Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Threat intelligence в процессах SOC

180 views

Published on

В рамках секции: Эволюция SOC — 2017: план развития

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Threat intelligence в процессах SOC

  1. 1. THREAT INTELLIGENCE В ПРОЦЕССАХ SOC Александр Лесников ANLesnikov@sberbank.ru Security Operation Center, ПАО Сбербанк Positive Hack Days 23 мая 2017
  2. 2. Турция ЕвропаСНГ ПАО Сбербанк 24/7 24/7 24/7 24/7 Единый центр киберзащиты (SOC) Региональные подразделения SOC Территориальное распределение подразделений SOC 1
  3. 3. Операционная модель SOC Сбербанк Platforms and Data Components SIEM Ticketing & Workflow Reporting & Dashboards Big Data & UEBA Predictive / Cognitive Analytics Threat Intelligence Platform Active Defense Incident Response Platform StrategyOperationsTechnology 2
  4. 4. Операционная модель SOC Сбербанк Cyber-Security Command Center (CSCC) Governance / Collaboration / Requirements / Briefings Platforms and Data Components SIEM Ticketing & Workflow Reporting & Dashboards Big Data & UEBA Predictive / Cognitive Analytics Threat Intelligence Platform Active Defense Incident Response Platform StrategyOperationsTechnology Corporate Operations IT Operations Business units Risk mgmt Compliance Legal / Fraud PR Help Desk Network OPs Server Admin Development Physical Sec 2
  5. 5. Операционная модель SOC Сбербанк Cyber-Security Command Center (CSCC) Governance / Collaboration / Requirements / Briefings Service Delivery & Operations Management Service Level Management / Efficiency / Capacity Management / Escalation Security Analytics & Incident Reporting Architecture & Projects Administration & Engineering Threat Intelligence Intel Analysis Intel Data Mgmt Request for Intel Use Case Mgmt Intel Driven Resp Threat Hunting Tier 1 Monitoring Tier 2 Triage Tier 3 Response Security Integration Emergency Response Forensic Handling Platforms and Data Components SIEM Ticketing & Workflow Reporting & Dashboards Big Data & UEBA Predictive / Cognitive Analytics Threat Intelligence Platform Active Defense Incident Response Platform StrategyOperationsTechnology Corporate Operations IT Operations Business units Risk mgmt Compliance Legal / Fraud PR Help Desk Network OPs Server Admin Development Physical Sec 2
  6. 6. Vulnerability Management Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Use Case Management Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики - Подпроцесс управления уязвимостями • Управление жизненным циклом Use Case 3 Intelligence Analysis IOCs Feed Reports Subscribes Reports
  7. 7. Threat Intelligence в виде процессной модели Request For Intelligence Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики 3
  8. 8. Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики 3 Intelligence Analysis IOCs Feed Subscribes Reports
  9. 9. Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики 3 Intelligence Analysis IOCs Feed Subscribes Reports
  10. 10. Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Use Case Management Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики • Управление жизненным циклом Use Case 3 Intelligence Analysis IOCs Feed Subscribes Reports
  11. 11. Vulnerability Management Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Use Case Management Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики - Подпроцесс управления уязвимостями • Управление жизненным циклом Use Case 3 Intelligence Analysis IOCs Feed Reports Subscribes Reports
  12. 12. Threat Intelligence в проекции на Kill Chain 4 подготовка продолжительность ±дни причинение вредавторжение продолжительность ±месяцы продолжительность ±секунды Начало атаки 1 разведка 2 вооружение 3 доставка 4 заражение 5 инсталляция 6 управление 7 действие Цель: Переход от реактивного реагирования к проактивному AS ISTO BE
  13. 13. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management 5 Инструменты, источники информации для процессов Threat Intelligence
  14. 14. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management 5 Инструменты, источники информации для процессов Threat Intelligence PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
  15. 15. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management IBM i2 / Watson ThreatQ EclecticIQ Anomali BlueLiv LookingGlass ThreatConnect DECOYNET Cynet 360 ERAM Netskope TP RiskIQ StatusToday Variato Recon Verint TP 5 Инструменты, источники информации для процессов Threat Intelligence PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
  16. 16. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management IBM i2 / Watson ThreatQ EclecticIQ Anomali BlueLiv LookingGlass ThreatConnect DECOYNET Cynet 360 ERAM Netskope TP RiskIQ StatusToday Variato Recon Verint TP IBM i2 Illusive Sqrrl Fussion Behavioral Exabeam Endgame 5 Инструменты, источники информации для процессов Threat Intelligence PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
  17. 17. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management IBM i2 / Watson ThreatQ EclecticIQ Anomali BlueLiv LookingGlass ThreatConnect DECOYNET Cynet 360 ERAM Netskope TP RiskIQ StatusToday Variato Recon Verint TP IBM i2 Illusive Sqrrl Fussion Behavioral Exabeam Endgame 5 Инструменты, источники информации для процессов Threat Intelligence IBM Use Case Library PT MaxPatrol SOC Prime UCL ThreatModeler SkyBox Cronus Cybot PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
  18. 18. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Новые компетенции 6
  19. 19. Аналитик по анализу киберугроз Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает рекомендации по изменению политик в отношении обеспечения информационной безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Новые компетенции 6
  20. 20. Аналитик по анализу киберугроз Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает рекомендации по изменению политик в отношении обеспечения информационной безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Аналитик по поиску киберугроз Применяет знания профилей злоумышленников и соответствующих тактик, методов и процедур для выявления потенциальных векторов атаки. Разрабатывает сценарии поиска и обнаружения угроз, проверяет гипотезы и формирует соответствующие процедуры их проверки. Определяет, разрабатывает и рекомендует новые методы активной защиты. Определяет новые индикаторы компрометации. Новые компетенции 6
  21. 21. Аналитик по анализу киберугроз Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает рекомендации по изменению политик в отношении обеспечения информационной безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Аналитик по поиску киберугроз Применяет знания профилей злоумышленников и соответствующих тактик, методов и процедур для выявления потенциальных векторов атаки. Разрабатывает сценарии поиска и обнаружения угроз, проверяет гипотезы и формирует соответствующие процедуры их проверки. Определяет, разрабатывает и рекомендует новые методы активной защиты. Определяет новые индикаторы компрометации. Новые компетенции 6 Аналитик по управлению сценариями Управляет запросами на разработку сценариев, определяет их приоритеты. Определяет требования к сценариям, корректирует сценарии с учетом новых выявленных угроз. Разрабатывает проектные спецификации на сценарии. Определяет процедуры реагирования на инциденты. Управляет жизненным циклом разработки сценариев в рамках установленной методологии и процессов.
  22. 22. Ваши вопросы? СПАСИБО ЗА ВНИМАНИЕ!

×