей
  34. 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Нам разрешили ходить в шортах J
  35. 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Не все можно купить за деньги – посмотрите в сторону open source
  36. 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Покупать или создавать инструментарий? Остальные 99% Лучшие 1% 99% SOCов используют готовые, приобретенные решения по ИБ 1% SOCов разрабатывают свой инструментарий или дорабатывают open source решения
  37. 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример: irflow • Приложение для автоматизации процесса реагирования на инциденты с помощью решений Cisco • Интеграция различных решений Cisco и других компаний • Исходный код выложен на GitHub
  38. 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример: irflow Визуализация через Cisco CMX Формирование тикета Интеграция с ServiceNow Интеграция с Webex Teams
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Продумайте варианты оценки эффективности
  40. 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Разработка Dashboard для разных задач
  41. 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стоимость украденного аккаунта клиента в Darknet?!
  42. 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?

×