1. «Лучшие
практики»
построения
и
эксплуатации
SOC
.
SOC-‐Forum
Astana
2017
Прозоров
Андрей,
CISM
Руководитель
экспертного
направления
Мой
блог:
80na20.blogspot.com
Мой
твиттер:
twitter.com/3dwave
2. solarsecurity.ru +7
(499)
755-‐07-‐70
Мы
любим
Википедию
2
Лучшая практика (англ. Best practice) — формализация
уникального успешного практического опыта.
Согласно идее лучшей практики, в любой деятельности
существует оптимальный способ достижения цели, и этот
способ, оказавшийся эффективным в одном месте, может
оказаться столь же эффективным и в другом.
В литературе по менеджменту англ. термин часто
переводится на русский как передовой опыт.
4. solarsecurity.ru +7
(499)
755-‐07-‐70
Почему
обычные
«лучшие
практики»
не
работают
для
SOC?
4
v Слишком много «воды»
v Слишком много процессов и мер ИБ. Что нужно для SOC? С
чего начать?
v Слишком общие (универсальные) положения
v Мало рекомендаций. Что конкретно делать? Что и где
посмотреть дополнительно ? На что обратить внимание?
Какие технические средства нужны? Какими знаниями и
навыкамидолжен обладатьперсонал?
v Кстати, SOC – это уже не про «процессы», а про «сервисы»
5. solarsecurity.ru +7
(499)
755-‐07-‐70
Особенности
SOC
(Security
Operations Center)
5
v Направления
РЕГУЛЯРНОЙ
деятельности:
v Анализ
и
Контроль
защищенности
v Мониторинг
событий
ИБ
v Управление
инцидентами
ИБ
v Администрирование
отдельных
СЗИ
v Threat
Intelligence
/
Threat
Hunting
v Forensic
v Процессы
важнее
технологий.
Сервисы
важнее
процессов.
v Важно
оперативное
взаимодействие
с
ИТ
v Ориентир
на
работу
24x7
7. solarsecurity.ru +7
(499)
755-‐07-‐70
Цикл
OODA
(НОРД),
петля
Бойда
7
• Наблюдение (Observation)
• Ориентация / Оценка
(Orientation)
• Выбор
Решения и
планирование
(Decision)
• Действие (Action)
8. solarsecurity.ru +7
(499)
755-‐07-‐70
Цикл
OODA
(НОРД),
петля
Бойда
8
v Цикл НОРД (англ. OODA, O – observe, O – orient, D – decide, A – act) –
концепция, разработанная Джоном Бойдом в 1995 году для армии
США, также известная как «петля Бойда».
v Модель НОРД предполагает многократное повторение петли
действий: происходит реализация принципа обратной связи. Согласно
Бойду, любые процессы, соответствующие реальности, действуют в
непрерывном цикле, постоянно взаимодействуют с окружающей
средой и учитывают её постоянные изменения.
v Существует два основных способа достижения победы над
противником: сделать свои циклы действий более быстрыми или
улучшить качество принимаемых решений.
9. solarsecurity.ru +7
(499)
755-‐07-‐70
Где
брать
вдохновение для
построения
SOC?
9
v PMBOK
и
PRINCE2
v Большие
гайды по
SOC:
MITRE,
SANS,
HP,
IBM,
Ernst
&
Young
и
пр.
v ITSM:
ITIL
и
COBIT5
v Рекомендации
по
расследованию
инцидентов:
NIST,
CERT,
SANS,
Microsoft,
и
пр.
v Документы
регуляторов
(например.
ГОССОПКА)
v Опыт
коллег
(например,
http://www.soc-‐club.ru)
v Если
вы
MSSP,
то
стоит
посмотреть
стандарты
по
аутсорсингу (OPBOK,
ISO
37500,
NOA)
13. solarsecurity.ru +7
(499)
755-‐07-‐70
Еще
вариант
ролей
для
SOC
13
1
линия 2
линия 3
линия
• Специалист
по
взаимодействию
с
персоналом
и
пользователями
• Специалист
по
обнаружению
компьютерных
атак
и
инцидентов
• Специалист
по
обслуживанию
технических
средств
• Специалист
по
оценке
защищенности
• Специалист
по
ликвидации
последствий
компьютерных
инцидентов
• Специалист
по
установлению
причин
компьютерных
инцидентов
• Аналитик-‐методист
• Технический
эксперт
• Юрист
• Руководитель
14. solarsecurity.ru +7
(499)
755-‐07-‐70
C
чего
начать:
Люди
14
v SOC – это люди! Необходима выделенная команда SOC
v Начинать стоит с 2-‐3 человек 1й линии + 1 аналитик + руководитель. Люди
«с горящими глазами» будут полезнее дорогих специалистов
v Необходимо определить программы подбора персонала, стажировок
(желательно партнерство с ВУЗами), и обучения сотрудников
v Специалистов не хватает. Ваших сотрудников будутактивно перекупать…
v Необходимо
работать
с
мотивацией:
интересные
задачи,
перспективы
роста,
комфортные
условия
и
пр.
15. solarsecurity.ru +7
(499)
755-‐07-‐70
Процессы
SOC. Да,
их
больше,
чем
кажется
15
• Инвентаризация
и
контроль
конфигураций
• Анализ
угроз
/
рисков
• Выявление
уязвимостей
и
контроль
их
устранения
• Тестирование
на
проникновение
• Threat
Hunting
• Контроль
выполнения
требований
(аудит)
• Анализ
кода
приложений
• Управление
событиями
ИБ
• Управление
инцидентами
• Управление
знаниями
• Управление
проблемами
• Управление
изменениями
• Обучение
и
повышение
осведомленности
• Управление
уровнем
услуг
• ...
16. solarsecurity.ru +7
(499)
755-‐07-‐70
C
чего
начать:
Процессы
16
v Набор процессов будет зависеть от целей SOC и порядка
взаимодействия с ИТ
v Первые процессы: управление событиями и
инцидентами. Ориентируемся на ITIL!!!
v Потом формализуем управление изменениями (работа
по заявкам), и управление проблемами
v Сначала надо выстроить процессы, а уже потом их
документировать
v Заранее определите метрики для работы 1й линии
v Часть процессов можно отдать на аутсорсинг
(кратковременный (пока строим свои) или
долговременный)
v Начинать стоит с режима работы 8х5, но задать целью
24х7
17. solarsecurity.ru +7
(499)
755-‐07-‐70
Инструменты
мониторинга
и
защиты
17
v SIEM: HPE ArcSight ESM + рассматриваем альтернативные российские
платформы
v VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit,
v Sandbox: Cuckoo Sandbox, + работать с СЗИ заказчика: FireEye, KATA, FortiSandbox,
TrendMicro
v WAF: F5, Imperva, PTAF, SolidWall
v VPN: ViPNet, S-‐Terra SCP, Континент
v IDS и МСЭ: все основные
v Анти-‐DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention
v Сканер кода: Solar InCode
v Прочее: Skybox Security
18. solarsecurity.ru +7
(499)
755-‐07-‐70
Инструменты
управления
18
v Service Desk: Kayako + можем интегрироваться с BMC Remedy,
HP Service Manager, R-‐Vision
v CMDB: пока Excel под каждого Заказчика
v Визуализация и отчеты: Solar InView
v Threat Intelligence: СУБД в связке с SIEM
v Knowledge base: средствами Kayako
v Виртуализация: Oracle VM VirtualBox и VMWare
19. solarsecurity.ru +7
(499)
755-‐07-‐70
C
чего
начать:
Технологии
19
v Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно
заменить… Все процессы строим вокруг него
v Если покупаем сложное средство мониторинга или
СЗИ, то нужен аналитик. Если опенсорс, то аналитик и
программист…
v Вам точно потребуются средства автоматизации
процессов ITSM: SD и CMDB
v ITSM-‐системы, закупленные ИТ, вам скорее всего не
подойдут, они «заточены» под другие задачи
v Не стоит брать дорогое решение, все равно придется
переделывать…
20. solarsecurity.ru +7
(499)
755-‐07-‐70
Методологии
и
знания
SOC
20
v Правила
корреляции
v Фиды (feeds)
v Инструкции
и
памятки
v Учебные
материалы
и
стенды
21. solarsecurity.ru +7
(499)
755-‐07-‐70
Threat
Intelligence
в
JSOC
21
v Opensource базы
v Репутационные базы вендоров и других
технологических партнеров
v Платные подписки (тратим более 300 000 $ в год):
ЛК, Group-‐IB и другие
v Информация с СЗИ
v Расследование инцидентов
v Собственные исследования в «серой зоне»
v Информационный обмен с регуляторами:
ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ),
bdu.fstec.ru (ФСТЭК России)
v Партнерство с CERT
22. solarsecurity.ru +7
(499)
755-‐07-‐70
C
чего
начать:
Знания
22
v Знания необходимо накапливать… Фиды,
фиды, фиды…
v Правила «из коробки» работают в
«сферической» инфраструктуре
v Длинные цепочки корреляции
низкоэффективны
v Короткие цепочки генерят очень много FP,
необходимо эффективно фильтровать
23. solarsecurity.ru +7
(499)
755-‐07-‐70 23
Как
строить
SOC:
Модели
• Тип
I:
Внутренний
(собственный)
SOC
• Тип
II:
Общий
(ведомственный)
SOC
• Тип
III:
Внешний
SOC
(аутсорсинг)
24. solarsecurity.ru +7
(499)
755-‐07-‐70
Тип
I Тип
II Тип
III
Причинавыбора Наличие
ресурсов
и
желание
все
делать
самостоятельно
Требование «материнской»
компании
/
регулятора
Желание
оптимизировать
ресурсы
/ их
нехватка
Затраты CAPEX + OPEX,
часть
затрат
может
быть
скрытым
OPEX (но
может
быть
бесплатно),
предсказуемые
OPEX,
предсказуемые
Min кол-‐во
персонала
(Заказчик)
Большое
подразделение
(3
линии
SOC)
1
сервис менеджер 1
сервис менеджер
Скоростьзапуска Медленно,
надо
построить
SOC
Быстро,
надо
подключить услуги
Быстро,
надо
подключить услуги
Понимание
контекста
Высокое Среднее Низкое
Режим
работы Обычно
8х5 или
12х5 Обычно
24х7 Обычно
24х7
Доступ к
ИС
и
СЗИ
Внутренний Внешний Внешний
Возможности
по
реагированию
и
гибкость
Полные Расширенные В
рамках SLA
Сравнение
моделей
SOC
24