SlideShare a Scribd company logo

пр Лучшие практики SOC

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Моя презентация с конференции SOC Forum Astana

Technology
1 of 25
Download to read offline
«Лучшие  практики»  построения   и  эксплуатации  SOC . SOC-­‐Forum  Astana  2017 Прозоров  Андрей,  CISM Руководитель  экспертного  направления Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Мы  любим  Википедию 2 Лучшая практика (англ. Best practice) — формализация уникального успешного практического опыта. Согласно идее лучшей практики, в любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. В литературе по менеджменту англ. термин часто переводится на русский как передовой опыт.
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Все  ИБшники знают  ISO,  NIST и  SANS 3
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Почему  обычные  «лучшие  практики»   не  работают  для  SOC? 4 v Слишком много «воды» v Слишком много процессов и мер ИБ. Что нужно для SOC? С чего начать? v Слишком общие (универсальные) положения v Мало рекомендаций. Что конкретно делать? Что и где посмотреть дополнительно ? На что обратить внимание? Какие технические средства нужны? Какими знаниями и навыкамидолжен обладатьперсонал? v Кстати, SOC – это уже не про «процессы», а про «сервисы»
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Особенности  SOC   (Security  Operations Center) 5 v Направления  РЕГУЛЯРНОЙ  деятельности:   v Анализ  и  Контроль  защищенности v Мониторинг  событий  ИБ v Управление  инцидентами  ИБ v Администрирование  отдельных  СЗИ v Threat  Intelligence  /  Threat  Hunting v Forensic     v Процессы  важнее  технологий.  Сервисы  важнее  процессов. v Важно  оперативное  взаимодействие  с  ИТ   v Ориентир  на  работу  24x7
solarsecurity.ru +7  (499)  755-­‐07-­‐70 От  PDCA  к OODA 6
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 7 • Наблюдение (Observation) • Ориентация / Оценка   (Orientation) • Выбор  Решения и   планирование  (Decision)   • Действие (Action)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 8 v Цикл НОРД (англ. OODA, O – observe, O – orient, D – decide, A – act) – концепция, разработанная Джоном Бойдом в 1995 году для армии США, также известная как «петля Бойда». v Модель НОРД предполагает многократное повторение петли действий: происходит реализация принципа обратной связи. Согласно Бойду, любые процессы, соответствующие реальности, действуют в непрерывном цикле, постоянно взаимодействуют с окружающей средой и учитывают её постоянные изменения. v Существует два основных способа достижения победы над противником: сделать свои циклы действий более быстрыми или улучшить качество принимаемых решений.
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Где  брать  вдохновение для  построения  SOC? 9 v PMBOK  и  PRINCE2 v Большие  гайды по  SOC:  MITRE,  SANS,   HP,  IBM,  Ernst  &  Young  и  пр. v ITSM:  ITIL  и  COBIT5 v Рекомендации  по  расследованию   инцидентов:  NIST,  CERT,  SANS,   Microsoft,  и  пр. v Документы  регуляторов   (например.  ГОССОПКА) v Опыт  коллег  (например,   http://www.soc-­‐club.ru) v Если  вы  MSSP,  то  стоит  посмотреть   стандарты  по  аутсорсингу (OPBOK,  ISO   37500,  NOA)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 SOC 10 Знания Люди Процессы Технологии
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Группа Мониторинга ИБ Структура  команды  Solar JSOC 11 Руководитель JSOC Группа эксплуатации СЗИ Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) АдминистраторыИБ - эксперты (Москва, 2 человека) Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Группа управления (сервис-менеджеры, 6 человек) Группа расследования (pentest/forensic/reverse - 5 человек)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 1я  линия  Solar  JSOC 12
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Еще  вариант  ролей  для  SOC   13 1  линия 2  линия 3  линия • Специалист  по   взаимодействию  с   персоналом  и   пользователями   • Специалист  по   обнаружению   компьютерных  атак  и   инцидентов   • Специалист  по   обслуживанию   технических  средств • Специалист  по  оценке   защищенности   • Специалист  по   ликвидации  последствий   компьютерных   инцидентов   • Специалист  по   установлению  причин   компьютерных   инцидентов   • Аналитик-­‐методист   • Технический  эксперт   • Юрист • Руководитель
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Люди 14 v SOC – это люди! Необходима выделенная команда SOC v Начинать стоит с 2-­‐3 человек 1й линии + 1 аналитик + руководитель. Люди «с горящими глазами» будут полезнее дорогих специалистов v Необходимо определить программы подбора персонала, стажировок (желательно партнерство с ВУЗами), и обучения сотрудников v Специалистов не хватает. Ваших сотрудников будутактивно перекупать… v Необходимо  работать  с  мотивацией:   интересные  задачи,  перспективы  роста,   комфортные  условия  и  пр.  
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Процессы  SOC. Да,  их  больше,  чем  кажется 15 • Инвентаризация  и  контроль  конфигураций • Анализ  угроз  /  рисков • Выявление  уязвимостей  и  контроль  их  устранения • Тестирование  на  проникновение   • Threat  Hunting • Контроль  выполнения  требований  (аудит) • Анализ  кода  приложений • Управление  событиями  ИБ • Управление  инцидентами • Управление  знаниями • Управление  проблемами • Управление  изменениями • Обучение  и  повышение  осведомленности • Управление  уровнем  услуг • ...
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Процессы 16 v Набор процессов будет зависеть от целей SOC и порядка взаимодействия с ИТ v Первые процессы: управление событиями и инцидентами. Ориентируемся на ITIL!!! v Потом формализуем управление изменениями (работа по заявкам), и управление проблемами v Сначала надо выстроить процессы, а уже потом их документировать v Заранее определите метрики для работы 1й линии v Часть процессов можно отдать на аутсорсинг (кратковременный (пока строим свои) или долговременный) v Начинать стоит с режима работы 8х5, но задать целью 24х7
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  мониторинга  и  защиты 17 v SIEM: HPE ArcSight ESM + рассматриваем альтернативные российские платформы v VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit, v Sandbox: Cuckoo Sandbox, + работать с СЗИ заказчика: FireEye, KATA, FortiSandbox, TrendMicro v WAF: F5, Imperva, PTAF, SolidWall v VPN: ViPNet, S-­‐Terra SCP, Континент v IDS и МСЭ: все основные v Анти-­‐DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention v Сканер кода: Solar InCode v Прочее: Skybox Security
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  управления 18 v Service Desk: Kayako + можем интегрироваться с BMC Remedy, HP Service Manager, R-­‐Vision v CMDB: пока Excel под каждого Заказчика v Визуализация и отчеты: Solar InView v Threat Intelligence: СУБД в связке с SIEM v Knowledge base: средствами Kayako v Виртуализация: Oracle VM VirtualBox и VMWare
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Технологии 19 v Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно заменить… Все процессы строим вокруг него v Если покупаем сложное средство мониторинга или СЗИ, то нужен аналитик. Если опенсорс, то аналитик и программист… v Вам точно потребуются средства автоматизации процессов ITSM: SD и CMDB v ITSM-­‐системы, закупленные ИТ, вам скорее всего не подойдут, они «заточены» под другие задачи v Не стоит брать дорогое решение, все равно придется переделывать…
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Методологии  и  знания  SOC 20 v Правила  корреляции   v Фиды (feeds)   v Инструкции  и  памятки v Учебные  материалы  и  стенды
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Threat  Intelligence  в  JSOC 21 v Opensource базы v Репутационные базы вендоров и других технологических партнеров v Платные подписки (тратим более 300 000 $ в год): ЛК, Group-­‐IB и другие v Информация с СЗИ v Расследование инцидентов v Собственные исследования в «серой зоне» v Информационный обмен с регуляторами: ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ), bdu.fstec.ru (ФСТЭК России) v Партнерство с CERT
solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Знания 22 v Знания необходимо накапливать… Фиды, фиды, фиды… v Правила «из коробки» работают в «сферической» инфраструктуре v Длинные цепочки корреляции низкоэффективны v Короткие цепочки генерят очень много FP, необходимо эффективно фильтровать
solarsecurity.ru +7  (499)  755-­‐07-­‐70 23 Как  строить  SOC:  Модели • Тип  I:  Внутренний   (собственный)  SOC • Тип  II:  Общий   (ведомственный)  SOC • Тип  III:  Внешний  SOC   (аутсорсинг)
solarsecurity.ru +7  (499)  755-­‐07-­‐70 Тип  I Тип  II Тип  III Причинавыбора Наличие  ресурсов  и   желание  все  делать   самостоятельно Требование «материнской»   компании  /  регулятора Желание  оптимизировать   ресурсы  / их  нехватка Затраты CAPEX + OPEX,  часть  затрат   может  быть  скрытым OPEX (но  может  быть   бесплатно),   предсказуемые OPEX,  предсказуемые Min кол-­‐во   персонала (Заказчик) Большое  подразделение   (3  линии  SOC) 1  сервис менеджер 1  сервис менеджер Скоростьзапуска Медленно, надо  построить  SOC Быстро,  надо   подключить услуги Быстро,  надо   подключить услуги Понимание контекста Высокое Среднее Низкое Режим  работы Обычно  8х5 или  12х5 Обычно  24х7 Обычно  24х7 Доступ к   ИС  и  СЗИ Внутренний Внешний Внешний Возможности  по   реагированию  и   гибкость Полные Расширенные В  рамках SLA Сравнение  моделей  SOC 24
Спасибо  за  внимание! Прозоров  Андрей,  CISM Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave Моя  почта:  a.prozorov@solarsecurity.ru

Recommended

пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 

Recommended

пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...RISClubSPb
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг SmallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Expolink
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 

More Related Content

What's hot

пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...RISClubSPb
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (18)

пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 

Similar to пр Лучшие практики SOC

Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Expolink
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБSolar Security
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...
10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...
10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...SkillFactory
 
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Expolink
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Solar Security
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 

Similar to пр Лучшие практики SOC (20)

Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...
10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...
10 заповедей IT-карьериста: от простого специалиста до высокооплачиваемого эк...
 
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Лучшие практики SOC

  • 1. «Лучшие  практики»  построения   и  эксплуатации  SOC . SOC-­‐Forum  Astana  2017 Прозоров  Андрей,  CISM Руководитель  экспертного  направления Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave
  • 2. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Мы  любим  Википедию 2 Лучшая практика (англ. Best practice) — формализация уникального успешного практического опыта. Согласно идее лучшей практики, в любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. В литературе по менеджменту англ. термин часто переводится на русский как передовой опыт.
  • 3. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Все  ИБшники знают  ISO,  NIST и  SANS 3
  • 4. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Почему  обычные  «лучшие  практики»   не  работают  для  SOC? 4 v Слишком много «воды» v Слишком много процессов и мер ИБ. Что нужно для SOC? С чего начать? v Слишком общие (универсальные) положения v Мало рекомендаций. Что конкретно делать? Что и где посмотреть дополнительно ? На что обратить внимание? Какие технические средства нужны? Какими знаниями и навыкамидолжен обладатьперсонал? v Кстати, SOC – это уже не про «процессы», а про «сервисы»
  • 5. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Особенности  SOC   (Security  Operations Center) 5 v Направления  РЕГУЛЯРНОЙ  деятельности:   v Анализ  и  Контроль  защищенности v Мониторинг  событий  ИБ v Управление  инцидентами  ИБ v Администрирование  отдельных  СЗИ v Threat  Intelligence  /  Threat  Hunting v Forensic     v Процессы  важнее  технологий.  Сервисы  важнее  процессов. v Важно  оперативное  взаимодействие  с  ИТ   v Ориентир  на  работу  24x7
  • 6. solarsecurity.ru +7  (499)  755-­‐07-­‐70 От  PDCA  к OODA 6
  • 7. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 7 • Наблюдение (Observation) • Ориентация / Оценка   (Orientation) • Выбор  Решения и   планирование  (Decision)   • Действие (Action)
  • 8. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Цикл  OODA  (НОРД),  петля  Бойда 8 v Цикл НОРД (англ. OODA, O – observe, O – orient, D – decide, A – act) – концепция, разработанная Джоном Бойдом в 1995 году для армии США, также известная как «петля Бойда». v Модель НОРД предполагает многократное повторение петли действий: происходит реализация принципа обратной связи. Согласно Бойду, любые процессы, соответствующие реальности, действуют в непрерывном цикле, постоянно взаимодействуют с окружающей средой и учитывают её постоянные изменения. v Существует два основных способа достижения победы над противником: сделать свои циклы действий более быстрыми или улучшить качество принимаемых решений.
  • 9. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Где  брать  вдохновение для  построения  SOC? 9 v PMBOK  и  PRINCE2 v Большие  гайды по  SOC:  MITRE,  SANS,   HP,  IBM,  Ernst  &  Young  и  пр. v ITSM:  ITIL  и  COBIT5 v Рекомендации  по  расследованию   инцидентов:  NIST,  CERT,  SANS,   Microsoft,  и  пр. v Документы  регуляторов   (например.  ГОССОПКА) v Опыт  коллег  (например,   http://www.soc-­‐club.ru) v Если  вы  MSSP,  то  стоит  посмотреть   стандарты  по  аутсорсингу (OPBOK,  ISO   37500,  NOA)
  • 10. solarsecurity.ru +7  (499)  755-­‐07-­‐70 SOC 10 Знания Люди Процессы Технологии
  • 11. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Группа Мониторинга ИБ Структура  команды  Solar JSOC 11 Руководитель JSOC Группа эксплуатации СЗИ Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) АдминистраторыИБ - эксперты (Москва, 2 человека) Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Группа управления (сервис-менеджеры, 6 человек) Группа расследования (pentest/forensic/reverse - 5 человек)
  • 12. solarsecurity.ru +7  (499)  755-­‐07-­‐70 1я  линия  Solar  JSOC 12
  • 13. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Еще  вариант  ролей  для  SOC   13 1  линия 2  линия 3  линия • Специалист  по   взаимодействию  с   персоналом  и   пользователями   • Специалист  по   обнаружению   компьютерных  атак  и   инцидентов   • Специалист  по   обслуживанию   технических  средств • Специалист  по  оценке   защищенности   • Специалист  по   ликвидации  последствий   компьютерных   инцидентов   • Специалист  по   установлению  причин   компьютерных   инцидентов   • Аналитик-­‐методист   • Технический  эксперт   • Юрист • Руководитель
  • 14. solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Люди 14 v SOC – это люди! Необходима выделенная команда SOC v Начинать стоит с 2-­‐3 человек 1й линии + 1 аналитик + руководитель. Люди «с горящими глазами» будут полезнее дорогих специалистов v Необходимо определить программы подбора персонала, стажировок (желательно партнерство с ВУЗами), и обучения сотрудников v Специалистов не хватает. Ваших сотрудников будутактивно перекупать… v Необходимо  работать  с  мотивацией:   интересные  задачи,  перспективы  роста,   комфортные  условия  и  пр.  
  • 15. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Процессы  SOC. Да,  их  больше,  чем  кажется 15 • Инвентаризация  и  контроль  конфигураций • Анализ  угроз  /  рисков • Выявление  уязвимостей  и  контроль  их  устранения • Тестирование  на  проникновение   • Threat  Hunting • Контроль  выполнения  требований  (аудит) • Анализ  кода  приложений • Управление  событиями  ИБ • Управление  инцидентами • Управление  знаниями • Управление  проблемами • Управление  изменениями • Обучение  и  повышение  осведомленности • Управление  уровнем  услуг • ...
  • 16. solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Процессы 16 v Набор процессов будет зависеть от целей SOC и порядка взаимодействия с ИТ v Первые процессы: управление событиями и инцидентами. Ориентируемся на ITIL!!! v Потом формализуем управление изменениями (работа по заявкам), и управление проблемами v Сначала надо выстроить процессы, а уже потом их документировать v Заранее определите метрики для работы 1й линии v Часть процессов можно отдать на аутсорсинг (кратковременный (пока строим свои) или долговременный) v Начинать стоит с режима работы 8х5, но задать целью 24х7
  • 17. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  мониторинга  и  защиты 17 v SIEM: HPE ArcSight ESM + рассматриваем альтернативные российские платформы v VM: Qualys, MaxPatrol, Tenable (Nessus) + NMap, Metasploit, v Sandbox: Cuckoo Sandbox, + работать с СЗИ заказчика: FireEye, KATA, FortiSandbox, TrendMicro v WAF: F5, Imperva, PTAF, SolidWall v VPN: ViPNet, S-­‐Terra SCP, Континент v IDS и МСЭ: все основные v Анти-­‐DDoS: Arbor (Appliance и канал Ростелеком), Kaspersky DDoS Prevention v Сканер кода: Solar InCode v Прочее: Skybox Security
  • 18. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Инструменты  управления 18 v Service Desk: Kayako + можем интегрироваться с BMC Remedy, HP Service Manager, R-­‐Vision v CMDB: пока Excel под каждого Заказчика v Визуализация и отчеты: Solar InView v Threat Intelligence: СУБД в связке с SIEM v Knowledge base: средствами Kayako v Виртуализация: Oracle VM VirtualBox и VMWare
  • 19. solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Технологии 19 v Тщательно выбираем SIEM, его потом ОЧЕНЬ сложно заменить… Все процессы строим вокруг него v Если покупаем сложное средство мониторинга или СЗИ, то нужен аналитик. Если опенсорс, то аналитик и программист… v Вам точно потребуются средства автоматизации процессов ITSM: SD и CMDB v ITSM-­‐системы, закупленные ИТ, вам скорее всего не подойдут, они «заточены» под другие задачи v Не стоит брать дорогое решение, все равно придется переделывать…
  • 20. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Методологии  и  знания  SOC 20 v Правила  корреляции   v Фиды (feeds)   v Инструкции  и  памятки v Учебные  материалы  и  стенды
  • 21. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Threat  Intelligence  в  JSOC 21 v Opensource базы v Репутационные базы вендоров и других технологических партнеров v Платные подписки (тратим более 300 000 $ в год): ЛК, Group-­‐IB и другие v Информация с СЗИ v Расследование инцидентов v Собственные исследования в «серой зоне» v Информационный обмен с регуляторами: ГосСОПКА (ФСБ России), FinCERT (ЦБ РФ), bdu.fstec.ru (ФСТЭК России) v Партнерство с CERT
  • 22. solarsecurity.ru +7  (499)  755-­‐07-­‐70 C  чего  начать:  Знания 22 v Знания необходимо накапливать… Фиды, фиды, фиды… v Правила «из коробки» работают в «сферической» инфраструктуре v Длинные цепочки корреляции низкоэффективны v Короткие цепочки генерят очень много FP, необходимо эффективно фильтровать
  • 23. solarsecurity.ru +7  (499)  755-­‐07-­‐70 23 Как  строить  SOC:  Модели • Тип  I:  Внутренний   (собственный)  SOC • Тип  II:  Общий   (ведомственный)  SOC • Тип  III:  Внешний  SOC   (аутсорсинг)
  • 24. solarsecurity.ru +7  (499)  755-­‐07-­‐70 Тип  I Тип  II Тип  III Причинавыбора Наличие  ресурсов  и   желание  все  делать   самостоятельно Требование «материнской»   компании  /  регулятора Желание  оптимизировать   ресурсы  / их  нехватка Затраты CAPEX + OPEX,  часть  затрат   может  быть  скрытым OPEX (но  может  быть   бесплатно),   предсказуемые OPEX,  предсказуемые Min кол-­‐во   персонала (Заказчик) Большое  подразделение   (3  линии  SOC) 1  сервис менеджер 1  сервис менеджер Скоростьзапуска Медленно, надо  построить  SOC Быстро,  надо   подключить услуги Быстро,  надо   подключить услуги Понимание контекста Высокое Среднее Низкое Режим  работы Обычно  8х5 или  12х5 Обычно  24х7 Обычно  24х7 Доступ к   ИС  и  СЗИ Внутренний Внешний Внешний Возможности  по   реагированию  и   гибкость Полные Расширенные В  рамках SLA Сравнение  моделей  SOC 24
  • 25. Спасибо  за  внимание! Прозоров  Андрей,  CISM Мой  блог:  80na20.blogspot.com Мой  твиттер:  twitter.com/3dwave Моя  почта:  a.prozorov@solarsecurity.ru