Документ описывает деятельность компании Solar JSOC, предоставляющей услуги аутсорсинга в области информационной безопасности в России, с упором на оперативное реагирование на инциденты. Основные услуги включают мониторинг, анализ и противодействие кибератакам, а также высокие показатели доступности сервиса и времени реакции на инциденты. Команда состоит из 55 специалистов, работающих в двух городах, и использует различные инструменты для обеспечения безопасности и автоматизации процессов.

1. Коммерческий СОК – структура,
процессы, собранные грабли
Дрюков Владимир
Solar JSOC

2. solarsecurity.ru +7 (499) 755-07-70
На одном слайде про Solar JSOC
2
39
крупных коммерческих
клиентов
55
специалистов по ИБ
в штате
4
года
оказания услуг
99,4%
общая доступность
сервиса
10 мин
Время реакции
на инцидент
30 мин
Время анализа/
противодействия
Первый коммерческий центр сервисов ИБ-аутсорсинга в России
Географически распределен по двум городам: Москва и Нижний Новгород
Основные сервисы – мониторинг и реагирование на инциденты, оценка
защищенности, противодействие кибератакам

3. solarsecurity.ru +7 (499) 755-07-70
Архитектура сервисов Solar JSOC
3

4. solarsecurity.ru +7 (499) 755-07-70
Инструменты JSOC
4
Системы ИБ – всегда с собой:
SIEM – HPE ArcSight
Vulnerability Scanner – Qualys, Loki или то, что у клиента
TI – opensource, россыпь вендоров, собственные исследования
Forensic tools – customize opensource, собственные наработки,
немного коммерческих продуктов и sandbox 
Клиентские системы – как повезет:
WAF+antiDDOS
Sandbox,
Firewall Management
FW/NGFW, IPS, Proxy, AV
Инфраструктурные сервисы + cервера/АРМ + приклад

5. solarsecurity.ru +7 (499) 755-07-70
Инструменты JSOC
5
Внутренняя кухня:
Service Desk + KB – customized kayako
CMDB – ArcSight Asset Model + Kayako
Security Intelligence – Security Dashboard
Немного общей инфраструктуры:
It monitoring
Integrity control
VDI + контроль админов
Куча палок, веревок и интеграционных шин
Много разнообразной безопасности

6. solarsecurity.ru +7 (499) 755-07-70
Структура команды Solar JSOC
6
Группа инцидентов ИБ
Руководитель JSOC
Группа эксплуатации СЗИ
Группа развития
( 2 архитектора,
ведущий аналитик
2 пресейл-аналитика)
Инженеры реагирования и
противодействия – 12*5
(НН, 3 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 12 человек)
2-ая линия
администрирования – 12*5
(Москва+НН, 6 человек)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва+НН, 7 человек)
Группа управления
(сервис-менеджеры, 6
человек)
Администраторы ИБ - эксперты
(Москва, 2 человека)
Группа
расследования
(pentest/forensic/reverse -
5 человек)

7. solarsecurity.ru +7 (499) 755-07-70
Пройдемся по граблям
7

8. solarsecurity.ru +7 (499) 755-07-70
Проблемы из ITIL
8
 Кадры - подбор, обучение и адаптация – оставим до вечера среды
Контроль работы операторов:
Нет ли закрытых как fp боевых инцидентов
Качество разбора и анализа
Запретить выбирать кейсы попроще
Подстраховать первую линию в ночное время
Only for commercial – как не оповестить не того заказчика

9. solarsecurity.ru +7 (499) 755-07-70
Case review – ручное управление
качеством разбора
9
Выборочная проверка кейсов первой линии 2-й и 3-й
• Приоритетная обработка критичных fp
• Критичные хосты и учетки
• TI
Система лайков и дизлайков
• Неточность/ошибка в разборе
• Неполное информирование клиента
• Нарушение SLA
• И еще два десятка критериев
Ежемесячные обязательные групповые встречи по итогам
Плюшевый кнут и жесткий пряник – по итогам :)

10. solarsecurity.ru +7 (499) 755-07-70
Пузырьковое всплытие инцидентов
10
Сложное ранжирование критичности инцидента
• Критичность инцидента
• Критичность хоста
• Критичность УЗ
• Критичность Заказчика
«Время жизни» инцидента разбито на 3 промежутка: «Зеленая
зона», «Желтая зона», «Красная зона»
При переходе инцидента из одной зоны в другую общий Score
увеличивается по коэффициентам
Инженер обязан взять инцидент с самым высоким Score, а не
приоритетом

11. solarsecurity.ru +7 (499) 755-07-70
Автоматизация работы с кейсами и SLA
11
Проброс доступа оператора в конкретную core Заказчика
Отделение оператора от электронной почты
Работа с кейсом только в SD
Автоматически подставляемые профили оповещения
Внутренние заглушки на соответствие клиента, тема и текста
уведомления
Предсказание «успеет ли» отталкиваясь от загрузки смены,
планового времени решения и потока входящих и дежурный
аналитик 24*7

12. solarsecurity.ru +7 (499) 755-07-70
Контент и управление
12
Контролировать инфраструктуру, которая не описана в ИТ
При подключении источника – автоматом запустить базовые
сценарии
Health check-и работы сценариев и контента
Only for commercial - синхронизировать конфигурацию в
распределенной среде

13. solarsecurity.ru +7 (499) 755-07-70
JSOC – Asset Management vs CMDB
13
Несколько бизнес-интервью на старте – инфраструктура в «крупную
клетку»
Выгрузка информации, откуда есть:
 Виртуализация + AD
 SCCM + Firewall Management
 Сканеры
Модель актива – для ИБ
 Основные сетевые признаки
 Критичность с точки зрения бизнес-процессов, монетизации,
компрометации
Пополнение – on demand
 Неизвестный ip в инциденте
 Статистика с fw, сканера и прочих инфраструктурных сервисов

14. solarsecurity.ru +7 (499) 755-07-70
Архитектура контента
14
Workflow
Сценарии
«Базовые»
и «Профилирующие»
правила
Переработанные парсеры
для коннекторов
 Оповещения, создание кейсов,
обработка информации
 Необходимые отчеты и инструменты
для анализа инцидентов
 Генерация событий по
соответствующим критериям
 «Обогащение» информации
 Очистка «мусора»
 Добавление нашей категоризации
 Профилирование активностей
 Добавление «пропущенной»
информации
 Исправление проблем
с парсингом

15. solarsecurity.ru +7 (499) 755-07-70
Контент - синхронизация
15
Общие унифицированные правила – разливка с master node
Custom листы с исключениями
Custom профили и списки
Custom Assets
Специализированные правила под клиента – в индивидуальных
папках
Проверка успешности репликации и «живости сценариев»
Автотесты + manual тесты при мажорных синхронизациях
Впереди – backlog, scrum, waterfall

16. solarsecurity.ru +7 (499) 755-07-70
Серебрянная пуля Threat Intelligence
16
Состав TI:
Feeds от вендоров
Сработки СЗИ
APT Reporting
Информационные обмены
Собственные исследования
Проблемы с TI:
Очень много записей (10+ млн)
Очень много «странного» (половина Рунета, ip хостингов)
Network TI killer – Skype
А еще все процессы ходят в Интернет от antivirus.exe

17. solarsecurity.ru +7 (499) 755-07-70
Threat Intelligence как инструмент
выявления атаки
17
27%
18%
22%
14%
12%
7%
Источник данных
Feeds APT Reporting
Информационные обмены Собственные базы
Расследование инцидентов Информация от пользователей

18. solarsecurity.ru +7 (499) 755-07-70
Подход JSOC
18
Приоретизация фидов:
Репутация поставщика
Очистка «мусора»
TTL
Актуальность для клиента
Аккуратная корреляция и анализ истории обращений
Идентификация процесса-инициатора – работа с endpoint
Сопоставление source port с таблицей процессов
Детальная работа с логами антивирусного ПО для поиска
реального процесса

19. solarsecurity.ru +7 (499) 755-07-70
Советы «собратьям по оружию»
19
Не игнорируйте заблокированные инциденты:
 Заблокированная активность – признак действий хакера
 Не получилось сразу – будет искать другой путь
 «Найти и обезвредить»
Понимайте, что вы защищаете:
 Идентифицируйте активы
 Поймите последние фазы реализации и контроли
 Следите максимально внимательно
Копите знания об атаках:
 Обмен с коллегами
 CERT-ы и ведомства
 Платные подписки

20. solarsecurity.ru +7 (499) 755-07-70
Дорогу осилит идущий
20