Документ анализирует эффективность ситуационных центров безопасности (SOC) на основе опытов и исследований, проведенных HPE за 9 лет. Основные проблемы, препятствующие успешной работе SOC, включают недостаток поддержки со стороны руководства, преувеличенный акцент на технологических решениях и нечёткое определение приоритетов. В итоге, лишь 25% организаций смогли организовать эффективную работу своих SOC.

1. Мировые тренды развития
SOC
на основе ежегодно отчета
HPE Security Incident and
Operations Consulting 2017
Афонин Евгений
Архитектор решений ИБ
25.05.2017

2. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2
“SIEM implementations often fail to deliver
full value — not due to ‘broken tools,’ but due
to broken processes and practices by the
organization that owns and operates the
SIEM tool.”
- Gartner: Security Information and Event Management
Architecture and Operational Processes

3. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3
Организовано: 2007
Security Intelligence & Operations Consulting
Лучшая в мире команда по созданию ситуационных
центров высшего класса.
Опыт:
• 50+ SOC организовано с нуля
• 183 аудита проведено в 137 ситуационных центрах
• 50+ консультантов по всему миру
• 275 лет опыта в этом направлении всего ;)
Подходы:
• Люди / Процессы / Технологии в привязке к актуальным
рискам / целям организации
Путь к успеху:
• Зрелая методология, подтвержденная многолетним
опытом
• Набор лучших практик
• Собранные по миру ноу-хау
ESP
Services

4. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4
Текущие и завершенные проекты

5. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.5
Уровень зрелости

6. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6
Люди, Процессы & Технологии
IDS.IPS
Firewall
Switches
Routers
Proxy
Connector
IDAM
Applications
DBMS
Mainframe
& Mid-range
ICS
Physical
CMBD
Vulnerability
Scanning
Threat
Intelligence
SIEM
Технологии
IT Ops
Executives
IRT
Level 2
Level 1
Content
Author
Hunt
Team
SOC
Manager
Люди
Процессы
Сценарии
использования

7. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7
Процессы
Analytical
Technical
Operational
Business
Analytical
• Threat Intelligence
• Investigations
• Data Exploration
• Focused Monitoring
• Forensics
• Advanced Content
• Information Fusion
Technical
• Architecture
• Data Flow
• Data Onboarding
• User Provisioning
• Access Controls
• Configuration
Management
• Use Case Lifecycle
• Maintenance
• Health & Availability
•Backup & Restore
Technical
•Architecture
•Data Flow
•Data Onboarding
•User Provisioning
•Access Controls
•Configuration
Management
•Use Case Lifecycle
•Maintenance
Operational
• Incident Management
• Roles &
Responsibilities
• Scheduling
• Shift Turnover
• Case Management
• Crisis Response
• Problem & Change
• Employee Onboarding
• Training
• Skills Assessment
• Ops Status
Technical
•Architecture
•Data Flow
•Data Onboarding
•User Provisioning
•Access Controls
•Configuration
Management
•Use Case Lifecycle
•Maintenance
Business
• Mission
• Sponsorship
• Service Commitment
•Metrics & KPIs
•Compliance
• Project Management
• Continual
Improvement
• Knowledge
Management
• BC / DR

8. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.8
Оценка зрелости
0,00
0,50
1,00
1,50
2,00
2,50
SOMM Level
Business
PeopleProcess
Tech
Company A
Average
Maturity
Assessment
Score Comments
Business 2.44
Mission 1.86
Accountability 1.21
Sponsorship 2.18
Relationship 2.15
Deliverables 3.00
Vendor Engagement 2.67
Facilities 1.27
People 1.82
General 1.98
Training 2.61
Certifications 1.58
Experience 2.00
Skill Assessments 0.88
Career Path 1.92
Leadership 1.50
Process 0.63
General 2.01
Operational Process 1.67
Analytical Process 0.00
Business Process 0.00
Technology Process 0.00
Technology 2.60
Architecture 1.54
Data Collection 3.69
Monitoring 1.50
Correlation 1.37
General 2.13
Overall SOM Level 1.69
Current Phase 1 Phase 2 Phase 3
Timeline 6 mos 1 yr 2 yr
SOMM
Target
1.6 2.0 2.5 3.0
Use Cases Logging Perimeter,
compliance
Insider Threat,
APT
Application
Monitoring
Staffing Ad hoc 4 x L1, 1x
L2
8 x L1, 2x L2 12 x L1, 2x L2, 2x
L3
Coverage 8x5 8x5 12x7 24x7

9. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9
Риск
• Line-of-business
• Critical Asset
• Compliance Requirement
E
x
t
e
r
n
a
l
R
e
c
o
n
n
a
i
s
s
a
n
c
e
o
r
A
n
o
m
a
l
o
u
s
C
o
m
m
u
n
i
c
a
t
i
o
n
A
t
t
a
c
k
D
e
li
v
e
r
y
E
x
p
l
o
i
t
a
t
i
o
n
I
n
s
t
a
ll
a
t
i
o
n
C
2
L
o
c
a
l
C
o
m
p
r
o
m
i
s
e
I
n
t
e
r
n
a
l
R
e
c
o
n
n
a
i
s
s
a
n
c
e
L
a
t
e
r
a
l
M
o
v
e
m
e
n
t
E
x
t
r
a
c
t
V
a
l
u
e
E
s
c
a
l
a
t
e
E
s
t
a
b
li
s
h
P
e
r
s
i
s
t
e
n
c
e
E
x
t
e
r
n
a
l
R
e
c
o
n
n
a
i
s
s
a
n
c
e
o
r
A
n
o
m
a
l
o
u
s
C
o
m
m
u
n
i
c
a
t
i
o
n
A
t
t
a
c
k
D
e
li
v
e
r
y
E
x
p
l
o
i
t
a
t
i
o
n
I
n
s
t
a
ll
a
t
i
o
n
C
2
L
o
c
a
l
C
o
m
p
r
o
m
i
s
e
I
n
t
e
r
n
a
l
R
e
c
o
n
n
a
i
s
s
a
n
c
e
L
a
t
e
r
a
l
M
o
v
e
m
e
n
t
E
x
t
r
a
c
t
V
a
l
u
e
E
s
c
a
l
a
t
e
E
s
t
a
b
li
s
h
P
e
r
s
i
s
t
e
n
c
e
E
x
t
e
r
n
a
l
R
e
c
o
n
n
a
i
s
s
a
n
c
e
o
r
A
n
o
m
a
l
o
u
s
C
o
m
m
u
n
i
c
a
t
i
o
n
A
t
t
a
c
k
D
e
li
v
e
r
y
E
x
p
l
o
i
t
a
t
i
o
n
I
n
s
t
a
ll
a
t
i
o
n
C
2
L
o
c
a
l
C
o
m
p
r
o
m
i
s
e
I
n
t
e
r
n
a
l
R
e
c
o
n
n
a
i
s
s
a
n
c
e
L
a
t
e
r
a
l
M
o
v
e
m
e
n
t
E
x
t
r
a
c
t
V
a
l
u
e
E
s
c
a
l
a
t
e
E
s
t
a
b
li
s
h
P
e
r
s
i
s
t
e
n
c
e
Логика выявления Логика выявления Логика выявления
• Источники событий
Тренинги для специалистов
Реагировани
е
• Приоритезация
• Расследование
Признаки
инцидента
Признаки
инцидента
Признаки
инцидента
• Признаки
инцидента
• Уязвимости
• Контроли
Реагировани
е
Реагировани
е

10. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10
Growing the security analyst
http://h20195.www2.hpe.com/V4/getpdf.aspx/4aa5-3982enn
Job roles and skills
definition
Grow your own analysts
Skills assessments
Analyst development
Operational metrics
Retention
Schedule
Ongoing Training

11. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11
State of Security Operations 2017
https://saas.hpe.com/en-us/software/security-operations-center
Обобщение 9+ лет
опыта
• 183 аудита
• 137 SOCs
• 31 страна

12. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12
Основные выводы
Только 25% организаций смогли организовать эффективную работу
5 наиболее частых ошибок при организации и повседневной работе ситуационных центров:
#1 – Недостаток поддержки. Ситуационный центр не подвешен в вакууме. Сотрудникам приходится взаимодействовать
с большинством подразделений организации на повседневной основе. Без поддержи руководства и четко определенной
цели обеспечить эффективную работу по расследованию инцидентов невозможно.
#2 – Упор на технические решения. Наиболее частой причиной проблем является перекос бюджетов в сторону
финансирования внедрений технических решений, приводя к недостаточной квалификации и количеству
специалистов. Большинство современных угроз требуют серьезной квалификации аналитика, а также высокого уровня
организации работы по расследованию инцидентов.
#3 – Нарушений принципа «от простого к сложному». Проблемы с решением базовых задач ИБ обязательно
приводит к затруднениям при решении задач более высокого уровня. Управление информационными активами,
корреляция кадровой информации, категоризация информационных активов – вся эта информация является ключевой
при расследовании инцидентов
#4 – Отсутствие фокуса. Решение несвойственных, второстепенных задач оказывает существенное негативное
влияние на результаты работы ситуационного центра.
#5 – Ради галочки. К сожалению, решение задач по обеспечению соответствия не всегда приводит к существенному
повышению уровня защищенности.

13. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13
5 мало! Еще 5 …
#6 – «Выстрелил и забыл» - Финансирование ситуационных центров зачастую заканчивается на этапе внедрения.
Обеспечение ресурсами их повседневной работы зачастую крайне недостаточное, однако совершенно необходимо для
их эффективной работы.
#7 – Разработанная логика выявления инцидентов не доводится до дежурной смены – Недостаточный уровень
коммуникации между операторами мониторинга и аналитиками приводит к тому, что созданный контент (правила,
отчеты, инструментальные панели) не используется или используется неэффективно.
#8 – Недостаточная гибкость – Используемые злоумышленниками технологии атак все время совершенствуются, это
предъявляет высокие требования к техническим возможностям системы мониторинга, сложности модификации и
сопровождения корреляционной логики. При этом, с другой стороны, необходимо обеспечивать установленные
процедуры и SLA.
#9 – Сложно определить критичность – Затраты на обеспечение защищенности и расследование инцидентов никогда
не позволяют обеспечить 100% покрытия. Успешный ситуационный центр должен иметь четкие параметры определения
критичности инциденты и использовать подход, основанный на рисках.
#10 – Использование лучших практик – отраслевые или неформальные сообщества позволяют обмениваться
актуальной информацией по противодействию злоумышленниками. Ситуационные центры и организации, которые не
используют эти возможности снижают свою эффективность.

14. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.14
Спасибо!