Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Когнитивный SOC — будущее или уже реальность?

843 views

Published on

В рамках секции: Эволюция SOC — 2017: план развития

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Когнитивный SOC — будущее или уже реальность?

  1. 1. Когнитивный SOC ⎯ БУДУЩЕЕ ИЛИ УЖЕ РЕАЛЬНОСТЬ? Эльман Бейбутов 23 мая 2017 г. Представитель по продвижению IBM Security
  2. 2. СЛАЙД ДЛЯ ПРОВЕРКИ КЛИКЕРА 23 мая 2017 г.
  3. 3. 3 IBM Security COGNOSCERE (лат.) ЗНАТЬ, УЗНАВАТЬ, РАССЛЕДОВАТЬ •  Обозначает знание, мыслительную способность, способность к изучению, сохранению знания и обмену им с другими
  4. 4. 4 IBM Security •  Традиционные технологии •  Когнитивные технологии •  Выводы Когнитивный SOC SIEM Threat intelligence Vulnerability Management Rule-based detection IoC detection Log Management Use Case Framework
  5. 5. 5 IBM Security Когнитивный SOC SIEM Threat intelligence Vulnerability Management Rule-based detection IoC detection Log Management Use Case Framework Task Automation Response Platform Action Plans Knowledge Base Forensics •  Традиционные технологии •  Когнитивные технологии •  Выводы
  6. 6. 6 IBM Security Когнитивный SOC SIEM Threat intelligence Vulnerability Management Rule-based detection IoC detection Log Management BigData Use Case Framework User Behavior Analytics Artificial Intelligence Deep Learning Anomaly Detection Data Enrichment Task Automation Response Platform Action Plans Knowledge Base Forensics •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы
  7. 7. 7 IBM Security Когнитивный SOC Threat intelligence Vulnerability Management Rule-based detection IoC detection Log Management BigData User Behavior Analytics Artificial Intelligence Deep Learning Anomaly Detection Data Enrichment Task Automation Response Platform Action Plans Knowledge Base Forensics SIEM Use Case Framework •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы
  8. 8. 8 IBM Security User Behavior Analytics Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Потенциальные угрозы и риски Аномальный доступ к ресурсу
  9. 9. 9 IBM Security User Behavior Analytics Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Потенциальные угрозы и риски Аномальный доступ к ресурсу Необычные локации Снижение темпа рабочего графика
  10. 10. 10 IBM Security User Behavior Analytics Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Потенциальные угрозы и риски Аномальный доступ к ресурсу Непрофильные связи с коллегами Снижение активности в корпоративной почте Необычные локации Снижение темпа рабочего графика
  11. 11. 11 IBM Security User Behavior Analytics Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Потенциальные угрозы и риски Аномальный доступ к ресурсу Непрофильные связи с коллегами Снижение активности в корпоративной почте Необычные локации Снижение темпа рабочего графика Создание своей фирмы
  12. 12. 12 IBM Security Big and Fast Data Analytics in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Deep Machine Learning Deep Anomaly Detection
  13. 13. 13 IBM Security Big and Fast Data Analytics in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Deep Machine Learning Deep Anomaly Detection Fast Data Enrichment Gold Data Mining
  14. 14. 14 IBM Security Big and Fast Data Analytics in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы 3 часа на отчет из SIEM? Поток NetFlow зашкаливает? Deep Machine Learning Deep Anomaly Detection Fast Data Enrichment Gold Data Mining
  15. 15. 15 IBM Security Big and Fast Data Analytics in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы 3 часа на отчет из SIEM? Поток NetFlow зашкаливает? Корреляция данных за 3 года? Нужна реакция в миллисекундах? Deep Machine Learning Deep Anomaly Detection Fast Data Enrichment Gold Data Mining
  16. 16. 16 IBM Security Artificial Intelligence in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Intelligent Enrichment Threat Intelligence
  17. 17. 17 IBM Security Artificial Intelligence in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Intelligent Enrichment Incident Investigation Threat Intelligence Threat Prediction Reducing False Positives
  18. 18. 18 IBM Security Artificial Intelligence in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Intelligent Enrichment Incident Investigation Threat Intelligence Threat Prediction Response Automation Reducing False Positives Security Recommendations
  19. 19. 19 IBM Security Artificial Intelligence in SOC Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы Intelligent Enrichment Incident Investigation Threat Intelligence Threat Prediction Response Automation Reducing False Positives Security Recommendations ?
  20. 20. 20 IBM Security Когнитивный SOC Threat intelligence Vulnerability Management Rule-based detection IoC detection Log Management BigData User Behavior Analytics Artificial Intelligence Deep Learning Anomaly Detection Data Enrichment Task Automation Response Platform Action Plans Knowledge Base Forensics SIEM Use Case Framework •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы
  21. 21. 21 IBM Security Когнитивный SOC BigDataSIEM Use Case Framework •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы
  22. 22. 22 IBM Security Когнитивный SOC Cognitive Use Case Framework •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Выводы
  23. 23. ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. FOLLOW US ON: СПАСИБО
  24. 24. Приложения КОГНИТИВНЫЙ SOC
  25. 25. 25 IBM Security Архитектура когнитивного SOC Источники данных Структурированные (транзакционные) Справочные наборы данных Неструктурированные данные Источники аналитики Подписки (вендора/партнёрства) Открытые (социал./новости/блоги) Частные (партнёрства/правительство) Информация о активах Активы / CMDB Уязвимости Сетевая иерархия Бизнес аналитика Структура & География Классификация данных Анализ рисков и влияния SIEM TickeAng & Workflow ReporAng & Dashboards AcAon Plans Threat Intelligence Vulnerability Management PredicAve/ CogniAve AnalyAcs Response Framework Monitoring and Control ReporZng ReacZon Incident Forensics Knowledge Base AcAve Defense Response and Recovery Tasks AutomaAon InvesZgaZon Request for change Planning new controls Anomaly DetecAon UBA Deep Learning Data Mining Traffic analysis Endpoint analysis DecepAon Когнитивный SOC •  Традиционные технологии •  Когнитивные технологии •  User Behavior Analytics •  Fast Data •  Artificial Intelligence •  Архитектура •  Выводы
  26. 26. 26 IBM Security Понимание задач SOC как функций безопасности •  Содержание •  SOC •  Цели SOC •  Задачи SOC •  Когнитивные технологии •  Архитектура •  Use Cases •  Процессы SOC •  Команда •  Выводы Известно аналитику SOC Не известно аналитику SOC Известно атакующему -1- Типовые фазы реализации атаки и соответствующие контроли Известные способы обхода User Access Control Детектируемое вредоносное ПО Детектируемые по сигнатурам атаки Отклонения от best practice частных политик ИБ И др., что можно описать в правилах корреляции SIEM и т.п. -3- Эксплуатация известных уязвимостей инфраструктуры Эксплуатация известных уязвимостей приложений Использование методик заражений и атак, не оставляющих следов в журналах аудита ИБ Применение социальной инженерии Не известно атакующему -2- Архитектура сети Используемые системы ИБ и их настройки Расстановка HoneyPot в сети Стандарты конфигурации узлов сети Профили работы узлов Профили сетевого взаимодействия сегментов сети Регламенты и инструкции работы р я д о в ы х и п р и в и л е г и р о в а н н ы х пользователей -4- Весь доступный арсенал эксплойтов 0-day уязвимостей Перекрытие используемыми в SOC репутационными базами всех возможных С&С серверов и зараженных хостов в Интернет Когнитивный SOC
  27. 27. 27 IBM Security Output-driven SOC: Цель определяет средства •  Содержание •  SOC •  Цели SOC •  Задачи SOC •  Когнитивные технологии •  Архитектура •  Use Cases •  Процессы SOC •  Команда •  Выводы Remember “Logs don’t lie” “Every Attacker leaves behind a trail” Когнитивный SOC Сокращение потерь от инцидентов Оптимизация расходов ИБ Соответствие требованиям ИБ Безопасность продуктов и услуг Повышение доступности бизнес-функций Глобальные целиИБ
  28. 28. 28 IBM Security Output-driven SOC: Цель определяет средства •  Содержание •  SOC •  Цели SOC •  Задачи SOC •  Когнитивные технологии •  Архитектура •  Use Cases •  Процессы SOC •  Команда •  Выводы Когнитивный SOC Сокращение потерь от инцидентов Оптимизация расходов ИБ Соответствие требованиям ИБ Безопасность продуктов и услуг Повышение доступности бизнес-функций Глобальные целиИБ Know your devices and software Know your users behavior Know your maintainer Know your privileges users Know your IT services Know your security services Know your cloud provider Know your business processes Know your ”need to know” rules Know your network segmentation Know your security policies Know your boundary defense NIST/SANS/ISC2/ISO ControlsFramework
  29. 29. 29 IBM Security Ключевые процессы SOC •  Содержание •  SOC •  Цели SOC •  Задачи SOC •  Когнитивные технологии •  Архитектура •  Use Cases •  Процессы SOC •  Команда •  Выводы Операционная деятельность Стратегия Tier 1 Монито- ринг Tier 2 Рассле- дование Tier 3 Ответная реакция Интеграция SOC с компанией Анализ данных о компании Упр. уязвимостями Тестирование на проникновение Аналитика & отчётность по деятельности SOC Архитектура & Проекты SOC Администрирование SOC Разработка/настройка правил Интеграция инструментов Подключение источников CSIRT Реагирование на черезв. ситуации Расследования Предоставление сервиса & Оперативное управление Service Level Management / Efficiency / Capacity Management / EscalaZon Овальный кабинет - Командный центр кибербезопасности (CSCC) Governance / CollaboraZon / Requirements / Briefings Знания SOC о компании и угрозах Анализ бизнес рисков Процедуры и регламенты Управление бюджетом SOC Управление сценариями Управление глубиной логирования Управление заявками Когнитивный SOC
  30. 30. 30 IBM Security Пример структуры команды SOC •  Содержание •  SOC •  Цели SOC •  Задачи SOC •  Когнитивные технологии •  Архитектура •  Use Cases •  Процессы SOC •  Команда •  Выводы SOC Manager OperationsArchitect Engineers Designers Tier 2 Tier 1 Use Case Analysts Forensics IoC Engineer Threat Hunters Malware Engineer Intelligence Vulnerability IoC Analysts Когнитивный SOC

×