Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Глобальные планы, конкретные задачи: будни SOC Ростелекома

179 views

Published on

В рамках секции: Эволюция SOC — 2017: план развития

Published in: Technology
  • Be the first to comment

Глобальные планы, конкретные задачи: будни SOC Ростелекома

  1. 1. КИБЕР БЕЗОПАСНОСТЬ
  2. 2. 1 КИБЕРБЕЗОПАСНОСТЬ, are you sure? ПОЯВЛЕНИЕ НОВЫХ ТЕХНОЛОГИЙ И БИЗНЕС МОДЕЛЕЙ  Использование мобильных устройств / BYOD  Облачные технологии  Обширная IT инфраструктура  Internet of Things  etc. ПОЯВЛЕНИЕ НОВЫХ КИБЕРУГРОЗ  Инсайдеры  Script-kiddies  Организованная преступность  Конкуренты / хактивисты  Таргетированные атаки НОРМАТИВНЫЕ ТРЕБОВАНИЯ В ЧАСТИ ИБ  Требования регуляторов: ФСТЭК, ФСБ, ЦБ  Требования стандартов: PCI/DSS, ISO 27001 ПОЯВЛЕНИЕ, ВЫЯВЛЕНИЕ И ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ ЗАРАЖЕНИЕ ВРЕДОНОСНЫМ КОДОМ КОМПРОМЕТАЦИЯ ДАННЫХ ФИНАНСОВЫЕ ПОТЕРИ DDOS-АТАКИ ПРОВЕРКИ РЕГУЛЯТОРОВ
  3. 3. 2 ПОЧЕМУ КИБЕР-БЕЗОПАСНОСТЬ ОТ РОСТЕЛЕКОМ? БОЛЕЕ 5 ЛЕТ НА СТРАЖЕ - Инфраструктуры систем «Электронного правительства» - Клиентов «Национальной облачной платформы Ростелеком» 25 ЧЕЛОВЕК В КОМАНДЕ SOC. Непрерывное развитие и рост. ИНФРАСТРУКТУРА РАСПРЕДЕЛЕНА ОТ КАЛИНИНГРАДА ДО ВЛАДИВОСТОКА → возможность сбора собственных feed и наполнение базы ioc С ЦЕЛЬЮ УСКОРЕНИЯ «ЭВОЛЮЦИИ" SOC РОСТЕЛЕКОМ - Ориентируемся на мировой опыт - Привлекаем консультантов с признанным в мире опытом
  4. 4. 3 НЕМНОГО ЦИФР В ТЕЧЕНИЕ 1/2 года ФИКСИРУЕТСЯ ИНЦИДЕНТОВ ИБ : ~ 22 000 шт. ИЗ НИХ ПОДТВЕРЖДЕННЫХ: ~ 20% СРЕДНИЙ ОБЪЕМ СОБЫТИЙ, ПОСТУПАЮЩИХ В SIEM в секунду: ~ 12 000 eps СРЕДНЕСУТОЧНЫЙ ОБЪЕМ СОБЫТИЙ ИБ, ОБРАБАТЫВАЕМЫЙ В SIEM: ~ 2.5 млрд.
  5. 5. 4 КАК ВСЕ УСТРОЕНО ФИЗИЧЕСКАЯ ИНФРАСТРУКТУРА БАЗЫ ДАННЫХ ПОЧТА ПРИЛОЖЕНИЯ СЕТЕВОЕ ОБОРУДОВАНИЕ Источники событий WAF FW/NG-FW VPN IPS SIEM ГРУППА МОНИТОРИНГА ГРУППА РЕАГИРОВАНИЯ СЕРВИС-МЕНЕДЖЕР ГРУППА АДМИНИСТРИРОВАНИЯ СЗИ ЗАКАЗЧИК Endpoint Sec Anti-DDoS Sec scanners ГРУППА АВТОМАТИЗАЦИИ
  6. 6. 5 КАК ВСЕ РАБОТАЕТ СБОР СОБЫТИЙ  FW  IPS/IDS  WAF  VPN АНАЛИЗ СОБЫТИЙ  мониторинг поступающих событий безопасности в режиме 24х7х365;  обработка входящих данных и выделение инцидентов;  уведомление Заказчика об инциденте;  сбор необходимых данных для реагирования и расследования инцидента;  мониторинг работоспособности подключенных услуг по обеспечению информационной безопасности; РЕАКЦИЯ НА ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ  аналитика по инцидентам на основании информации, поступившей из различных источников  определение информационных активов, пострадавших в результате инцидентов ИБ  принятие оперативных мер для устранения инцидента (в команде с IT-службой)  анализ причин возникновения инцидента  принятие мер для устранения причин возникновения инцидента  Anti-DDoS  Vulnerability scanners  Endpoint  Сетевое оборудование
  7. 7. СПАСИБО ЗА ВНИМАНИЕ Владимир Шадрин Руководитель SOC vladimir.shadrin@rt.ru +7 926 589 1891

×