Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
21 сентября 2017
Бизнес-консультант по безопасности
SOC vs SIEM
Ведущий: Алексей Лукацкий
Участники круглого стола
Александр Бабкин
Заместитель начальника
департамента - начальник
ситуационного центра
информацион...
Зачем нужен SOC?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных вторжений
Ponemon
...
В России бум SIEM
• Насколько перспективна данная
ниша для российских
разработчиков?
• Будут ли заказчики использовать
так...
Инфраструктура под
расследованием
Меры защиты и
восстановления
Системы коммуникаций и
взаимодействия
РасследованиеМонитори...
Опыт Cisco: комбинация методов
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом ...
SOC = SIEM или SOC ≠ SIEM?
• По версии Gartner, ядром
системы монитониринга должны
стать SIEM, NTA/NBAD, EDR.
При этом дол...
Monitoring/ISOC: in depth
Behavior analysis
Data flows
Services policies
OS/device policies
Log source typization
Inventor...
Аналитика ИБ в SOC – это сегодня «must
have»
Что происходит?
Почему это происходит?
Что произойдет?
Что я должен сделать?
...
От SIEM к SOAR
• В отличие от анализа
логов, обеспечиваемого
SIEM, решения SOAR
вобрали в себя целый
набор различных
техно...
Структура Cisco CSIRT
NetFlow System Logs
Разведка и
исследования
5
Аналитики APT
15
Следователи
25/26
Аналитики
User
Attr...
NATO NCIRC
Уровень 1
• Координация и поддержка
• Приоритезация
• 4 человека
Уровень 2
• Операционное и
техническое управле...
Сколько людей нужно в SOC?
• В Microsoft Cyber Defense
Operations Center работает 50
человек, в Cisco CSIRT – 103, в
Росте...
THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,...
Сколько инцидентов должен
обрабатывать SOC?
Как не запустить SOC?
• Есть такая поговорка: «Если пытаться
автоматизировать хаос, то получится
автоматизированный хаос»....
(Not so) Basic questions
Interests
Business owners
Patent owners
Customers,
clients, partners
Employees
Law
Society
…
Obje...
Оценка эффективности SOC
• SOC запущен; можно ли
оценить его эффективность?
• Какие метрики используют
участники круглого ...
Чего вам (не) хватает от государства?
• Как вы видите работу с
ГосСОПКОЙ?
• Мешает ли вам лицензирование
ФСТЭК по SOCам?
•...
Подытожим
• Поймите свое окружение, что нормально, а
что нет?
• Современные решения – это инструменты.
Кто-то должен уметь...
Реклама SOC в США: в качестве
заключения J
Спасибо!
alukatsk@cisco.com
Upcoming SlideShare
Loading in …5
×

SOC vs SIEM

1,369 views

Published on

Презентация (визуальный ряд), сопровождающая круглый стол "SOC vs SIEM", который я модерировал на InfoSecurity Russia 2017

Published in: Technology

SOC vs SIEM

  1. 1. 21 сентября 2017 Бизнес-консультант по безопасности SOC vs SIEM Ведущий: Алексей Лукацкий
  2. 2. Участники круглого стола Александр Бабкин Заместитель начальника департамента - начальник ситуационного центра информационной безопасности департамента защиты информации, Газпромбанк Мона Архипова Директор по безопасности, WayRay Илья Шабанов Директор, Anti-malware.ru Александр Бодрик Заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance Александр Бондаренко Генеральный директор, R-Vision Алексей Качалин Исполнительный директор Центра Киберзащиты, Сбербанк
  3. 3. Зачем нужен SOC? Bitglass 205 Trustwave 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200
  4. 4. В России бум SIEM • Насколько перспективна данная ниша для российских разработчиков? • Будут ли заказчики использовать такие продукты, которые пока уступают своим зарубежным аналогам? • Можно ли коммерческий SOC построить на базе отечественного SIEM? • Чего не хватает российским SIEM?
  5. 5. Инфраструктура под расследованием Меры защиты и восстановления Системы коммуникаций и взаимодействия РасследованиеМониторинг и реагирование Обогащение/TI Телеметрия и другие источники Решения провайдеров по ИБ Управление сервисами Security Analytics Suite AV Intel Providers Cloud Infra Service Provider Solutions Digital Forensics Tools Security Case Management Enrichment Providers Threat Intel Providers Платформы для разведки Threat Intelligence Malware Analysis Knowledge Base Log Management Native Logs Cyber Security Controls Wiki Comm & Collab Apps Internal Infra Ticketing Training Platforms Physical Security Controls Sensor Telemetry Other Data Sources Cisco SOC
  6. 6. Опыт Cisco: комбинация методов обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  7. 7. SOC = SIEM или SOC ≠ SIEM? • По версии Gartner, ядром системы монитониринга должны стать SIEM, NTA/NBAD, EDR. При этом должны быть также системы Threat Intelligence, управления инцидентами, расследования и др. • Какие типы решений используют в своем SOC участники круглого стола? • Могут ли они поделиться краткими наблюдениями, подводными камнями?
  8. 8. Monitoring/ISOC: in depth Behavior analysis Data flows Services policies OS/device policies Log source typization Inventory & Discovery Слайд Моны Архиповой
  9. 9. Аналитика ИБ в SOC – это сегодня «must have» Что происходит? Почему это происходит? Что произойдет? Что я должен сделать? Описать Диагностировать Предсказать Предписать IDS, AV, SIEM, TI NTA, UEBA, NFT, EDR Fraud Detection SOAR, Attack Simulation Правила, машинное обучение, обнаружение аномалий, исторический анализ (ретроспектива), искусственный интеллект
  10. 10. От SIEM к SOAR • В отличие от анализа логов, обеспечиваемого SIEM, решения SOAR вобрали в себя целый набор различных технологий, обеспечивающих деятельность SOC и служб мониторинга ИБ
  11. 11. Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
  12. 12. NATO NCIRC Уровень 1 • Координация и поддержка • Приоритезация • 4 человека Уровень 2 • Операционное и техническое управление • Управление событиями безопасности • Онлайн расследование инцидентов • Анализ вредоносного кода • Системы поддержки принятия решений • Репозиторий информации • IA • Dynamic Risk Assessment • Оценка и управления рисками • 80 человек Уровень 3 • Администрирование локальных системы и средств защиты • Расширенные защитные системы • Анализ защищенности • IDS и IPS • Управление логами • Захват всех пакетов • Расследование на местах • 250 человек
  13. 13. Сколько людей нужно в SOC? • В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек • Сколько же нужно человек минимум, чтобы запустить свой собственный SOC?
  14. 14. THE INTERNET CISCO ASSETS THREATS PER QUARTER THREAT DEFENCE 1,558,649,099 39,778,560 19,862,979 770,399,963 25,802,498 3,364,087 20,529 1,978 INCIDENTS MANAGED (QTR) DNS-RPZ BGP Blackhole WSA ESA ANTIVIRUS HIPS ENDPOINT AMP CSIRT Prevention 2,417,877,715 = TOTAL THREATS PREVENTED(QTR) Detection Сколько инцидентов поступает в Cisco CSIRT?
  15. 15. Сколько инцидентов должен обрабатывать SOC?
  16. 16. Как не запустить SOC? • Есть такая поговорка: «Если пытаться автоматизировать хаос, то получится автоматизированный хаос». Когда мы слышим, что именно SOC остановил WannaCry в тех или иных компаниях, возникает множество вопросов • Что надо предварительно сделать в инфраструктуре, чтобы внедрение своего или использование аутсорсингового SOC стало успешным? • Как запустить SOC – 5 основных шагов?
  17. 17. (Not so) Basic questions Interests Business owners Patent owners Customers, clients, partners Employees Law Society … Objects Source code Data Services Systems Reputation … Threats Hackers Insiders Regulation authorities Disasters Competitors and partners … Слайд Моны Архиповой
  18. 18. Оценка эффективности SOC • SOC запущен; можно ли оценить его эффективность? • Какие метрики используют участники круглого стола? • Можно ли показать деньги от работы SOC?
  19. 19. Чего вам (не) хватает от государства? • Как вы видите работу с ГосСОПКОЙ? • Мешает ли вам лицензирование ФСТЭК по SOCам? • Хотели бы вы использовать отечественные стандарты обмена информацией об угрозах? • Нужен ли вам государственный ресурс по обмену индикаторами компрометации?
  20. 20. Подытожим • Поймите свое окружение, что нормально, а что нет? • Современные решения – это инструменты. Кто-то должен уметь ими пользоваться и выстраивать процессы • Без аналитики сегодня все решения по ИБ обречены на провал • Решения должны использовать комбинации методов обнаружения (threat intelligence, правила, алгоритмы) • Серебряной пули нет и не будет; чужие рецепты – это хорошо, но есть это вам! • Сложно найти отечественные решения
  21. 21. Реклама SOC в США: в качестве заключения J
  22. 22. Спасибо! alukatsk@cisco.com

×