Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Эффективные и проблемные SOC-процессы

139 views

Published on

В рамках секции: Эволюция SOC — 2017: план развития

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Эффективные и проблемные SOC-процессы

  1. 1. Коммерческий СОК – структура, процессы, собранные грабли Дрюков Владимир Solar JSOC
  2. 2. solarsecurity.ru +7 (499) 755-07-70 На одном слайде про Solar JSOC 2 39 крупных коммерческих клиентов 55 специалистов по ИБ в штате 4 года оказания услуг 99,4% общая доступность сервиса 10 мин Время реакции на инцидент 30 мин Время анализа/ противодействия Первый коммерческий центр сервисов ИБ-аутсорсинга в России Географически распределен по двум городам: Москва и Нижний Новгород Основные сервисы – мониторинг и реагирование на инциденты, оценка защищенности, противодействие кибератакам
  3. 3. solarsecurity.ru +7 (499) 755-07-70 Архитектура сервисов Solar JSOC 3
  4. 4. solarsecurity.ru +7 (499) 755-07-70 Инструменты JSOC 4 Системы ИБ – всегда с собой: SIEM – HPE ArcSight Vulnerability Scanner – Qualys, Loki или то, что у клиента TI – opensource, россыпь вендоров, собственные исследования Forensic tools – customize opensource, собственные наработки, немного коммерческих продуктов и sandbox  Клиентские системы – как повезет: WAF+antiDDOS Sandbox, Firewall Management FW/NGFW, IPS, Proxy, AV Инфраструктурные сервисы + cервера/АРМ + приклад
  5. 5. solarsecurity.ru +7 (499) 755-07-70 Инструменты JSOC 5 Внутренняя кухня: Service Desk + KB – customized kayako CMDB – ArcSight Asset Model + Kayako Security Intelligence – Security Dashboard Немного общей инфраструктуры: It monitoring Integrity control VDI + контроль админов Куча палок, веревок и интеграционных шин Много разнообразной безопасности
  6. 6. solarsecurity.ru +7 (499) 755-07-70 Структура команды Solar JSOC 6 Группа инцидентов ИБ Руководитель JSOC Группа эксплуатации СЗИ Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) Группа управления (сервис-менеджеры, 6 человек) Администраторы ИБ - эксперты (Москва, 2 человека) Группа расследования (pentest/forensic/reverse - 5 человек)
  7. 7. solarsecurity.ru +7 (499) 755-07-70 Пройдемся по граблям 7
  8. 8. solarsecurity.ru +7 (499) 755-07-70 Проблемы из ITIL 8  Кадры - подбор, обучение и адаптация – оставим до вечера среды Контроль работы операторов: Нет ли закрытых как fp боевых инцидентов Качество разбора и анализа Запретить выбирать кейсы попроще Подстраховать первую линию в ночное время Only for commercial – как не оповестить не того заказчика
  9. 9. solarsecurity.ru +7 (499) 755-07-70 Case review – ручное управление качеством разбора 9 Выборочная проверка кейсов первой линии 2-й и 3-й • Приоритетная обработка критичных fp • Критичные хосты и учетки • TI Система лайков и дизлайков • Неточность/ошибка в разборе • Неполное информирование клиента • Нарушение SLA • И еще два десятка критериев Ежемесячные обязательные групповые встречи по итогам Плюшевый кнут и жесткий пряник – по итогам :)
  10. 10. solarsecurity.ru +7 (499) 755-07-70 Пузырьковое всплытие инцидентов 10 Сложное ранжирование критичности инцидента • Критичность инцидента • Критичность хоста • Критичность УЗ • Критичность Заказчика «Время жизни» инцидента разбито на 3 промежутка: «Зеленая зона», «Желтая зона», «Красная зона» При переходе инцидента из одной зоны в другую общий Score увеличивается по коэффициентам Инженер обязан взять инцидент с самым высоким Score, а не приоритетом
  11. 11. solarsecurity.ru +7 (499) 755-07-70 Автоматизация работы с кейсами и SLA 11 Проброс доступа оператора в конкретную core Заказчика Отделение оператора от электронной почты Работа с кейсом только в SD Автоматически подставляемые профили оповещения Внутренние заглушки на соответствие клиента, тема и текста уведомления Предсказание «успеет ли» отталкиваясь от загрузки смены, планового времени решения и потока входящих и дежурный аналитик 24*7
  12. 12. solarsecurity.ru +7 (499) 755-07-70 Контент и управление 12 Контролировать инфраструктуру, которая не описана в ИТ При подключении источника – автоматом запустить базовые сценарии Health check-и работы сценариев и контента Only for commercial - синхронизировать конфигурацию в распределенной среде
  13. 13. solarsecurity.ru +7 (499) 755-07-70 JSOC – Asset Management vs CMDB 13 Несколько бизнес-интервью на старте – инфраструктура в «крупную клетку» Выгрузка информации, откуда есть:  Виртуализация + AD  SCCM + Firewall Management  Сканеры Модель актива – для ИБ  Основные сетевые признаки  Критичность с точки зрения бизнес-процессов, монетизации, компрометации Пополнение – on demand  Неизвестный ip в инциденте  Статистика с fw, сканера и прочих инфраструктурных сервисов
  14. 14. solarsecurity.ru +7 (499) 755-07-70 Архитектура контента 14 Workflow Сценарии «Базовые» и «Профилирующие» правила Переработанные парсеры для коннекторов  Оповещения, создание кейсов, обработка информации  Необходимые отчеты и инструменты для анализа инцидентов  Генерация событий по соответствующим критериям  «Обогащение» информации  Очистка «мусора»  Добавление нашей категоризации  Профилирование активностей  Добавление «пропущенной» информации  Исправление проблем с парсингом
  15. 15. solarsecurity.ru +7 (499) 755-07-70 Контент - синхронизация 15 Общие унифицированные правила – разливка с master node Custom листы с исключениями Custom профили и списки Custom Assets Специализированные правила под клиента – в индивидуальных папках Проверка успешности репликации и «живости сценариев» Автотесты + manual тесты при мажорных синхронизациях Впереди – backlog, scrum, waterfall
  16. 16. solarsecurity.ru +7 (499) 755-07-70 Серебрянная пуля Threat Intelligence 16 Состав TI: Feeds от вендоров Сработки СЗИ APT Reporting Информационные обмены Собственные исследования Проблемы с TI: Очень много записей (10+ млн) Очень много «странного» (половина Рунета, ip хостингов) Network TI killer – Skype А еще все процессы ходят в Интернет от antivirus.exe
  17. 17. solarsecurity.ru +7 (499) 755-07-70 Threat Intelligence как инструмент выявления атаки 17 27% 18% 22% 14% 12% 7% Источник данных Feeds APT Reporting Информационные обмены Собственные базы Расследование инцидентов Информация от пользователей
  18. 18. solarsecurity.ru +7 (499) 755-07-70 Подход JSOC 18 Приоретизация фидов: Репутация поставщика Очистка «мусора» TTL Актуальность для клиента Аккуратная корреляция и анализ истории обращений Идентификация процесса-инициатора – работа с endpoint Сопоставление source port с таблицей процессов Детальная работа с логами антивирусного ПО для поиска реального процесса
  19. 19. solarsecurity.ru +7 (499) 755-07-70 Советы «собратьям по оружию» 19 Не игнорируйте заблокированные инциденты:  Заблокированная активность – признак действий хакера  Не получилось сразу – будет искать другой путь  «Найти и обезвредить» Понимайте, что вы защищаете:  Идентифицируйте активы  Поймите последние фазы реализации и контроли  Следите максимально внимательно Копите знания об атаках:  Обмен с коллегами  CERT-ы и ведомства  Платные подписки
  20. 20. solarsecurity.ru +7 (499) 755-07-70 Дорогу осилит идущий 20

×