Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001, profile picture
Uploaded byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
PDF, PPTX17,066 views

пр Лучшие практики SOC

Документ описывает лучшие практики построения и эксплуатации Центров Операций Безопасности (SOC), акцентируя внимание на важности персонала, процессов и технологий. Основные рекомендации включают выбор оптимальных методологий, подготовку команды и внедрение эффективных инструментов мониторинга и управления. Упоминаются циклы OODA и важность управления инцидентами, а также необходимость интеграции с IT-службами для достижения максимальной эффективности.

Embed presentation

Download as PDF, PPTX
«Лучшие  практики»  построения   и  эксплуатации  SOC . SOC-­‐Forum  Astana  2017 Прозоров  Андрей,  CISM Руководитель  экспертного  направления Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Мы  любим  Википедию 2 Лучшая практика (англ. Best practice) — формализация уникального успешного практического опыта. Согласно идее лучшей практики, в любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. В литературе по менеджменту англ. термин часто переводится на русский как передовой опыт.
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Все  ИБшники знают  ISO,  NIST и  SANS 3
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Почему  обычные  «лучшие  практики»   не  работают  для  SOC? 4 v Слишком много «воды» v Слишком много процессов и мер ИБ. Что нужно для SOC? С чего начать? v Слишком общие (универсальные) положения v Мало рекомендаций. Что конкретно делать? Что и где посмотреть дополнительно ? На что обратить внимание? Какие технические средства нужны? Какими знаниями и навыкамидолжен обладатьперсонал? v Кстати, SOC – это уже не про «процессы», а про «сервисы»
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Особенности  SOC   (Security  Operations Center) 5 v Направления  РЕГУЛЯРНОЙ  деятельности:   v Анализ  и  Контроль  защищенности v Мониторинг  событий  ИБ v Управление  инцидентами  ИБ v Администрирование  отдельных  СЗИ v Threat  Intelligence  /  Threat  Hunting v Forensic     v Процессы  важнее  технологий.  Сервисы  важнее  процессов. v Важно  оперативное  взаимодействие  с  ИТ   v Ориентир  на  работу  24x7
solarsecurity.ru +7  (499)  755-­‐07-­‐70 От  PDCA  к OODA 6
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 7 • Наблюдение (Observation) • Ориентация / Оценка   (Orientation) • Выбор  Решения и   планирование  (Decision)   • Действие (Action)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 8 v Цикл НОРД (англ. OODA, O – observe, O – orient, D – decide, A – act) – концепция, разработанная Джоном Бойдом в 1995 году для армии США, также известная как «петля Бойда». v Модель НОРД предполагает многократное повторение петли действий: происходит реализация принципа обратной связи. Согласно Бойду, любые процессы, соответствующие реальности, действуют в непрерывном цикле, постоянно взаимодействуют с окружающей средой и учитывают её постоянные изменения. v Существует два основных способа достижения победы над противником: сделать свои циклы действий более быстрыми или улучшить качество принимаемых решений.
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Где  брать  вдохновение для  построения  SOC? 9 v PMBOK  и  PRINCE2 v Большие  гайды по  SOC:  MITRE,  SANS,   HP,  IBM,  Ernst  &  Young  и  пр. v ITSM:  ITIL  и  COBIT5 v Рекомендации  по  расследованию   инцидентов:  NIST,  CERT,  SANS,   Microsoft,  и  пр. v Документы  регуляторов   (например.  ГОССОПКА) v Опыт  коллег  (например,   http://www.soc-­‐club.ru) v Если  вы  MSSP,  то  стоит  посмотреть   стандарты  по  аутсорсингу (OPBOK,  ISO   37500,  NOA)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 SOC 10 Знания Люди Процессы Технологии
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Группа Мониторинга ИБ Структура  команды  Solar JSOC 11 Руководитель JSOC Группа эксплуатации СЗИ Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) АдминистраторыИБ - эксперты (Москва, 2 человека) Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Группа управления (сервис-менеджеры, 6 человек) Группа расследования (pentest/forensic/reverse - 5 человек)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 1я  линия  Solar  JSOC 12
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Еще  вариант  ролей  для  SOC   13 1  линия 2  линия 3  линия • Специалист  по   взаимодействию  с   персоналом  и   пользователями   • Специалист  по   обнаружению   компьютерных  атак  и   инцидентов   • Специалист  по   обслуживанию   технических  средств • Специалист  по  оценке   защищенности   • Специалист  по   ликвидации  последствий   компьютерных   инцидентов   • Специалист  по   установлению  причин   компьютерных   инцидентов   • Аналитик-­‐методист   • Технический  эксперт   • Юрист • Руководитель
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Люди 14 v SOC – это люди! Необходима выделенная команда SOC v Начинать стоит с 2-­‐3 человек 1й линии + 1 аналитик + руководитель. Люди «с горящими глазами» будут полезнее дорогих специалистов v Необходимо определить программы подбора персонала, стажировок (желательно партнерство с ВУЗами), и обучения сотрудников v Специалистов не хватает. Ваших сотрудников будутактивно перекупать… v Необходимо  работать  с  мотивацией:   интересные  задачи,  перспективы  роста,   комфортные  условия  и  пр.  
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Процессы  SOC. Да,  их  больше,  чем  кажется 15 • Инвентаризация  и  контроль  конфигураций • Анализ  угроз  /  рисков • Выявление  уязвимостей  и  контроль  их  устранения • Тестирование  на  проникновение   • Threat  Hunting • Контроль  выполнения  требований  (аудит) • Анализ  кода  приложений • Управление  событиями  ИБ • Управление  инцидентами • Управление  знаниями • Управление  проблемами • Управление  изменениями • Обучение  и  повышение  осведомленности • Управление  уровнем  услуг • ...
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Процессы 16 v Набор процессов будет зависеть от целей SOC и порядка взаимодействия с ИТ v Первые процессы: управление событиями и инцидентами. Ориентируемся на ITIL!!! v Потом формализуем управление изменениями (работа по заявкам), и управление проблемами v Сначала надо выстроить процессы, а уже потом их документировать v Заранее определите метрики для работы 1й линии v Часть процессов можно отдать на аутсорсинг (кратковременный (пока строим свои) или долговременный) v Начинать стоит с режима работы 8х5, но задать целью 24х7
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  мониторинга  и  защиты 17 v SIEM: HPE ArcSight ESM + рассматриваем альтернативные российские платформы v VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit, v Sandbox: Cuckoo Sandbox, + работать с СЗИ заказчика: FireEye, KATA, FortiSandbox, TrendMicro v WAF: F5, Imperva, PTAF, SolidWall v VPN: ViPNet, S-­‐Terra SCP, Континент v IDS и МСЭ: все основные v Анти-­‐DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention v Сканер кода: Solar InCode v Прочее: Skybox Security
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  управления 18 v Service Desk: Kayako + можем интегрироваться с BMC Remedy, HP Service Manager, R-­‐Vision v CMDB: пока Excel под каждого Заказчика v Визуализация и отчеты: Solar InView v Threat Intelligence: СУБД в связке с SIEM v Knowledge base: средствами Kayako v Виртуализация: Oracle VM VirtualBox и VMWare
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Технологии 19 v Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно заменить… Все процессы строим вокруг него v Если покупаем сложное средство мониторинга или СЗИ, то нужен аналитик. Если опенсорс, то аналитик и программист… v Вам точно потребуются средства автоматизации процессов ITSM: SD и CMDB v ITSM-­‐системы, закупленные ИТ, вам скорее всего не подойдут, они «заточены» под другие задачи v Не стоит брать дорогое решение, все равно придется переделывать…
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Методологии  и  знания  SOC 20 v Правила  корреляции   v Фиды (feeds)   v Инструкции  и  памятки v Учебные  материалы  и  стенды
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Threat  Intelligence  в  JSOC 21 v Opensource базы v Репутационные базы вендоров и других технологических партнеров v Платные подписки (тратим более 300 000 $ в год): ЛК, Group-­‐IB и другие v Информация с СЗИ v Расследование инцидентов v Собственные исследования в «серой зоне» v Информационный обмен с регуляторами: ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ), bdu.fstec.ru (ФСТЭК России) v Партнерство с CERT
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Знания 22 v Знания необходимо накапливать… Фиды, фиды, фиды… v Правила «из коробки» работают в «сферической» инфраструктуре v Длинные цепочки корреляции низкоэффективны v Короткие цепочки генерят очень много FP, необходимо эффективно фильтровать
solarsecurity.ru +7  (499)  755-­‐07-­‐70 23 Как  строить  SOC:  Модели • Тип  I:  Внутренний   (собственный)  SOC • Тип  II:  Общий   (ведомственный)  SOC • Тип  III:  Внешний  SOC   (аутсорсинг)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Тип  I Тип  II Тип  III Причинавыбора Наличие  ресурсов  и   желание  все  делать   самостоятельно Требование «материнской»   компании  /  регулятора Желание  оптимизировать   ресурсы  / их  нехватка Затраты CAPEX + OPEX,  часть  затрат   может  быть  скрытым OPEX (но  может  быть   бесплатно),   предсказуемые OPEX,  предсказуемые Min кол-­‐во   персонала (Заказчик) Большое  подразделение   (3  линии  SOC) 1  сервис менеджер 1  сервис менеджер Скоростьзапуска Медленно, надо  построить  SOC Быстро,  надо   подключить услуги Быстро,  надо   подключить услуги Понимание контекста Высокое Среднее Низкое Режим  работы Обычно  8х5 или  12х5 Обычно  24х7 Обычно  24х7 Доступ к   ИС  и  СЗИ Внутренний Внешний Внешний Возможности  по   реагированию  и   гибкость Полные Расширенные В  рамках SLA Сравнение  моделей  SOC 24
Спасибо  за  внимание! Прозоров  Андрей,  CISM Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave Моя  почта:  a.prozorov@solarsecurity.ru

More Related Content

PDF
пр 5 почему аутсорсинга ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Security as a Service = JSOC
bySolar Security
 
PDF
пр Про развитие в ИБ для студентов
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Куда идет ИБ в России? (региональные аспекты)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Сколько зарабатывают специалисты по ИБ в России 2017
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр 03.JSOC inside
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр После внедрения Dlp (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Модель угроз биометрии
byAleksey Lukatskiy
 
пр 5 почему аутсорсинга ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
bySolar Security
 
пр Про развитие в ИБ для студентов
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр После внедрения Dlp (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз биометрии
byAleksey Lukatskiy
 

What's hot

PDF
пр Про SOC: Зачем это надо и когда начать думать про строительство
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
SOC vs SIEM
byAleksey Lukatskiy
 
PDF
пр Управление инцидентами ИБ (Dozor)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
3.про soc от из
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Что ожидают работодатели от молодых специалистов
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
bySolar Security
 
PDF
пр Спроси эксперта DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
5.про soc от jet
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
2.про soc от solar security
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
пр Что такое новый Dozor
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Концепция активной обороны
byAleksey Lukatskiy
 
PPTX
Вебинар Спроси эксперта про IdM
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Актуальность аутсорсинга ИБ в России 2015 12-10
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Процедура управление инцидентами иб (Small)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
byRISClubSPb
 
PPTX
Сколько зарабатывают специалисты по информационной безопасности в России
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Лицензия ТЗКИ на мониторинг Small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC vs SIEM
byAleksey Lukatskiy
 
пр Управление инцидентами ИБ (Dozor)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3.про soc от из
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
bySolar Security
 
пр Спроси эксперта DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
2.про soc от solar security
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Концепция активной обороны
byAleksey Lukatskiy
 
Вебинар Спроси эксперта про IdM
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Процедура управление инцидентами иб (Small)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
byRISClubSPb
 
Сколько зарабатывают специалисты по информационной безопасности в России
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Similar to пр Лучшие практики SOC

PDF
Мониторинг своими руками
bySergey Soldatov
 
PPTX
SOC в большой корпоративной сети. Challenge accepted
byPositive Hack Days
 
PDF
пр про SOC для ФСТЭК
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Itil за 1,5 часа для менеджера проекта
byAlexey Frolov
 
PPT
Issp автоматизация операционного центра безопасности банка
byNick Turunov
 
PDF
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
byExpolink
 
PDF
От SIEM к SOC дорогу осилит смотрящий
byjet_information_security
 
PDF
Устройство и Сервисы JSOC
bySolar Security
 
PDF
пр 02.Устройство и Сервисы JSOC
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
bySolar Security
 
PDF
JSOC мы строили-строили и построили
byjet_information_security
 
PPTX
Security as a Service = JSOC
bySolar Security
 
PDF
Опыт построения и эксплуатации коммерческого SOC
bySolar Security
 
PDF
Building SOC for business: desires and reality
byA1 Belarus
 
PDF
Внедрение IDM
byАльбина Минуллина
 
PDF
Эффективные и проблемные SOC-процессы
byPositive Hack Days
 
PDF
пр Актуальный ландшафт угроз ИБ 2015 08
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Управление ИТ в распределенных компаниях в 2011 году
byNAUMEN. Информационные системы управления растущим бизнесом
 
PDF
24_glebov
byOleg Glebov
 
Мониторинг своими руками
bySergey Soldatov
 
SOC в большой корпоративной сети. Challenge accepted
byPositive Hack Days
 
пр про SOC для ФСТЭК
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Itil за 1,5 часа для менеджера проекта
byAlexey Frolov
 
Issp автоматизация операционного центра безопасности банка
byNick Turunov
 
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
byExpolink
 
От SIEM к SOC дорогу осилит смотрящий
byjet_information_security
 
Устройство и Сервисы JSOC
bySolar Security
 
пр 02.Устройство и Сервисы JSOC
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
bySolar Security
 
JSOC мы строили-строили и построили
byjet_information_security
 
Security as a Service = JSOC
bySolar Security
 
Опыт построения и эксплуатации коммерческого SOC
bySolar Security
 
Building SOC for business: desires and reality
byA1 Belarus
 
Внедрение IDM
byАльбина Минуллина
 
Эффективные и проблемные SOC-процессы
byPositive Hack Days
 
пр Актуальный ландшафт угроз ИБ 2015 08
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление ИТ в распределенных компаниях в 2011 году
byNAUMEN. Информационные системы управления растущим бизнесом
 
24_glebov
byOleg Glebov
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

PDF
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

пр Лучшие практики SOC

  • 1.
    «Лучшие  практики»  построения   и  эксплуатации  SOC . SOC-­‐Forum  Astana  2017 Прозоров  Андрей,  CISM Руководитель  экспертного  направления Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave
  • 2.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Мы  любим  Википедию 2 Лучшая практика (англ. Best practice) — формализация уникального успешного практического опыта. Согласно идее лучшей практики, в любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. В литературе по менеджменту англ. термин часто переводится на русский как передовой опыт.
  • 3.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Все  ИБшники знают  ISO,  NIST и  SANS 3
  • 4.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Почему  обычные  «лучшие  практики»   не  работают  для  SOC? 4 v Слишком много «воды» v Слишком много процессов и мер ИБ. Что нужно для SOC? С чего начать? v Слишком общие (универсальные) положения v Мало рекомендаций. Что конкретно делать? Что и где посмотреть дополнительно ? На что обратить внимание? Какие технические средства нужны? Какими знаниями и навыкамидолжен обладатьперсонал? v Кстати, SOC – это уже не про «процессы», а про «сервисы»
  • 5.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Особенности  SOC   (Security  Operations Center) 5 v Направления  РЕГУЛЯРНОЙ  деятельности:   v Анализ  и  Контроль  защищенности v Мониторинг  событий  ИБ v Управление  инцидентами  ИБ v Администрирование  отдельных  СЗИ v Threat  Intelligence  /  Threat  Hunting v Forensic     v Процессы  важнее  технологий.  Сервисы  важнее  процессов. v Важно  оперативное  взаимодействие  с  ИТ   v Ориентир  на  работу  24x7
  • 6.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 От  PDCA  к OODA 6
  • 7.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 7 • Наблюдение (Observation) • Ориентация / Оценка   (Orientation) • Выбор  Решения и   планирование  (Decision)   • Действие (Action)
  • 8.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 8 v Цикл НОРД (англ. OODA, O – observe, O – orient, D – decide, A – act) – концепция, разработанная Джоном Бойдом в 1995 году для армии США, также известная как «петля Бойда». v Модель НОРД предполагает многократное повторение петли действий: происходит реализация принципа обратной связи. Согласно Бойду, любые процессы, соответствующие реальности, действуют в непрерывном цикле, постоянно взаимодействуют с окружающей средой и учитывают её постоянные изменения. v Существует два основных способа достижения победы над противником: сделать свои циклы действий более быстрыми или улучшить качество принимаемых решений.
  • 9.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Где  брать  вдохновение для  построения  SOC? 9 v PMBOK  и  PRINCE2 v Большие  гайды по  SOC:  MITRE,  SANS,   HP,  IBM,  Ernst  &  Young  и  пр. v ITSM:  ITIL  и  COBIT5 v Рекомендации  по  расследованию   инцидентов:  NIST,  CERT,  SANS,   Microsoft,  и  пр. v Документы  регуляторов   (например.  ГОССОПКА) v Опыт  коллег  (например,   http://www.soc-­‐club.ru) v Если  вы  MSSP,  то  стоит  посмотреть   стандарты  по  аутсорсингу (OPBOK,  ISO   37500,  NOA)
  • 10.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 SOC 10 Знания Люди Процессы Технологии
  • 11.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Группа Мониторинга ИБ Структура  команды  Solar JSOC 11 Руководитель JSOC Группа эксплуатации СЗИ Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) АдминистраторыИБ - эксперты (Москва, 2 человека) Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Группа управления (сервис-менеджеры, 6 человек) Группа расследования (pentest/forensic/reverse - 5 человек)
  • 12.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 1я  линия  Solar  JSOC 12
  • 13.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Еще  вариант  ролей  для  SOC   13 1  линия 2  линия 3  линия • Специалист  по   взаимодействию  с   персоналом  и   пользователями   • Специалист  по   обнаружению   компьютерных  атак  и   инцидентов   • Специалист  по   обслуживанию   технических  средств • Специалист  по  оценке   защищенности   • Специалист  по   ликвидации  последствий   компьютерных   инцидентов   • Специалист  по   установлению  причин   компьютерных   инцидентов   • Аналитик-­‐методист   • Технический  эксперт   • Юрист • Руководитель
  • 14.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Люди 14 v SOC – это люди! Необходима выделенная команда SOC v Начинать стоит с 2-­‐3 человек 1й линии + 1 аналитик + руководитель. Люди «с горящими глазами» будут полезнее дорогих специалистов v Необходимо определить программы подбора персонала, стажировок (желательно партнерство с ВУЗами), и обучения сотрудников v Специалистов не хватает. Ваших сотрудников будутактивно перекупать… v Необходимо  работать  с  мотивацией:   интересные  задачи,  перспективы  роста,   комфортные  условия  и  пр.  
  • 15.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Процессы  SOC. Да,  их  больше,  чем  кажется 15 • Инвентаризация  и  контроль  конфигураций • Анализ  угроз  /  рисков • Выявление  уязвимостей  и  контроль  их  устранения • Тестирование  на  проникновение   • Threat  Hunting • Контроль  выполнения  требований  (аудит) • Анализ  кода  приложений • Управление  событиями  ИБ • Управление  инцидентами • Управление  знаниями • Управление  проблемами • Управление  изменениями • Обучение  и  повышение  осведомленности • Управление  уровнем  услуг • ...
  • 16.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Процессы 16 v Набор процессов будет зависеть от целей SOC и порядка взаимодействия с ИТ v Первые процессы: управление событиями и инцидентами. Ориентируемся на ITIL!!! v Потом формализуем управление изменениями (работа по заявкам), и управление проблемами v Сначала надо выстроить процессы, а уже потом их документировать v Заранее определите метрики для работы 1й линии v Часть процессов можно отдать на аутсорсинг (кратковременный (пока строим свои) или долговременный) v Начинать стоит с режима работы 8х5, но задать целью 24х7
  • 17.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  мониторинга  и  защиты 17 v SIEM: HPE ArcSight ESM + рассматриваем альтернативные российские платформы v VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit, v Sandbox: Cuckoo Sandbox, + работать с СЗИ заказчика: FireEye, KATA, FortiSandbox, TrendMicro v WAF: F5, Imperva, PTAF, SolidWall v VPN: ViPNet, S-­‐Terra SCP, Континент v IDS и МСЭ: все основные v Анти-­‐DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention v Сканер кода: Solar InCode v Прочее: Skybox Security
  • 18.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  управления 18 v Service Desk: Kayako + можем интегрироваться с BMC Remedy, HP Service Manager, R-­‐Vision v CMDB: пока Excel под каждого Заказчика v Визуализация и отчеты: Solar InView v Threat Intelligence: СУБД в связке с SIEM v Knowledge base: средствами Kayako v Виртуализация: Oracle VM VirtualBox и VMWare
  • 19.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Технологии 19 v Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно заменить… Все процессы строим вокруг него v Если покупаем сложное средство мониторинга или СЗИ, то нужен аналитик. Если опенсорс, то аналитик и программист… v Вам точно потребуются средства автоматизации процессов ITSM: SD и CMDB v ITSM-­‐системы, закупленные ИТ, вам скорее всего не подойдут, они «заточены» под другие задачи v Не стоит брать дорогое решение, все равно придется переделывать…
  • 20.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Методологии  и  знания  SOC 20 v Правила  корреляции   v Фиды (feeds)   v Инструкции  и  памятки v Учебные  материалы  и  стенды
  • 21.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Threat  Intelligence  в  JSOC 21 v Opensource базы v Репутационные базы вендоров и других технологических партнеров v Платные подписки (тратим более 300 000 $ в год): ЛК, Group-­‐IB и другие v Информация с СЗИ v Расследование инцидентов v Собственные исследования в «серой зоне» v Информационный обмен с регуляторами: ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ), bdu.fstec.ru (ФСТЭК России) v Партнерство с CERT
  • 22.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Знания 22 v Знания необходимо накапливать… Фиды, фиды, фиды… v Правила «из коробки» работают в «сферической» инфраструктуре v Длинные цепочки корреляции низкоэффективны v Короткие цепочки генерят очень много FP, необходимо эффективно фильтровать
  • 23.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 23 Как  строить  SOC:  Модели • Тип  I:  Внутренний   (собственный)  SOC • Тип  II:  Общий   (ведомственный)  SOC • Тип  III:  Внешний  SOC   (аутсорсинг)
  • 24.
    solarsecurity.ru +7  (499)  755-­‐07-­‐70 Тип  I Тип  II Тип  III Причинавыбора Наличие  ресурсов  и   желание  все  делать   самостоятельно Требование «материнской»   компании  /  регулятора Желание  оптимизировать   ресурсы  / их  нехватка Затраты CAPEX + OPEX,  часть  затрат   может  быть  скрытым OPEX (но  может  быть   бесплатно),   предсказуемые OPEX,  предсказуемые Min кол-­‐во   персонала (Заказчик) Большое  подразделение   (3  линии  SOC) 1  сервис менеджер 1  сервис менеджер Скоростьзапуска Медленно, надо  построить  SOC Быстро,  надо   подключить услуги Быстро,  надо   подключить услуги Понимание контекста Высокое Среднее Низкое Режим  работы Обычно  8х5 или  12х5 Обычно  24х7 Обычно  24х7 Доступ к   ИС  и  СЗИ Внутренний Внешний Внешний Возможности  по   реагированию  и   гибкость Полные Расширенные В  рамках SLA Сравнение  моделей  SOC 24
  • 25.
    Спасибо  за  внимание! Прозоров  Андрей,  CISM Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave Моя  почта:  a.prozorov@solarsecurity.ru