Документ обсуждает распространенные мифы о центр безопасности операций (SOC), подчеркивая различия между реальными функциями SOC и их распространенными представлениями. Он акцентирует внимание на важности квалифицированных специалистов, процессов и технологий, а также на том, что SOC не ограничивается только мониторингом, но включает реагирование на инциденты и управление ими. В заключение говорится о различиях между аутсорсированными и внутренними SOC, включая их стоимость и требования к ресурсам.

1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
«Сочные» мифы
Заблуждения, связанные с SOC
Алексей Лукацкий
Бизнес-консультант по безопасности
27 мая 2016 года

2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
SOC Tour в США

3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Реклама SOC в США

4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Такое бывает только на картинках

5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Это не так красиво, как на постановочных кадрах
• Если SOC решает функции управления, реагирования и администрирования, то это
Фото не для публичного показа

6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Повседневная работа отличается от картинок

7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Красиво и эффективно?

8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Динамические карты атак. А зачем?

9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Все SOC одинаковы
Фото не для публичного показа

10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Все SOC одинаковы
Фото не для публичного показа

11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Размер имеет значение
Visa's Operations Center East

12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
SOC должен быть физическим
• В SOC важно не физическое местоположение, а люди и выстроенные процессы

13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Threat
Intelligence
Feeds
Обогащенные
данные
SOC – это SIEM
Full packet capture
Protocol metadata
NetFlow
Machine exhaust (logs)
Неструктурированная
телеметрия
Другая потоковая
телеметрия
Parse
+
Form
at
Enri
ch
Alert
Log Mining and
Analytics
Big Data
Exploration,
Predictive
Modelling
Network
Packet Mining
and PCAP
Reconstruction
Приложения + аналитика

14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Люди Данные
Технологии
SOC – это технологическое решение / система
Аналитика

15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Не все SOC одинаково полезны
Известные угрозы
Разнообразие
Зрелость
80% решений
Deterministic
Rules-­Based
Analytics (DRB)
Statistical
Rules-­Based
Analytics (SRB)
Data Science-­Centric
Analytics (DSC)
Тюнинг
Контекст
Полиморфизм
Big Data
Обнаружение аномалий
Прогнозирование
Ложные
срабатывания
Одномерность
Хранение
Озера данных
Общая модель данных
Классификация событий
Профили поведения
Ориентация на
конкретные задачи
Привязан к заказчику

16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Учет цепочки реализации атаки (Kill Chain)
Recon Weaponize Deliver Exploit Install C&C Action
DGA Model
TyposquattingModel
SRBDRB DSC-U
Scan Analysis
Static Malware Family Classifier
Dynamic Malware Family Model
Attribution Model Alerts ClusteringAsset Categorization
Dossier Creation
User Behavioral Model
Asset Behavioral Model
Protocol Anomaly Detection
Burst Detection
DSC-S
Horizontal Movement AnomalyDetection
FrequencyDomain
Hash Signature Rules
IP Blacklist Rules
Trend Forecasting
Session AnomalyDetection
User Categorization Forensic Rules
Compliance Rules
User Sentiment Model
Social Media Mining
ExfiltrationPolicy
HTTP Attack Rules
ASN Belief Networks Computer Vision– Binary/GUI
SPAM Classifier
Javascript Clustering
FastFlux DetectorSocial Network Scraper

17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Внешний SOC позволяет реагировать на инциденты ИБ
Модель CAPEX Модель OPEX
Владение средствами защиты Заказчик Провайдер SOC
Владение средствами мониторинга Провайдер SOC Провайдер SOC
Лицо, принимающее решение по инцидентам Заказчик Провайдер SOC
Владение средствами контроля состояния и
поддержки средств защиты
Заказчик Провайдер SOC
Управление жизненным циклом средств защиты
(например, замена, регламентные работы)
Заказчик Провайдер SOC
• SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не
реагированием на них
Это неверная трактовка,но именно в этом случае миф является правдой
• В полноценном SOC помимо функции мониторинга возможна реализации и других функций
ИБ и администрирования

18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
SOC может бороться с инцидентами
• У вас определено понятие «инцидента
ИБ»?
• Что для вас норма, а что нет? Как вы
проводите границу?
• Знаете ли вы кто, куда, когда, зачем и
как имеют доступ в вашей сети?

19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
SOC борется с уже произошедшими событиями
• «Hunting Team», которые ищут индикаторы
компрометации и предварительные следы
несанкционированнойактивности
• Red/Blue Team проводят реальные попытки
взлома организации до того, как это сделают
злоумышленники
• Учет цепочки реализации атаки

20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
В SOC работают квалифицированные специалисты
• Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных
аналитиков?
• Уровень квалификации зависит от линии поддержки

21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Cisco SOC
РАЗВЕДКА &
ИССЛЕДОВАНИЯ
АНАЛИТИКА
26
ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ
network logs system logs
user
attribution
analysis tools case tools
deep packet
analysis
collaboration
tools
intel feeds
РАССЛЕДОВАНИЯ
4
APT
1422

22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
NATO NCIRC
Данные не для публичного показа

23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Все SOCи имеют документированные процедуры
• Ad-Hoc: Процессы типично недокументированы и
неконтролируемы. Реализация минимума по мере
необходимости
• Повторяемый, но недисциплинированный: Процессы
повторяются с более предсказуемыми результатами
• Контролируемый: операции четко определены и
документированы и регулярно подвергаются пересмотру и
совершенствованию
• Оптимизированный: Активности стандартизованы и вводя
показатели деятельности для оценки эффективности
• Адаптивный: основное внимание уделяется постоянному
совершенствованию процессов

24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
SOC может вариться в собственном соку
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Правила корреляции – это нетрудно
• Кто должен создавать правила корреляции
– поставщик услуг или заказчик?
• Надо ли иметь опыт проведения пентестов
и атак для создания адекватных правил?

26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Надо собирать все данные для анализа

27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Можно нормализовать все данные и снизить объем
хранилища
Image: http://www.pn-­design.co.uk/design_blogs/images/resolution-­as-­mosaic.jpg
• Детальные данные могут понадобиться при проведении расследований и передаче дела в
следственные органы
• Детальные данные потребуют больших системных ресурсов для хранения, индексации,
поиска и формирования отчетов

28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Аутсорсинговый SOC дороже
• При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на
первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к
операционным
Требования Ожидаемые
ежегодные затраты
Ежегодные затраты
на внешний SOC
Персонал SOC – 11 человек
• 3 смены аналитиков ИБ для мониторинга 24x7
• Также требуется: Менеджер SOC, системные администраторы и аналитики
инцидентов
$1,100,000 Включено
Оборудование*, лицензии на ПО*, поддержка, инфраструктура SOC $960,000 Включено
Подписка на Threat Intelligence $200,000 Включено
Real Time Analytics Engine (базируется на Hadoop 2.0) – машинное обучение, анализ
графов, обнаружение аномалий
$1M+ Включено
Разработка Workflow, процессы и методология автоматизации ? Включено
ВСЕГО $3M+ $2,000,000

29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Пишите на security-­request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-­Russia-­3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Благодарю
за внимание