SlideShare a Scribd company logo

Нюансы функционирования и эксплуатации Cisco SOC

Aleksey Lukatskiy
Aleksey Lukatskiy

Рассказ о некоторых особенностях функционирования SOC в Cisco, прозвучавший на SOC Forum в Астане

Technology
1 of 38
Download to read offline
27 апреля 2017 Cisco Infosec Representative Cisco Security Ninja Blue Belt Нюансы эксплуатации SOC внутри Cisco Алексей Лукацкий
Disclaimer За 20 минут нельзя рассказать о том, как функционирует весь SOC Cisco Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы не являются полным описанием того, что делается внутри ИБ компании Cisco. Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы изменяются с течением времени (в том числе и в данный момент) Презентация базируется на публичной информации, раскрытие которой разрешено службой ИБ компании Cisco
Опыт Cisco в части построения SOC Cisco CSIRT Cisco Flexible SOC Cisco ATA Cisco SecOps Собственный SOC и служба реагирования на инциденты Cisco Услуги Cisco по построению SOC для заказчиков Аутсорсинговый SOC Cisco для заказчиков Аутсорсинговый SOC Cisco для промышленных предприятий
Что представляет особую сложность? Сложности ИБ • Неуправляемые десктопы и ПК руководства • Спам/Вредоносное ПО • DDoS • Удаленно контролируемые зараженные узлы • Быстро меняющееся окружение Базовые решения • Anti-virus • Firewalls • IDS/IPS • IronPort WSA/ESA • Сегментация сети (активно развивается) • Захват и анализ логов • Incident response team 95% Расширенные решения • Расширенный сбор данных • Netflow, IP атрибуция, DNS… • Анализ Big data и playbooks • Быстрая локализация • DNS/RPZ, карантин, On-line форензика на узлах • Осведомленность об угрозах Продвинутых угроз • Целевой фишинг с троянами • Атаки Watering hole • Атаки через соцсети • Атаки спецслужб 5%
Вам не нужен SOC, если вам нечего мониторить! 122K человек/170 стран 26,000 домашних офисов 1,350 лабораторий 2,500 приложений/500 облачных сервисов 3M IP-адресов/40K маршрутизаторов 425 устройств, обнаруживающих инциденты ИБ 350+ сотрудников службы ИБ (включая расширенный состав) 4TБ данных собирается и анализируется ежедневно 1.2трлн сетевых событий 15млрд потоков NetFlows 4.7млрд DNS-записей 75млн Web-транзакций • Блокируется – 1.2M (WSA) 94% входящих e-mail блокируется на периметре (ESA) 47TБ трафика инспектируется • эквивалентно 3.8K часов видео blu-ray 5
Выстроенные процессы в основе всего выстроенных процессов управления инцидентами и событиями безопасности (workflow, playbook, пути эскалации, RACI-матрица и т.д.) не компенсирует даже хорошо настроенная и дорогая SIEM-система Отсутствие
Отсутствие нормальных SIEM устраивающих нас привычных SIEM на рынке • Сложно индексировать данные не-ИБ или логи своих приложений • Проблемы масштабирования и скорости поиска. 10Гб/день (сегодня 4 Тб) и поиск занимал > 6 минут • Сложно кастомизировать встроенные правила, генерящие много ложных срабатываний Отсутствие 17 1000356 2 0 50 100 150 200 250 300 350 400 Avg Query Time (seconds) Data Indexed (GB/day) Query Time vs. Indexed Data Splunk SIEM 1
Коммуникации, взаимодействие и другие ИТ-системы РасследованияМониторинг Средства защиты Решения от провайдеров ИБ и разведки угроз Управление сервисами Web Tools SIEM Feeds Cloud Service Cloud WAFCloud DoSP Standalone Tools IM NGIPS NGFW Antimalware Web Proxies Vuln Scan Email Sec Virtualized InfraWiki Collab Tool Ticketing CMDB Training Platform Log Collector Log Mgmt В итоге мы перешли от такой архитектуры
Инфраструктура под расследованием Меры защиты и восстановления Системы коммуникаций и взаимодействия РасследованиеМониторинг и реагирование Обогащение/TI Телеметрия и другие источники Решения провайдеров по ИБ Управление сервисами Security Analytics Suite AV Intel Providers Cloud Infra Service Provider Solutions Digital Forensics Tools Security Case Management Enrichment Providers Threat Intel Providers Платформы для разведки Threat Intelligence Malware Analysis Knowledge Base Log Management Native Logs Cyber Security Controls Wiki Comm & Collab Apps Internal Infra Ticketing Training Platforms Physical Security Controls …к этой Sensor Telemetry Other Data Sources
Комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
Не забывайте про мониторинг внутренней сети уникальный источник информации о событиях безопасности, который позволяет использовать каждый коммутатору и маршрутизатор в качестве распределенной системы обнаружения атак и аномалий Netflow Cisco Stealthwatch
Мобильные пользователи Филиал Мониторинг не только периметра Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
Cisco CSIRT о своей практике использования Stealthwatch https://youtu.be/FEmAmsajBtI
Threat Intelligence обогащает ваши события безопасности - знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п. Threat Intelligence Cisco Systems Free / Open Source Государство ISAC Коммерчес- кие Частные Внутренние
5 департаментов DNS-запросов в день 90 МЛРД Файлов / семплов в день 18.5 МЛРД / 1,5 МЛН Web-запросов в день 16 МЛРД сообщений email в день 600 МЛРД
Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
От CRiTs к OpenSOC 17 Мультипетабайтное хранилище Интерактивные запросы Поиск в реальном времени Масштабируемая обработка потоков Неструктурированные данные Контроль доступа к данным Масштабируемые вычисления Hadoop Big Data Platform OpenSOC Алерты в реальном времени Обнаружение аномалий Корреляция данных Правила и отчеты Прогнозное моделирование UI и приложения
От OpenSOC к Apache Metron
От OpenSOC к Cisco TIP Стек железа (40u): - 14 Hadoop Data Nodes (UCS C240 M3) - 8 Elastic Data Nodes (UCS C220 M3) - 3 Cluster Control Nodes (UCS C220 M3) - 2 ESX Hypervisor Hosts (UCS C220 M3) - 1 PCAP Processor (UCS C220 M3 + Napatech NIC) - 2 SourceFire Threat alert processors - 1 Anue Network Traffic splitter - 1 Router - 1 48 Port 10GE Switch Стек ПО - HDP 2.2 - Kafka 0.8.1 - Elastic Search 1.3.0 - MySQL 5.5 (Hive Meta & GeoData)
Контроль доступа дает нам контекст Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие атрибуты Cisco ISE
…для последующего реагирования • Задействует EPS (Endpoint Protection Services), известный также как ANC – Adaptive Network Control • Одна из наиболее неизвестных и недоиспользованных возможностей ISE • ISE-сервера могут глобально поместить MAC-адреса узла в restricted zone • Инфицированный узел будет иметь доступ к средствами восстановления, но не сможет повлиять на другие системы в компании • Помещение и исключение из карантина могут быть ручными или автоматическими (по API) Драматически снижает время реагирования на инцидент
Отражение атак: BGP RTBH @Cisco • OER – Optimized Edge Routing • Также известен как Performance Routing (PfR): • Немедленно устанавливает null0 route • Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ • Использует iBGP и uRPF • Не требует дополнительной настройки • Настраивает /32 null0 route: 22 route x.x.x.x 255.255.255.255 null0 iBGP peering
Cisco Threat Mitigation System (TMS) – собственная разработка Единый инструмент для управления DNS RPZ* и BGP BH** * - Response Policy Zones ** - Black Hole
Cisco Threat Mitigation System (TMS)
Киберучения с помощью Cisco Cyber Range Identity Services Engine Flow Collector FC SMCStealthWatch Management Internet IXIA Breaking Point Open Source Attack Tools Inside Host NetFlow AVC TrustSec Wireless Security ASA NGFW Cisco Talos Web Security Appliance Email Security Appliance Stealthwatch Sourcefire IPS Splunk Cisco Prime Fire SIGHT Data Analytics N1KV ASAv Virtual Security
Типовой состав киберучений в Cisco • Вредоносный код • Спам • Утечка информации • Фишинг • Доступ к ненужным для работы сайтам • Сканирование • Проникновение извне • Подмена устройств • Реализация APT • Кража идентификационных данных • Фальшивые точки беспроводного доступа • Атаки на виртуализированные инфраструктуры, включая и центры обработки данных • Атаки на мобильные устройства • Техники обхода средств защиты • DDoS-атаки • Взаимодействие с C&C- серверами • И другие.
Мобильный SOC от Cisco CSIRT
Состав мобильного SOC (в части ИБ) • Cisco ASA 5545-X • Cisco NGIPS (FirePOWER 7150) • Cisco Stealthwatch • Cisco S300V Web Security Appliance • Cisco AMP for Content / Network • Cisco Netflow Generation Appliance 3340 • CSIRT PDNS и Cisco Umbrella • Splunk • BGP Black Hole/Quarantine • Функции DLP • Сбор Syslog • Qualys • RedSeal
Временные параметры Support business outcomes Enable business change Manage risk in line with business needs Optimize customer experience Show value for moneyContinually improve • Time-to-Detect (TTD) • Time-to-Contain (TTC) • Time-to-Remediate (TTR) • Time-to-Response (TTR) • Time-to-Mitigate (TTM) TTD TTC TTR Первая активность Обнаружение Лечение Восстановление TTM
Не бывает «15 минут на реагирование на инцидент» DETECT CONTAIN CLOSE
Q1 New Doctor Q2 Background Check Q3 Account Closing Q4 Plan Recruitment Cisco 13% 19% 10% 5% Information Security 1% 8% 6% 1% • Фишинг – это источник #1 компрометации оконечных устройств • Реализуем различные степени сложности каждый квартал • Достаточно всего одного письма, чтобы скомпрометировать сотрудника Измерение эффективности SOC – это высший пилотаж
Cisco СSIRT делится опытом в блоге…
Инженеры службы Cisco по ИБ поделились своим опытом выстраивания Cisco SOC и процессов реагирования на инциденты в книгах …и пишет книги 33
Cisco Threat Awareness Service – бесплатный мониторинг угроз Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз • Оперативное обнаружение вредоносной активности • Идентификация скомпрометированных сетей и подозрительного поведения • Помогает компаниям быстро идентифицировать скомпрометированные системы • Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы • Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
Cisco Threat Awareness Service Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений • Изменений конфигурации • Сетевых инструментов • Новых внедрений ПО • Сенсоров в сети заказчика • Дополнительных людских ресурсов Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на security- request@cisco.com или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших потребностей и того, как мы можем их удовлетворить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план создания SOC на вашем предприятии Что сделать после конференции?
Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
Спасибо! alukatsk@cisco.com

Recommended

Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 

Recommended

Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как уликаAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 

More Related Content

What's hot

Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 

What's hot (20)

Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических систем
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизни
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 

Similar to Нюансы функционирования и эксплуатации Cisco SOC

Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииCisco Russia
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Cisco Russia
 
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...Expolink
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseCisco Russia
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Andrey Klyuchka
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...Cisco Russia
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Cisco Russia
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Cisco Russia
 
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в КазаниПостроение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в КазаниCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиCisco Russia
 

Similar to Нюансы функционирования и эксплуатации Cisco SOC (20)

Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2
 
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
Ростелеком. Роман Жуков. "Информационная безопасность как услуга. Взгляд со с...
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18
 
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в КазаниПостроение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
Построение отказоустойчивой ИТ-­‐инфраструктуры для Универсиады-­‐2013 в Казани
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сети
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 

Нюансы функционирования и эксплуатации Cisco SOC

  • 1. 27 апреля 2017 Cisco Infosec Representative Cisco Security Ninja Blue Belt Нюансы эксплуатации SOC внутри Cisco Алексей Лукацкий
  • 2. Disclaimer За 20 минут нельзя рассказать о том, как функционирует весь SOC Cisco Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы не являются полным описанием того, что делается внутри ИБ компании Cisco. Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы изменяются с течением времени (в том числе и в данный момент) Презентация базируется на публичной информации, раскрытие которой разрешено службой ИБ компании Cisco
  • 3. Опыт Cisco в части построения SOC Cisco CSIRT Cisco Flexible SOC Cisco ATA Cisco SecOps Собственный SOC и служба реагирования на инциденты Cisco Услуги Cisco по построению SOC для заказчиков Аутсорсинговый SOC Cisco для заказчиков Аутсорсинговый SOC Cisco для промышленных предприятий
  • 4. Что представляет особую сложность? Сложности ИБ • Неуправляемые десктопы и ПК руководства • Спам/Вредоносное ПО • DDoS • Удаленно контролируемые зараженные узлы • Быстро меняющееся окружение Базовые решения • Anti-virus • Firewalls • IDS/IPS • IronPort WSA/ESA • Сегментация сети (активно развивается) • Захват и анализ логов • Incident response team 95% Расширенные решения • Расширенный сбор данных • Netflow, IP атрибуция, DNS… • Анализ Big data и playbooks • Быстрая локализация • DNS/RPZ, карантин, On-line форензика на узлах • Осведомленность об угрозах Продвинутых угроз • Целевой фишинг с троянами • Атаки Watering hole • Атаки через соцсети • Атаки спецслужб 5%
  • 5. Вам не нужен SOC, если вам нечего мониторить! 122K человек/170 стран 26,000 домашних офисов 1,350 лабораторий 2,500 приложений/500 облачных сервисов 3M IP-адресов/40K маршрутизаторов 425 устройств, обнаруживающих инциденты ИБ 350+ сотрудников службы ИБ (включая расширенный состав) 4TБ данных собирается и анализируется ежедневно 1.2трлн сетевых событий 15млрд потоков NetFlows 4.7млрд DNS-записей 75млн Web-транзакций • Блокируется – 1.2M (WSA) 94% входящих e-mail блокируется на периметре (ESA) 47TБ трафика инспектируется • эквивалентно 3.8K часов видео blu-ray 5
  • 6. Выстроенные процессы в основе всего выстроенных процессов управления инцидентами и событиями безопасности (workflow, playbook, пути эскалации, RACI-матрица и т.д.) не компенсирует даже хорошо настроенная и дорогая SIEM-система Отсутствие
  • 7. Отсутствие нормальных SIEM устраивающих нас привычных SIEM на рынке • Сложно индексировать данные не-ИБ или логи своих приложений • Проблемы масштабирования и скорости поиска. 10Гб/день (сегодня 4 Тб) и поиск занимал > 6 минут • Сложно кастомизировать встроенные правила, генерящие много ложных срабатываний Отсутствие 17 1000356 2 0 50 100 150 200 250 300 350 400 Avg Query Time (seconds) Data Indexed (GB/day) Query Time vs. Indexed Data Splunk SIEM 1
  • 8. Коммуникации, взаимодействие и другие ИТ-системы РасследованияМониторинг Средства защиты Решения от провайдеров ИБ и разведки угроз Управление сервисами Web Tools SIEM Feeds Cloud Service Cloud WAFCloud DoSP Standalone Tools IM NGIPS NGFW Antimalware Web Proxies Vuln Scan Email Sec Virtualized InfraWiki Collab Tool Ticketing CMDB Training Platform Log Collector Log Mgmt В итоге мы перешли от такой архитектуры
  • 9. Инфраструктура под расследованием Меры защиты и восстановления Системы коммуникаций и взаимодействия РасследованиеМониторинг и реагирование Обогащение/TI Телеметрия и другие источники Решения провайдеров по ИБ Управление сервисами Security Analytics Suite AV Intel Providers Cloud Infra Service Provider Solutions Digital Forensics Tools Security Case Management Enrichment Providers Threat Intel Providers Платформы для разведки Threat Intelligence Malware Analysis Knowledge Base Log Management Native Logs Cyber Security Controls Wiki Comm & Collab Apps Internal Infra Ticketing Training Platforms Physical Security Controls …к этой Sensor Telemetry Other Data Sources
  • 10. Комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  • 11. Не забывайте про мониторинг внутренней сети уникальный источник информации о событиях безопасности, который позволяет использовать каждый коммутатору и маршрутизатор в качестве распределенной системы обнаружения атак и аномалий Netflow Cisco Stealthwatch
  • 12. Мобильные пользователи Филиал Мониторинг не только периметра Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
  • 13. Cisco CSIRT о своей практике использования Stealthwatch https://youtu.be/FEmAmsajBtI
  • 14. Threat Intelligence обогащает ваши события безопасности - знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п. Threat Intelligence Cisco Systems Free / Open Source Государство ISAC Коммерчес- кие Частные Внутренние
  • 15. 5 департаментов DNS-запросов в день 90 МЛРД Файлов / семплов в день 18.5 МЛРД / 1,5 МЛН Web-запросов в день 16 МЛРД сообщений email в день 600 МЛРД
  • 16. Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
  • 17. От CRiTs к OpenSOC 17 Мультипетабайтное хранилище Интерактивные запросы Поиск в реальном времени Масштабируемая обработка потоков Неструктурированные данные Контроль доступа к данным Масштабируемые вычисления Hadoop Big Data Platform OpenSOC Алерты в реальном времени Обнаружение аномалий Корреляция данных Правила и отчеты Прогнозное моделирование UI и приложения
  • 18. От OpenSOC к Apache Metron
  • 19. От OpenSOC к Cisco TIP Стек железа (40u): - 14 Hadoop Data Nodes (UCS C240 M3) - 8 Elastic Data Nodes (UCS C220 M3) - 3 Cluster Control Nodes (UCS C220 M3) - 2 ESX Hypervisor Hosts (UCS C220 M3) - 1 PCAP Processor (UCS C220 M3 + Napatech NIC) - 2 SourceFire Threat alert processors - 1 Anue Network Traffic splitter - 1 Router - 1 48 Port 10GE Switch Стек ПО - HDP 2.2 - Kafka 0.8.1 - Elastic Search 1.3.0 - MySQL 5.5 (Hive Meta & GeoData)
  • 20. Контроль доступа дает нам контекст Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие атрибуты Cisco ISE
  • 21. …для последующего реагирования • Задействует EPS (Endpoint Protection Services), известный также как ANC – Adaptive Network Control • Одна из наиболее неизвестных и недоиспользованных возможностей ISE • ISE-сервера могут глобально поместить MAC-адреса узла в restricted zone • Инфицированный узел будет иметь доступ к средствами восстановления, но не сможет повлиять на другие системы в компании • Помещение и исключение из карантина могут быть ручными или автоматическими (по API) Драматически снижает время реагирования на инцидент
  • 22. Отражение атак: BGP RTBH @Cisco • OER – Optimized Edge Routing • Также известен как Performance Routing (PfR): • Немедленно устанавливает null0 route • Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ • Использует iBGP и uRPF • Не требует дополнительной настройки • Настраивает /32 null0 route: 22 route x.x.x.x 255.255.255.255 null0 iBGP peering
  • 23. Cisco Threat Mitigation System (TMS) – собственная разработка Единый инструмент для управления DNS RPZ* и BGP BH** * - Response Policy Zones ** - Black Hole
  • 24. Cisco Threat Mitigation System (TMS)
  • 25. Киберучения с помощью Cisco Cyber Range Identity Services Engine Flow Collector FC SMCStealthWatch Management Internet IXIA Breaking Point Open Source Attack Tools Inside Host NetFlow AVC TrustSec Wireless Security ASA NGFW Cisco Talos Web Security Appliance Email Security Appliance Stealthwatch Sourcefire IPS Splunk Cisco Prime Fire SIGHT Data Analytics N1KV ASAv Virtual Security
  • 26. Типовой состав киберучений в Cisco • Вредоносный код • Спам • Утечка информации • Фишинг • Доступ к ненужным для работы сайтам • Сканирование • Проникновение извне • Подмена устройств • Реализация APT • Кража идентификационных данных • Фальшивые точки беспроводного доступа • Атаки на виртуализированные инфраструктуры, включая и центры обработки данных • Атаки на мобильные устройства • Техники обхода средств защиты • DDoS-атаки • Взаимодействие с C&C- серверами • И другие.
  • 28. Состав мобильного SOC (в части ИБ) • Cisco ASA 5545-X • Cisco NGIPS (FirePOWER 7150) • Cisco Stealthwatch • Cisco S300V Web Security Appliance • Cisco AMP for Content / Network • Cisco Netflow Generation Appliance 3340 • CSIRT PDNS и Cisco Umbrella • Splunk • BGP Black Hole/Quarantine • Функции DLP • Сбор Syslog • Qualys • RedSeal
  • 29. Временные параметры Support business outcomes Enable business change Manage risk in line with business needs Optimize customer experience Show value for moneyContinually improve • Time-to-Detect (TTD) • Time-to-Contain (TTC) • Time-to-Remediate (TTR) • Time-to-Response (TTR) • Time-to-Mitigate (TTM) TTD TTC TTR Первая активность Обнаружение Лечение Восстановление TTM
  • 30. Не бывает «15 минут на реагирование на инцидент» DETECT CONTAIN CLOSE
  • 31. Q1 New Doctor Q2 Background Check Q3 Account Closing Q4 Plan Recruitment Cisco 13% 19% 10% 5% Information Security 1% 8% 6% 1% • Фишинг – это источник #1 компрометации оконечных устройств • Реализуем различные степени сложности каждый квартал • Достаточно всего одного письма, чтобы скомпрометировать сотрудника Измерение эффективности SOC – это высший пилотаж
  • 32. Cisco СSIRT делится опытом в блоге…
  • 33. Инженеры службы Cisco по ИБ поделились своим опытом выстраивания Cisco SOC и процессов реагирования на инциденты в книгах …и пишет книги 33
  • 34. Cisco Threat Awareness Service – бесплатный мониторинг угроз Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз • Оперативное обнаружение вредоносной активности • Идентификация скомпрометированных сетей и подозрительного поведения • Помогает компаниям быстро идентифицировать скомпрометированные системы • Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы • Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
  • 35. Cisco Threat Awareness Service Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений • Изменений конфигурации • Сетевых инструментов • Новых внедрений ПО • Сенсоров в сети заказчика • Дополнительных людских ресурсов Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
  • 36. Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на security- request@cisco.com или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших потребностей и того, как мы можем их удовлетворить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план создания SOC на вашем предприятии Что сделать после конференции?
  • 37. Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/