SlideShare a Scribd company logo

5 советов, от которых зависит успешность вашего SOC

Aleksey Lukatskiy
Aleksey Lukatskiy

Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.

Technology
1 of 34
Download to read offline
5 советов, от которых зависит успешность вашего SOC Опыт 100 построенных SOC Алексей Лукацкий 18 апреля 2019 Бизнес-консультант по кибербезопасности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сфокусируемся на 3-х темах из 7-ми Команда Технологии Процессы Окружение Intelligence Стратегия Миссия / цели
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Прежде чем строить SOC или отдавать мониторинг на аутсорсинг в внешний SOC (ОЦИБ), сначала внедрите то, что будет отдавать данные Совет 1: сначала внедрите то, что вы хотите мониторить Для мониторинга МСЭ на периметре и антивируса на ПК SOC не нужен!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сейчас вы увидите видео Посчитайте количество передач мяча, сделанных людьми в белых футболках!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Правильный ответ - 16
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили гориллу?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход девушки в черной футболке?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход смену цвета штор на заднем плане?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Совет 2: учитывайте физиологию работы аналитика После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота Подумайте о ротации смен, режиме отдыха аналитиков и, возможно, замене L1 машинным обучением или иными технологиями
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие данные собирает ваш SOC? События ИБ • МСЭ • IDS • AV / EPP / EDR • DLP • VPN • Web-доступ • Обманные системы • WAF Сетевые события • Маршрутизаторы • Коммутаторы • Точки доступа • DNS-сервера • Частные облака • Публичные облака Приложения и устройства • Базы данных • Сервера приложений • Web- приложения • SaaS- приложения • Мобильные устройства • Десктопы и лэптопы ИТ- инфраструктура • Конфигурации • Геолокация • Владельцы • Инвентаризация • Сетевые карты • Уязвимости
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Некоторые нормативные акты требуют хранения данных от одного года до семи лет (PCI DSS, HIPAA, SOX и др.) Особенности обрабатываемых в SOC данных Данные для анализа бывают в виде логов (syslog, Event Log и др.), потоков (Netflow, IPFIX и др.), а также захваченных сетевых сессий (pcap) Сырые данные необходимо также обогащать за счет внешних источников
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public # событий безопасности «Сколько вешать в граммах» или сколько данных вам нужно собирать? период времени в сек = EPS (event per second) Событий в день = (Total Peak Events per Day + Total Normal Events per Day) * 110% (про запас) * 110% (на рост) Total Peak Events per Day = (Number of Peaks per Day * Duration in Seconds of a Peak) * Peak EPS Total Normal Events per Day = (Total Seconds – Total Peak Seconds per Day) * Normal EPS На интервале в 90 дней
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Знайте ваши средства защиты Разный уровень регистрации событий (от Informational до Debug) Средняя длина события – 300 байт (может меняться) Не забывайте про Flow Per Second (FPS) и PCAP
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Для хранения 1000 EPS (86.4 миллиона событий в день) и средней длине события в 300 байт вам потребуется: Совет 2: продумайте, где вы будете хранить данные до внедрения SOC - 25.9 Гб в день - 777 Гб в месяц - 9.331 Тб в год
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 1,2 триллиона событий ИБ 22 инцидента ИБ Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов Источник: служба ИБ Cisco
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Учтите формат хранения – flat file, реляционная база данных или Hadoop Совет 2: продумайте, где вы будете хранить данные до внедрения SOC Данные можно хранить на своих серверах или в облаке Многие SIEMы сжимают данные 1 к 8 Вам нужно резервирование данных или их длительное хранение?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Угрозы на Cisco за один день 1.2 триллиона Событий безопасности в день по всей сети 28 миллиарда Netflows анализируется в день (Stealthwatch) 47 ТБ Internet-трафика инспектируется 7.6 миллиарда DNS-запросов в день (Umbrella) 13.4 миллиона Срабатываний NGIPS в день 4.4 миллиона Emails получается в день (ESA) 1000 фишинговых писем от службы ИБ Не каждый SIEM подойдет
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Корзина – индексированные данные • Новые индексированные данные • Открыты для записи • Поиск возможенHot • Данные, перенесенные из hot bucket • Данные активно не записываются • Поиск возможенWarm • Данные, перенесенные из warm bucket • Данные не записываются • Поиск возможенCold • Данные, перенесенные из cold bucket • По умолчанию удаляются, но можно настроить на архивное хранение • Поиск невозможенFrozen • Данные, восстановленные из архива • Поиск возможенThawed
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Время поиска и индексации – ключевые параметры
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Компактный. Например, «найди мне среднее время отклика приложения А за последние 24 часа». Последовательное обращение к диску на чтение. Два типа поиска «Поиск иголки в стогу сена». Например, «найди мне UserID во всех моих данных за последний год». Случайные обращения к диску на чтение.
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Выбор дисков для SIEM очень важен При компактном поиске разницы между SSD и SATA/SAS HDD почти нет При поиску «иголки в стогу сена» диски SSD имеют многократное преимущество (на порядки)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Чем крупнее объект мониторинга для SOC, тем больше данных будет собираться Совет 4: правильно выбирайте жесткие диски Для небольших объектов может потребоваться поиск на длительном интервале времени При крупных объектах или длительном интервале времени поиска лучше выбирать SSD-диски (хоть они и дороже) Про шифрование тоже подумайте…
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Еще одно видео! Смотрите внимательно!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Мониторинг привилегированных субъектов доступа • Множественные неудачные попытки аутентификации (brute force) • Аномалии аутентификации • Сервисные учетные записи использованы для интерактивного входа • Сервисные учетные записи использованы с неавторизованных систем • Пользователь входит в локальную сеть сразу после входа в VPN • Пользователь входит в систему за 1+ час до и через 1+ час после нормальных рабочих часов • Интерактивный вход сразу из нескольких источников под одной учетной записью Топ10 use case для SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Аномалии аутентификации (продолжение) • Использование учетной записи по умолчанию • Использование общих (shared) учетных записей • Сессионные аномалии • Типичный пользователь должен иметь сеанс работы, длительностью около 10 часов • Существенное изменение профиля Web-серфинга • Всплески в запретах исходящих соединений на МСЭ • Сетевые коммуникации между рабочими станциями • Превышение разумной длительности сессий Топ10 use case для SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Аномалии учетных записей • Учетная запись используется до начала рабочего дня пользователя • Учетная запись используется после конца рабочего дня пользователя • Индикаторы утечек данных • Несоответствие HTTP(S) Send/Receive • Протоколы передачи файлов от пользователей или сервисов, которым эти протоколы не требуются (например, FTP с принтера) • Использование облачных хранилищ (Яндекс.Диск, Dropbox, OneDrive и т.п.) • Поиск известных уязвимостей Топ10 use case для SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Любые чрезмерные отказы сервисов • Невозможность обновления антивируса или сбои бэкапов • Индикаторы внутренней угрозы • Доступ к хакерским сайтам или «исследованиям по ИБ» для рядовых пользователей • Использование USB • Нарушение эталонного уровня аутентификации • Отказы аутентификации на file shares, приложениях, серверах, порталах и т.п. • Отказы в логах безопасности Топ10 use case для SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Use case для DNS-активности (пример) 1 2 3 4 5 Молодой (менее 7 дней) или недавно зарегистрированный домен Имя не в списке Alexa Странный или длинный домен второго уровня Шестнадцатеричное имя домена Энтропия символов в названии домена 6 7 8 Трафик к внешнему IP без запроса DNS Запросы с длинными TXT записями TXT без записи типа A 9 … Запросы к динамическим DNS-провайдерам Взаимодействие с вредоносными TLD
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Настройте SOC на обнаружение Топ10 use case – они встречаются у всех Совет 5: SOC не умеет мониторить все – выберите самое важное для вас У вендоров серьезных SIEM есть уже готовые наборы use case – не пренебрегайте ими Разработайте use case, которые нужны именно вам
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
5 советов, от которых зависит успешность вашего SOC

Recommended

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 

Recommended

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
Aleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 

More Related Content

What's hot

What's hot (20)

Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 

Similar to 5 советов, от которых зависит успешность вашего SOC

От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
 
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseАнализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Cisco Russia
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Expolink
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Security
ifedorus
 

Similar to 5 советов, от которых зависит успешность вашего SOC (20)

Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
 
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseАнализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Security
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
узи лаприн
узи лапринузи лаприн
узи лаприн
 

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (11)

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

5 советов, от которых зависит успешность вашего SOC

  • 1. 5 советов, от которых зависит успешность вашего SOC Опыт 100 построенных SOC Алексей Лукацкий 18 апреля 2019 Бизнес-консультант по кибербезопасности
  • 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сфокусируемся на 3-х темах из 7-ми Команда Технологии Процессы Окружение Intelligence Стратегия Миссия / цели
  • 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Прежде чем строить SOC или отдавать мониторинг на аутсорсинг в внешний SOC (ОЦИБ), сначала внедрите то, что будет отдавать данные Совет 1: сначала внедрите то, что вы хотите мониторить Для мониторинга МСЭ на периметре и антивируса на ПК SOC не нужен!
  • 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сейчас вы увидите видео Посчитайте количество передач мяча, сделанных людьми в белых футболках!
  • 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
  • 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Правильный ответ - 16
  • 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили гориллу?!
  • 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход девушки в черной футболке?!
  • 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход смену цвета штор на заднем плане?!
  • 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Совет 2: учитывайте физиологию работы аналитика После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота Подумайте о ротации смен, режиме отдыха аналитиков и, возможно, замене L1 машинным обучением или иными технологиями
  • 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие данные собирает ваш SOC? События ИБ • МСЭ • IDS • AV / EPP / EDR • DLP • VPN • Web-доступ • Обманные системы • WAF Сетевые события • Маршрутизаторы • Коммутаторы • Точки доступа • DNS-сервера • Частные облака • Публичные облака Приложения и устройства • Базы данных • Сервера приложений • Web- приложения • SaaS- приложения • Мобильные устройства • Десктопы и лэптопы ИТ- инфраструктура • Конфигурации • Геолокация • Владельцы • Инвентаризация • Сетевые карты • Уязвимости
  • 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Некоторые нормативные акты требуют хранения данных от одного года до семи лет (PCI DSS, HIPAA, SOX и др.) Особенности обрабатываемых в SOC данных Данные для анализа бывают в виде логов (syslog, Event Log и др.), потоков (Netflow, IPFIX и др.), а также захваченных сетевых сессий (pcap) Сырые данные необходимо также обогащать за счет внешних источников
  • 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public # событий безопасности «Сколько вешать в граммах» или сколько данных вам нужно собирать? период времени в сек = EPS (event per second) Событий в день = (Total Peak Events per Day + Total Normal Events per Day) * 110% (про запас) * 110% (на рост) Total Peak Events per Day = (Number of Peaks per Day * Duration in Seconds of a Peak) * Peak EPS Total Normal Events per Day = (Total Seconds – Total Peak Seconds per Day) * Normal EPS На интервале в 90 дней
  • 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Знайте ваши средства защиты Разный уровень регистрации событий (от Informational до Debug) Средняя длина события – 300 байт (может меняться) Не забывайте про Flow Per Second (FPS) и PCAP
  • 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Для хранения 1000 EPS (86.4 миллиона событий в день) и средней длине события в 300 байт вам потребуется: Совет 2: продумайте, где вы будете хранить данные до внедрения SOC - 25.9 Гб в день - 777 Гб в месяц - 9.331 Тб в год
  • 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 1,2 триллиона событий ИБ 22 инцидента ИБ Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов Источник: служба ИБ Cisco
  • 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Учтите формат хранения – flat file, реляционная база данных или Hadoop Совет 2: продумайте, где вы будете хранить данные до внедрения SOC Данные можно хранить на своих серверах или в облаке Многие SIEMы сжимают данные 1 к 8 Вам нужно резервирование данных или их длительное хранение?
  • 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Угрозы на Cisco за один день 1.2 триллиона Событий безопасности в день по всей сети 28 миллиарда Netflows анализируется в день (Stealthwatch) 47 ТБ Internet-трафика инспектируется 7.6 миллиарда DNS-запросов в день (Umbrella) 13.4 миллиона Срабатываний NGIPS в день 4.4 миллиона Emails получается в день (ESA) 1000 фишинговых писем от службы ИБ Не каждый SIEM подойдет
  • 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Корзина – индексированные данные • Новые индексированные данные • Открыты для записи • Поиск возможенHot • Данные, перенесенные из hot bucket • Данные активно не записываются • Поиск возможенWarm • Данные, перенесенные из warm bucket • Данные не записываются • Поиск возможенCold • Данные, перенесенные из cold bucket • По умолчанию удаляются, но можно настроить на архивное хранение • Поиск невозможенFrozen • Данные, восстановленные из архива • Поиск возможенThawed
  • 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Время поиска и индексации – ключевые параметры
  • 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Компактный. Например, «найди мне среднее время отклика приложения А за последние 24 часа». Последовательное обращение к диску на чтение. Два типа поиска «Поиск иголки в стогу сена». Например, «найди мне UserID во всех моих данных за последний год». Случайные обращения к диску на чтение.
  • 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Выбор дисков для SIEM очень важен При компактном поиске разницы между SSD и SATA/SAS HDD почти нет При поиску «иголки в стогу сена» диски SSD имеют многократное преимущество (на порядки)
  • 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Чем крупнее объект мониторинга для SOC, тем больше данных будет собираться Совет 4: правильно выбирайте жесткие диски Для небольших объектов может потребоваться поиск на длительном интервале времени При крупных объектах или длительном интервале времени поиска лучше выбирать SSD-диски (хоть они и дороже) Про шифрование тоже подумайте…
  • 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Еще одно видео! Смотрите внимательно!
  • 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
  • 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Мониторинг привилегированных субъектов доступа • Множественные неудачные попытки аутентификации (brute force) • Аномалии аутентификации • Сервисные учетные записи использованы для интерактивного входа • Сервисные учетные записи использованы с неавторизованных систем • Пользователь входит в локальную сеть сразу после входа в VPN • Пользователь входит в систему за 1+ час до и через 1+ час после нормальных рабочих часов • Интерактивный вход сразу из нескольких источников под одной учетной записью Топ10 use case для SOC
  • 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Аномалии аутентификации (продолжение) • Использование учетной записи по умолчанию • Использование общих (shared) учетных записей • Сессионные аномалии • Типичный пользователь должен иметь сеанс работы, длительностью около 10 часов • Существенное изменение профиля Web-серфинга • Всплески в запретах исходящих соединений на МСЭ • Сетевые коммуникации между рабочими станциями • Превышение разумной длительности сессий Топ10 use case для SOC
  • 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Аномалии учетных записей • Учетная запись используется до начала рабочего дня пользователя • Учетная запись используется после конца рабочего дня пользователя • Индикаторы утечек данных • Несоответствие HTTP(S) Send/Receive • Протоколы передачи файлов от пользователей или сервисов, которым эти протоколы не требуются (например, FTP с принтера) • Использование облачных хранилищ (Яндекс.Диск, Dropbox, OneDrive и т.п.) • Поиск известных уязвимостей Топ10 use case для SOC
  • 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Любые чрезмерные отказы сервисов • Невозможность обновления антивируса или сбои бэкапов • Индикаторы внутренней угрозы • Доступ к хакерским сайтам или «исследованиям по ИБ» для рядовых пользователей • Использование USB • Нарушение эталонного уровня аутентификации • Отказы аутентификации на file shares, приложениях, серверах, порталах и т.п. • Отказы в логах безопасности Топ10 use case для SOC
  • 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Use case для DNS-активности (пример) 1 2 3 4 5 Молодой (менее 7 дней) или недавно зарегистрированный домен Имя не в списке Alexa Странный или длинный домен второго уровня Шестнадцатеричное имя домена Энтропия символов в названии домена 6 7 8 Трафик к внешнему IP без запроса DNS Запросы с длинными TXT записями TXT без записи типа A 9 … Запросы к динамическим DNS-провайдерам Взаимодействие с вредоносными TLD
  • 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Настройте SOC на обнаружение Топ10 use case – они встречаются у всех Совет 5: SOC не умеет мониторить все – выберите самое важное для вас У вендоров серьезных SIEM есть уже готовые наборы use case – не пренебрегайте ими Разработайте use case, которые нужны именно вам
  • 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
  • 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/