Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
2. 2
Что такое SOC
Термином CISRT называется группа экспертов в области IT безопасности,
чья основная обязанность реагировать на инциденты компьютерной
безопасности.
Существуют различные аббревиатуры, обозначающие данные группы:
• CERT или CERT/СС (Группа Оперативного Реагирования на Компьютерные
Инциденты / Координационная Группа)
• CSIRT (Группа Реагирования на Инциденты Компьютерной Безопасности)
• IRT (Группа Реагирования на Инциденты)
• CIRT (Группа Реагирования на Компьютерные Инциденты)
• SERT (Группа Оперативного Реагирования на Инциденты Безопасности)
3. 3
Известные сервисы и услуги предоставляемые SOC
Сервисы реагирования – направлены на обработку инцидентов и уменьшение потенциального ущерба.
Профилактические сервисы – предотвращение инцидентов посредством повышения осведомлённости и тренингов
Обработка артефактов – анализ любого файла или объекта найденного в системе, который может быть использован
вредоносными программами, такими как остатки вирусов, компьютерные черви, скрипты, трояны и т.д. Данные сервисы
также включают в себя обработку и распространение итоговой̆ информации производителям и другим заинтересованным
сторонам во избежание дальнейшего распространения вредоносного ПО, содержащего в себе вирусы, компьютерные
черви, а также уменьшению общего числа рисков.
Сервис Управления качеством систем безопасности имеет долгосрочные цели и состоит из консультирования и
образовательных мероприятий.
Управление качеством
систем безопасности
Обработка артефактов
Профилактические
сервисы
Сервисы
реагирования
4. 4
Сервисы реагирования Профилактические сервисы Обработка артефактов
Управление качеством
систем безопасности
Оповещение и предупреждение Объявления Анализ артефактов Анализ рисков
Обработка инцидентов Слежение за развитием
технологий
Реакция на артефакт Непрерывность
рабочего процесса и
восстановление при аварийных
ситуациях
Анализ инцидентов Анализ и оценка систем
безопасности
Координация
реагирования на артефакты
Консультирование по вопросам
безопасности
Реакция на инциденты Конфигурирование и
поддержка систем
безопасности
Повышение осведомлённости
Координация
реагирования на
инциденты
Разработка средств
обеспечения
безопасности
Обучение / Тренинги
Реакция на инциденты на месте Обнаружение
вторжения
Оценка продукта и
Сертификация
Обработка уязвимостей Распространение
информации о системах
безопасности
Анализ уязвимостей
Реакция на уязвимости
Координация
реагирования на уязвимости
7. 7
Есть вопросы
Откуда взять метрики и показатели
эффективности?
Кадровый голод, время на обучение и
погружение в процессы, форс-мажоры или
иные факторы
Кто? С кем? Как? В рамках чего?
+ штат или услуги посредника?
А если используются продукты разных
вендоров как между ними
взаимодействовать?
Мероприятия по контролю эффективности
защищенности системы защиты
информации центра кибербезопасности
Штат
Координация реагирования на инциденты
Администрирование и менеджмент
платформы SOC
Развитие экспертизы
8. 8
Это все? Увы, нет
• опоздание или не выход на работу: внезапная болезнь, ДТП и т.д.
• формальное выполнение проверок СЗИ, документации и прочее
• большая нагрузка на L1, типовые инциденты для отвлечения внимания,
работы на инфраструктуре
• выполнение не свойственных задач смене
• проклятие «5 часов утра»
• долгое время на эскалацию уровней L2, L3 и на усиление смены
• несвоевременное ведение документации в следствии чего «белые пятна» в
отчетах
• попытка переложить ответственность за инцидент в ночное время на новую
смену («мол, мы делали, клиент не ответил вот и разбирайтесь»)
Передача смены
другим коллегам
Ночное время
Операционная
деятельность
Заступление
на смену
9. 9
Быть своему SOC или не быть? Истина в цене
Совокупная стоимость владелания = ( CAPEX + OPEX ) * X, где
X – срок планирования
CAPEX = капитальные затраты
OPEX = операционные затраты
Разовые капитальные затраты (это техническое оснащение, работы по внедрению, настройке, процессному обеспечению)
CAPEX = CAPEXinfr + CAPEXimpl
Операционные затраты (это техническое оснащение, работы по внедрению, настройке, процессному обеспечению)
OPEX = OPEXvendor + OPEXsupport + OPEXstaff
OPEXvendor – стоимость продления лицензий и техническая поддержка производителя;
OPEXsupport – стоимость работ по технической поддержке ИТ-интегратора: базовые консультации,
восстановление работоспособности, профилактические работы;
OPEXstaff – затраты на штат SOC.
OPEXstaff = С1×P1+С2×P2+С3×P3+...+Сn×Pn
Сn – количество специалистов каждой группы специалистов, шт.;
Pn – средняя стоимость специалиста для компании с учетом всех составляющих, налогов, социального пакета.
и прочие, прочие расходы расчеты
10. 10
SOC от А1 = 7 лет для внутренних и внешних заказчиков
Существующие услуги:
• SIEM
• VM (как инструментальное
сканирование, так и управление)
• «хирургическая очистка трафика»
(уникальный в РБ сервис на базе
синергии WAF и antiDDoS)
• Incident Response
• Incident Recovery
• Threat Intelligence Feeds
• консалтинг
Взаимодействие с другими партнерами
• построение «под ключ»
• построение на продуктах по модели MSSP
• интеграция с нашим SOC
• обучение и консультация коллег
• тренинги и тестирование на проникновение