Документ обсуждает эволюцию центров операций безопасности (SOC) от версии v0.1 до v2.0, подчеркивая важность интеграции технологий, процессов и человеческих факторов для эффективной кибербезопасности. Он рассматривает проблемы мониторинга и реагирования, необходимость автоматизации и новые подходы к анализу инцидентов. В дополнение, рассматриваются ключевые компоненты, роли в SOC и стратегии повышения эффективности работы аналитиков.

1. От SOC v0.1 к SOC v2.0: от
простого к инновационному
Алексей Лукацкий
31 мая 2019
Бизнес-консультант по кибербезопасности

2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внутри Cisco SOC строится уже 19 лет!

3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Выбросьте триаду на помойку
Команда
Технологии
Процессы
Окружение Intelligence
Стратегия Миссия / цели

4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Начиная с SOC
v0.1

5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы только мониторите или также реагируете?

6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Команда NG SOC
• Архитектор SOC
• Специалист по Use
Cases (правилам)
• Программисты
Engineering
• Управление средствами ИБ
• Аналитики
• Investigator
• 1st
Responder
• SIEM/NTA/EDR/UEBA
• SOC Lead
Ядро SOC
• … по продуктам
• … по SIEM
• … по уязвимостям
• … по compliance
SME
• Incident Handler
• Incident Responder
• Forensic Expert
CSIRT
• Контроль качества
• Администратор SOC
• Безопасность
Поддержка
• Data Scientist
• Hunters
• Threat Intelligence
CTA/CTI
• Сканирование сети
• Тестирование
приложений
• Red Team
AVMT

7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какой SOC вы хотите?
Compliance
• Ориентация на НПА ЦБ /
ФСБ / ФСТЭК
• «Заблокировал и забыл»
• Нет Use Case и Playbook
• Отсутствие интеграции с
ИТ и бизнесом
• Отсутствие процессов
Бизнес
• Ориентация на инциденты,
а не события
• Защита критичных активов
• Ориентация на людей и
процессы в SOC, а не
технологии
• ИБ с точки зрения
бизнеса
• Контроль качества
Мода
• SIEM – ядро SOC
• SOC нужен для ГосСОПКИ
• У всех есть и мне нужен
SOC v0.1 SOC v1.0+SOC v0.5

8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы будете охватывать вашим SOCом?
Любые
пользователи
Сотрудники
Контрактники
Партнеры
Любые
устройства
Корпоративные
Собственные
IoT
Любые
приложения
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети

9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
SOC: сервисы vs процессы
Сервис
• Управление значимыми
результатами деятельности,
без погружения в детали
реализации
• Поставщик отвечает за
результат, а потребитель –
за корректные требования к
результату
Процесс
• Непосредственное
управление деятельностью
• За конечный результат
отвечает потребитель,
устанавливающий правила
для процессов

10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сервисная стратегия SOC
Драйвера, ожидания заказчика, ключевые принципы и
ожидаемый результат
Видение
стратегии
Описание сервисов SOC – модель реализации,
владелец, вход и выход для сервиса, компоненты
Резюме по
сервисам
Описание ключевых процессов, необходимых для
реализации сервисов SOC
Ключевые
процессы
Описание структуры команды SOC и всех ролей
Организационная
стратегия
Описание технологического стека SOC
Технологическая
стратегия

11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Вы думаете о
SOC? А у вас
есть, что
мониторить?

12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Прежде чем строить SOC или отдавать
мониторинг на аутсорсинг в внешний
SOC, сначала внедрите то, что будет
отдавать данные
Сначала внедрите то, что вы хотите мониторить
Для мониторинга МСЭ на периметре и
антивируса на ПК SOC не нужен!
В Н И М А Н И Е
Это частый запрос в наш
аутсорсинговый SOC

13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какие данные собирает ваш SOC?
События ИБ
• МСЭ
• IDS
• AV / EPP / EDR
• DLP
• VPN
• Web-доступ
• Обманные
системы
• WAF
Сетевые события
• Маршрутизаторы
• Коммутаторы
• Точки доступа
• DNS-сервера
• Частные облака
• Публичные
облака
Приложения и
устройства
• Базы данных
• Сервера
приложений
• Web-
приложения
• SaaS-
приложения
• Мобильные
устройства
• Десктопы и
лэптопы
ИТ-
инфраструктура
• Конфигурации
• Геолокация
• Владельцы
• Инвентаризация
• Сетевые карты
• Уязвимости

14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Продукты ➩ Security Operations ➩ SOC
События Нормализация /
категоризация
Корреляция Triage
ИнцидентПравилаХранение
False Positive
Расследование
и реагирование
R&D
Контроль
качества
Внешние
службы
Извлечение
уроков
Playbook /
Wiki
Обогащение
Security Operations объединяет множество решений в единый комплекс!
платных и бесплатных

15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Учитываете ли вы
физиологию или
когда вы поймете,
что L1 вам не
нужна?

16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сейчас вы увидите
видео
Посчитайте
количество передач
мяча, сделанных
людьми в белых
футболках!

17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы видите?

18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Правильный
ответ - 16

19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
гориллу?!

20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
уход девушки
в черной
футболке?!

21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
смену цвета
штор на
заднем
плане?!

22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
После 12-ти минут непрерывного
мониторинга аналитик пропускает 45%
активности на мониторе. После 22-х – 95%
Вы учитываете физиологию работы аналитика?
После 20-40 минут активного мониторинга
у аналитика наступает психологическая
слепота
Подумайте о ротации смен, режиме отдыха
аналитиков и, возможно, замене L1 машинным
обучением или иными технологиями

23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Аналитики L1 занимаются мониторингом
событий и обнаружением простых
инцидентов, а также открытием заявок
Почему первая линия SOC не нужна
Автоматизация поможет исключить
аналитиков L1, которые и так видят около
10% всего того, что должны
Оставшиеся 90% - это игра и в нее надо
быть вовлеченным
Уровень
ротации
аналитиков L1
– около 90%

24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что ищут аналитики L1 – известное или
неизвестное?
Базовый уровень
Средний уровень
Продвинутый
§ Security Device Management
§ Collective Security Intelligence
§ Log Collection
§ Event Correlation
§ Rule-Based Analytics
+ Deeper Investigation Toolkit
+ Statistical Anomaly Detection
+ NetFlow Generation
+ Protocol Metadata Extraction
+ Data Enrichment
+ Real-time Visual Analytics
+ Machine Learning
(Supervised and Unsupervised)
+ Raw Capture
+ Proactive Threat Hunting
+ Advanced Statistical Analytics
(polymorphic)
Speed Accuracy Focus Speed Accuracy FocusSpeed Accuracy Focus
L1 – это для этого
уровня зрелости
аналитических
технологий SOC

25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SOC v2.0
базируется не на
SIEM

26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
В чем разница?
Традиционный SOC
• В среднем 150 дней
• В течение часов
• В течение дней
• В течение часов
• В течение дней
• В течение недель
SOC нового
поколения
• Непрерывно
• В реальном времени
• Менее часа
• За минуты
• В течение часов
• В течение дней
Возможности
• Обнаружение угроз
• Классификация угроз
• Анализ инцидентов и
составление плана
реагирования
• Локализация угрозы
• Восстановление от угрозы
• Время на возврат к исходному
состоянию

27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура современного SOC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat
Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT
Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ
ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответстви
я
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источник
и
Другие системы
Платформа
SOC
Сервисы
корпорат
.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция

28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Security Analytics Suite
NTA
EDR
SIEM
UEBA /
CASB

29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco SOC: раньше и сейчас
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+

30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Не только
технологии и
автоматизация

31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Workflow для отслеживания утекших паролей
Конфиденциальная
иллюстрация

32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мониторинг Darknet для отслеживания утекших
паролей
Проблема
- Учетные записи сотрудников появляются в онлайн-дампах
- С хешами паролей или в открытом виде
- Утечки данных с скомпрометированных внешних сайтов
- Корпоративные адреса использовались при регистрации
- Опасность в использовании паролей для других сервисов
Действия
- Использование специализированных сервисов
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://www.infoarmor.com/
- Уведомление сотрудников напрямую и через
скомпрометированных провайдеров услуг
- Автоматический workflow для уведомления сотрудников

33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мониторинг Darknet для отслеживания утекших
паролей

34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нам разрешили ходить в шортах J

35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Не все можно
купить за деньги –
посмотрите в
сторону open
source

36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Покупать или создавать инструментарий?
Остальные 99%
Лучшие 1%
99% SOCов используют
готовые, приобретенные
решения по ИБ
1% SOCов разрабатывают
свой инструментарий или
дорабатывают open source
решения

37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: irflow
• Приложение для
автоматизации процесса
реагирования на
инциденты с помощью
решений Cisco
• Интеграция различных
решений Cisco и других
компаний
• Исходный код выложен
на GitHub

38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: irflow
Визуализация через Cisco CMX
Формирование тикета
Интеграция с ServiceNow
Интеграция с Webex Teams

39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Продумайте
варианты оценки
эффективности

40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разработка Dashboard для разных задач

41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стоимость
украденного
аккаунта
клиента в
Darknet?!

42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вопросы?