Круглый стол 21 сентября 2017 года обсуждал важность SOC и SIEM в контексте кибербезопасности, привлекая внимание к актуальности и недостаткам российских решений. Участники делились опытом работы с SOC, вопросами автоматизации процессов и необходимостью аналитики для успешного функционирования. Обсуждались также метрики эффективности SOC и влияние государственной поддержки на развитие этой сферы.

1. 21 сентября 2017
Бизнес-консультант по безопасности
SOC vs SIEM
Ведущий: Алексей Лукацкий

2. Участники круглого стола
Александр Бабкин
Заместитель начальника
департамента - начальник
ситуационного центра
информационной безопасности
департамента защиты информации,
Газпромбанк
Мона Архипова
Директор по безопасности, WayRay
Илья Шабанов
Директор, Anti-malware.ru
Александр Бодрик
Заместитель генерального
директора по развитию
бизнеса, ANGARA
Professional Assistance
Александр Бондаренко
Генеральный директор,
R-Vision
Алексей Качалин
Исполнительный директор
Центра Киберзащиты,
Сбербанк

3. Зачем нужен SOC?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных вторжений
Ponemon
206
HP
416
Symantec
305
Cisco
200

4. В России бум SIEM
• Насколько перспективна данная
ниша для российских
разработчиков?
• Будут ли заказчики использовать
такие продукты, которые пока
уступают своим зарубежным
аналогам?
• Можно ли коммерческий SOC
построить на базе отечественного
SIEM?
• Чего не хватает российским SIEM?

5. Инфраструктура под
расследованием
Меры защиты и
восстановления
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledge
Base
Log
Management
Native Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal Infra
Ticketing
Training
Platforms
Physical Security
Controls
Sensor
Telemetry
Other Data
Sources
Cisco SOC

6. Опыт Cisco: комбинация методов
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

7. SOC = SIEM или SOC ≠ SIEM?
• По версии Gartner, ядром
системы монитониринга должны
стать SIEM, NTA/NBAD, EDR.
При этом должны быть также
системы Threat Intelligence,
управления инцидентами,
расследования и др.
• Какие типы решений используют
в своем SOC участники круглого
стола?
• Могут ли они поделиться
краткими наблюдениями,
подводными камнями?

8. Monitoring/ISOC: in depth
Behavior analysis
Data flows
Services policies
OS/device policies
Log source typization
Inventory & Discovery
Слайд Моны Архиповой

9. Аналитика ИБ в SOC – это сегодня «must
have»
Что происходит?
Почему это происходит?
Что произойдет?
Что я должен сделать?
Описать
Диагностировать
Предсказать
Предписать
IDS, AV, SIEM, TI
NTA, UEBA, NFT, EDR
Fraud Detection
SOAR, Attack Simulation
Правила, машинное обучение, обнаружение аномалий,
исторический анализ (ретроспектива), искусственный интеллект

10. От SIEM к SOAR
• В отличие от анализа
логов, обеспечиваемого
SIEM, решения SOAR
вобрали в себя целый
набор различных
технологий,
обеспечивающих
деятельность SOC и
служб мониторинга ИБ

11. Структура Cisco CSIRT
NetFlow System Logs
Разведка и
исследования
5
Аналитики APT
15
Следователи
25/26
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Операционные инженеры6/26

12. NATO NCIRC
Уровень 1
• Координация и поддержка
• Приоритезация
• 4 человека
Уровень 2
• Операционное и
техническое управление
• Управление событиями
безопасности
• Онлайн расследование
инцидентов
• Анализ вредоносного кода
• Системы поддержки
принятия решений
• Репозиторий информации
• IA
• Dynamic Risk Assessment
• Оценка и управления
рисками
• 80 человек
Уровень 3
• Администрирование
локальных системы и
средств защиты
• Расширенные защитные
системы
• Анализ защищенности
• IDS и IPS
• Управление логами
• Захват всех пакетов
• Расследование на местах
• 250 человек

13. Сколько людей нужно в SOC?
• В Microsoft Cyber Defense
Operations Center работает 50
человек, в Cisco CSIRT – 103, в
Ростелекоме – 25 и идет еще
набор, в Solar JSOC - 60 и также
идет набор, Сбербанк
озвучивает цифру в 400 человек,
у ЛК – 14 человек
• Сколько же нужно человек
минимум, чтобы запустить свой
собственный SOC?

14. THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,364,087
20,529
1,978 INCIDENTS MANAGED (QTR)
DNS-RPZ
BGP Blackhole
WSA
ESA
ANTIVIRUS
HIPS
ENDPOINT AMP
CSIRT
Prevention
2,417,877,715 = TOTAL THREATS PREVENTED(QTR)
Detection
Сколько инцидентов поступает в Cisco
CSIRT?

15. Сколько инцидентов должен
обрабатывать SOC?

16. Как не запустить SOC?
• Есть такая поговорка: «Если пытаться
автоматизировать хаос, то получится
автоматизированный хаос». Когда мы
слышим, что именно SOC остановил
WannaCry в тех или иных компаниях,
возникает множество вопросов
• Что надо предварительно сделать в
инфраструктуре, чтобы внедрение своего
или использование аутсорсингового SOC
стало успешным?
• Как запустить SOC – 5 основных шагов?

17. (Not so) Basic questions
Interests
Business owners
Patent owners
Customers,
clients, partners
Employees
Law
Society
…
Objects
Source code
Data
Services
Systems
Reputation
…
Threats
Hackers
Insiders
Regulation
authorities
Disasters
Competitors and
partners
…
Слайд Моны Архиповой

18. Оценка эффективности SOC
• SOC запущен; можно ли
оценить его эффективность?
• Какие метрики используют
участники круглого стола?
• Можно ли показать деньги от
работы SOC?

19. Чего вам (не) хватает от государства?
• Как вы видите работу с
ГосСОПКОЙ?
• Мешает ли вам лицензирование
ФСТЭК по SOCам?
• Хотели бы вы использовать
отечественные стандарты обмена
информацией об угрозах?
• Нужен ли вам государственный
ресурс по обмену индикаторами
компрометации?

20. Подытожим
• Поймите свое окружение, что нормально, а
что нет?
• Современные решения – это инструменты.
Кто-то должен уметь ими пользоваться и
выстраивать процессы
• Без аналитики сегодня все решения по ИБ
обречены на провал
• Решения должны использовать комбинации
методов обнаружения (threat intelligence,
правила, алгоритмы)
• Серебряной пули нет и не будет; чужие
рецепты – это хорошо, но есть это вам!
• Сложно найти отечественные решения

21. Реклама SOC в США: в качестве
заключения J

22. Спасибо!
alukatsk@cisco.com