Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SOC в большой корпоративной сети. Challenge accepted

191 views

Published on

Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.

Published in: Technology
  • Be the first to comment

SOC в большой корпоративной сети. Challenge accepted

  1. 1. Андрей Дугин SOC в большой корпоративной сети. Challenge accepted
  2. 2. 2 Немного истории •1988 – создан CERT/CC после того, как червь Морриса поразил компьютеры DARPA •1989-1995 – 1st-7th Workshops on Computer Security Incident Response •1996-2017 – 8th-29th FIRST Conference and Workshop on Computer Security Incident Handling and Response •1998 – RFC2350 «Expectations for Computer Security Incident Response» •… •2015-2017 – SANS SOC Summit, Washington, DC •2015-2016 – SOC Forum, г. Москва •27.04.2017 – SOC Forum Astana, г. Астана
  3. 3. 3 SOC или CSIRT? Матрица SOMM Level Rating Description CSIRT SOC 0 Incomplete Operational elements do not exist. + + 1 Initial Minimum requirements to provide security monitoring are met. Nothing is documented and actions are ad hoc. + + 2 Managed Business goals are met and operational tasks are documented, repeatable, and can be performed by any staff member. Compliance requirements are met. Processes are defined or modified reactively. + + 3 Defined Operations are well-defined, subjectively evaluated, and flexible. Processes are defined or modified proactively. + 4 Measured Operations are quantitatively evaluated, reviewed consistently, and proactively improved utilizing business and performance metrics to drive the improvements. + 5 Optimizing Operational improvement program has been implemented to track any deficiencies and ensure all lessons learned to continually drive improvement. Processes are rigid and less flexible and significant overhead is required to manage and maintain this maturity level, outweighing the benefits achieved. +
  4. 4. 4 Предпосылки создания SOC 0% 5% 10% 15% 20% 25% 30% 35% Неизвестно 1 день < < 1 день < 5 часов < 1 часа < 10 минут Среднее время обнаружения инцидента ИБ (исследования E&Y): Предотвращенный ущерб – раньше нашёл, больше сэкономил. Много консолей, много систем, ОЧЕНЬ много журналов аудита
  5. 5. 5 Что такое SOC? Люди ПроцессыТехнологии
  6. 6. 6 SOC МТС позавчера (2005-2009) • Vulnerability management • IDS/IPS • DB-audit • Antivirus • Antispam • Proxy • SIEM (пилот) • Мониторинг (разрозненный) • Расследования • Контроль доступов • Контроль внешнего периметра • Compliance Люди: =============== • Администраторы СЗИ Процессы: =============== Технологии: ===============
  7. 7. 7 SOC МТС вчера (2010-2015) • SIEM • WAF • AntiDDoS • DLP • SPAN-aggregation • NetFlow analysis • Privileged access control • Vulnerability management • IDS/IPS • DB-audit • Antivirus • Antispam • Proxy • Мониторинг (единая консоль) • Расследования • Контроль доступов • Контроль внешнего периметра • Compliance • Управление инцидентами • Контроль утечек • Контроль привилегированных пользователей Люди: =============== • Операторы SOC 8x5 • Аналитики SOC • Администраторы СЗИ Процессы: =============== Технологии: ===============
  8. 8. 8 SOC МТС сегодня (2016-2017) • SIEM • WAF • AntiDDoS • DLP • SPAN-aggregation • NetFlow analysis • Privileged access control • Vulnerability management • IDS/IPS • DB-audit • Antivirus • Antispam • Proxy • Мониторинг • Расследования • Контроль доступов • Контроль внешнего периметра • Compliance • Управление инцидентами • Контроль утечек • Контроль привилегированных пользователей Люди: =============== • Операторы SOC 24x7 • Аналитики SOC • Администраторы СЗИ Процессы: =============== Технологии: ===============
  9. 9. 9 SOC МТС в цифрах > 1500 подключенных устройств 174 агента сбора событий ИБ > 100 правил корреляции 28 кейсов Суммарное количество подключенных устройств Суммарное количество развёрнутых агентов сбора Количество разработанных правил корреляции Количество активных кейсов (сценариев)
  10. 10. 10 География внедрения S Х Х Х Х Х Х Х Х S - Сервер агентов сбора - SIEM Система - Система длительного хранения событий - Windows Event Collector
  11. 11. Немного о технологиях
  12. 12. 12 WAF: в каком режиме? WAF software module WAF sniffer WAF reverse proxy WAF router WAF bridge / transparent reverse proxy
  13. 13. 13 Упрощенная схема сети (без WAF)
  14. 14. 14 Архитектурные требования к WAF Обеспечение возможности централизованной защиты и контроля web-серверов Географическая масштабируемость Отсутствие необходимости изменения на L1/L2/L3-топологии сети для защищаемых ресурсов Отсутствие необходимости существенной доработки защищаемых ресурсов Возможность терминации HTTPS для выполнения TLS-offload (анализ шифрованного трафика, снижение нагрузки на сервера) Независимость от настроек, сбоев и уязвимостей ОС защищаемых web-ресурсов
  15. 15. 15 WAF: reverse proxy. Необходимые изменения Выделение IP-адресов для WAF Доступ из Интернет по HTTP/HTTPS к IP-адресам WAF Настройка TLS offload (если используется HTTPS) Настройка заголовков XFF Изменение правил NAT на firewall (если в DMZ на одном firewall) Изменение записей DNS (если в разных DMZ на разных firewall)
  16. 16. 16 WAF: reverse proxy. Пример изменений Новые адреса для WAF Серые 192.168.213.0/24 Белые 203.0.113.3-5 Изменение правил NAT на firewall (в DMZ на одном firewall) До: 203.0.113.1-5 = 192.168.113.1-5 После: 203.0.113.1-5 = 192.168.213.1-5 Вставка XFF на WAF, без вставки на балансире Изменение записей DNS (в разных DMZ на разных firewall) До: www3.example.com После: www3.example.com 198.51.100.3 203.0.113.3 198.51.100.4 203.0.113.4 198.51.100.5 203.0.113.3
  17. 17. 17 WAF: reverse proxy
  18. 18. 18 WAF: reverse proxy. Анализ Единая точка защиты и контроля web-серверов Высокая масштабируемость: IP-маршрутизация + доступ Отсутствие влияния на L1/L2/L3-топологию сети TLS-offload (анализ шифрованного трафика, снижение нагрузки на сервера) Независимость от настроек, сбоев и уязвимостей ОС защищаемых web-ресурсов Преимущества Недостатки Единая точка отказа (минимизация: кластер, дублирование) Подверженность атакам на WAF
  19. 19. 19 Управление копией трафика: пакетные брокеры Выбор топологического места съема трафика Выбор технологии съема трафика: SPAN/VACL/Brokers Количество «слушающих» систем защиты информации Подключение новых систем защиты без влияния на существующие сессии и продуктивный трафик Необходимость дедупликации пакетов Необходимость удаления заголовков пакетов (VLAN tag, MPLS label) Необходимость экономии портов оборудования Сокращение затрат
  20. 20. Фрагмент сети: SPAN/VACL 20 InternetCorp 2 порта на сенсор2 порта на сенсор
  21. 21. 21 InternetCorp Фрагмент сети: SPAN/VACL 2 порта на сенсор2 порта на сенсор
  22. 22. Фрагмент сети: Brokers 22 InternetCorp Aggr Aggr Сенсор не нужен 1 порт на сенсор
  23. 23. Интерактив: выход в Интернет 23 Internet Corp DMZ3 DMZ1 DMZ2
  24. 24. 24 Примерная схема обработки инцидента IDS FW AD Net OS Security Level 1 Level 2 Cases Dashboards IT, HelpDesk
  25. 25. 25 WannaCry
  26. 26. 26 WannaCry: как SOC отразил атаку • Благодаря выстроенному процессу Patch Management преобладающая часть рабочих станций и серверов была обновлена до начала атаки • Архитектура корпоративной сети сегментирована, правила межсегментных взаимодействий строятся по принципу default deny • Организован процесс резервного копирования данных с серверов • Пользователи и администраторы соблюдают правила ИБ • Мониторинг событий ИБ в журналах систем и в мире позволил начать принимать комплекс реактивных мер практически сразу же после начала атаки • Произведенное обогащение инцидентов информацией о владельцах систем ускоряет оперативность решения Проактивно: ===============
  27. 27. 27 WannaCry: как SOC отразил атаку Реактивно: =============== • Проверка SMB-портов из Интернет на firewall – были закрыты • Проверка патчей MS17-010 на всех серверах, ПК, VDI. Принудительная установка подразделениями ИТ в случае отсутствия • Обновление потокового антивируса (email, web), антивируса на ПК, ноутбуках и серверах • Обновление золотого образа VDI • Мониторинг и устранение случаев возможного заражения • Внеочередное инструктирование пользователей и администраторов • Оперативное взаимодействие ИБ-ИТ на всех уровнях
  28. 28. 28 WannaCry: технические меры SOC • Создание критичного правила на SIEM: • Попытки подключения к SMB-портам на разные dst IP • Сигнатуры IDS, сигнализирующие о попытке эксплуатации уязвимостей через SMB • Обращение к IP-адресам C&C-центров • Проверка хэш-сумм файлов на соответствие хэшам зараженных • Попытка резолва известных DNS-имен • Создание «заглушки» на DNS • Зануление IP-адресов C&C-центров • Внеочередное инструктирование пользователей и администраторов
  29. 29. 29 WannaCry: DNS-заглушка
  30. 30. 30 Выводы по результатам Противостояния на PHD-2016 • Очень сложно защитить то, чего не видишь • Распределение обязанностей: • SOC – мониторинг • Защитники – закрытие брешей • SOC – контролирует и координирует устранение • Чем больше сделано заранее, тем меньше делать в экстренном порядке
  31. 31. 31 SOC МТС завтра (2017-2020) • Интеграция с ГосСОПКА • BigData • Threat Intelligence • SIEM • WAF, AntiDDoS • SPAN-aggregation, IDS/IPS • NetFlow analysis • DLP, Privileged access control, DB-audit • Vulnerability management • Antivirus, Antispam • Proxy • Взаимодействие с ГосСОПКА • Аутсорсинг услуг ИБ • Мониторинг • Расследования • Контроль доступов • Контроль внешнего периметра • Compliance • Управление инцидентами • Контроль утечек • Контроль привилегированных пользователей Люди: =============== • Операторы SOC 24x7 • Аналитики SOC • Администраторы СЗИ Процессы: =============== Технологии: ===============
  32. 32. 32 SOC МТС завтра (2017-2020) • Предсказание возможных векторов развития атак и их отражение на раннем этапе • Дополнение реактивных и проактивных действий адаптивными • Повышение эффективности за счет взаимодействия с ГосСОПКА • Вывод услуг информационной безопасности на коммерческий рынок Направления движения: =====================
  33. 33. 33 Q&A
  34. 34. Спасибо!

×