17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Обзор ключевых/приоритетных мер защиты информации среди множества (тысяч) требований, указанных в различных нормативных актах и лучших практиках. Основной упор сделан на SANS Top 20 / CIS Controls и ASD 35
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Обзор ключевых/приоритетных мер защиты информации среди множества (тысяч) требований, указанных в различных нормативных актах и лучших практиках. Основной упор сделан на SANS Top 20 / CIS Controls и ASD 35
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Презентация, сделанная в рамках IT & Security Forum в Казани 26 мая 2017 года. Рассматривал различные законодательные инициативы в области внедрения биометрии в России, а также модель угроз такого рода системам и проектам.
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Презентация, сделанная в рамках IT & Security Forum в Казани 26 мая 2017 года. Рассматривал различные законодательные инициативы в области внедрения биометрии в России, а также модель угроз такого рода системам и проектам.
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
В условиях тотальной экономии и необходимости развития банка в мире онлайн-сервисов, обеспечение информационной безопасности становится неподъемной задачей. Использование управляемых услуг по информационной безопасности позволяют реализовать любые сценарии в максимально сжатые сроки при минимальном бюджете.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
SIEM - мониторинг безопасности в Вашей компанииSoftline
Единая консоль, где аккумулируется информация о событиях информационной безопасности
компании, что дает возможность получить полную картину уровня ИБ защищенности, сопоставлять
события и реагировать на них максимально быстро,
поддерживать соответствие состояния информационной безопасности внутренним
регламентам и внешним стандартам,
таким как PCI DDS, SOX и т. д.
SICenter - презентация по BSM (Business Service Management) - системам монито...Yuriy Eysmont
Управление бизнес-услугами (Business Service Management, BSM) - это стратегия управления ИТ, осуществляемая средствами программного обеспечения с точки зрения перспектив бизнеса. Реализуя BSM, компании могут переориентировать свои ИТ-операции таким образом, чтобы они напрямую поддерживали критичные цели бизнеса. Такая стратегия помогает компаниям быстро распознавать и оптимизировать ключевые процессы на своем предприятии - и это действительно важно, ибо качество базовых бизнес-услуг может серьезно повлиять на успешность бизнеса.
Запись вебинара: http://ciscoclub.ru/analitika-v-cod
Аналитика стала одним из ключевых направлений развития современных информационных технологий. В рамках данной сессии мы рассмотрим основные продукты Cisco для задач аналитики в ЦОД, включая Tetration Analytics и AppDynamics.
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Решения HP для обеспечения информационной безопасностиКРОК
Более чем 20-летний опыт КРОК и лучшие технологии HP легли в основу единственного в России Центра решений HP по информационной безопасности (HP Solutions Center Security). Центр представляет собой лабораторию с функционирующими в реальных условиях системами, которые интегрированы как между собой, так и с базовой инфраструктурой.
Подробнее на http://www.croc.ru/promo/hpsc/?&tab=ES
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Особенности построения национальных центров мониторинга киберугроз
1. 27 октября 2017
Cisco Infosec Representative
Cisco Security Ninja Blue Belt
Cisco Security Advocate
Особенности построения
национальных центров
мониторинга киберугроз
Алексей Лукацкий
2. Disclaimer
За 30 минут нельзя рассказать о
том, как построить
национальный центр
мониторинга киберугроз
Упомянутые в презентации
процессы, сервисы, решения,
технологии и подходы
опираются на опыт компании
Cisco, построившей несколько
десятков центров мониторинга,
и предоставляющей услуги
аутсорсинга ИБ 100+
заказчикам
3. Зачем нужен центр мониторинга?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных вторжений
Ponemon
206
HP
416
Symantec
305
Cisco
200
Verizon
240
4. SOC vs CDC
SOC
• Обслуживает одну
компанию
• Обеспечивает
мониторинг в реальном
времени
• Одна служба ИБ
• Тесная интеграция с
эксплуатацией СрЗИ
CDC
• Обслуживает
государство
(множество госорганов)
• Координация усилий
множества служб ИБ
• Зачастую отсутствие
доступа к СрЗИ
6. Национальный CDC Отраслевой CDC Провайдеры ИБ Контракторы
Реагирование на инциденты ИБ
Управление услугами
Анализ киберугроз
Cyber Threat Intelligence
Экзотический /
национальный инцидент
Поддержка реагирования
Координация
восстановления
Аналитика безопасности
Управление данными безопасности
Расследование инцидентов
Анализ вредоносного кода
Управление отраслевыми
средствами защиты
Управление средствами
защиты
Управление услугами Управление услугами Управление услугами
Отраслевой инцидент
Управление
национальными СрЗИ
Общий инцидент
Управление платформой
Platform Dev & Engineering
Управление контентом
Операции ОперацииPlatform Dev & Engineering
Управление контентом
Восстановление Восстановление
Управление средствами
защиты
Пример разделения полномочий
§ Услуги
объединяются
между
национальным,
отраслевыми CDC и
корпоративными
SOCами
§ Дополнительная
поддержка от
внешних
организаций
7. Что такое национальные и отраслевые
средства защиты?
Например, система управления Интернет-
трафиком (в России, в Китае и др.) или
удостоверяющие центры
Национальные СрЗИ
🛠 Например, национальная система
антифрода в платежных системах
Отраслевые СрЗИ
8. Стратегия
сервисов
Программа – управление, коммуникации, команда и управление стейкхолдерами
Разработка корневых
процессов
Фаза 1: CDC
Архитектура
Переход
Внутренний переход
Расширение технологий
Улучшение сервисов
Дизайн
сервисов
План
запуска
Фаза 2: Строительство CDC
Технологический стек
Фаза 3: CDC
Улучшение
План улучшение Улучшение процессов
Бизнес-
кейс
Тесты /
Бенчмарк
CDC
Работает!
План создания CDC
Трансформация
Строительство CDC
(помещение)
Фаза 0: CDC
Концепция
Эталон
Архитектура
Спецификации
Функционирование
9. Какие сервисы могут быть?
Управление сервисом
- Business Service
Management
- IT Service Management
Аналитика безопасности
- Security Data Management
- Security Analytics
Платформы и контент
- Platform Engineering
- Platform Operations
- Content Management
Реагирование на инциденты
- Cyber Security Monitoring
- Cyber Security Investigation and
Escalation
- Cyber Threat Hunting
- Cyber Security Incident
Remediation Threat Intelligence
- Threat Research and Modelling
- Malware Analysis
- Communications & Coordination
- Reports and Briefings
10. …но это еще не все
Управление сервисом
- Security Service Provider
Management
- Cloud Security Services
Management
- Vendor Management
Управление
соответствием
- Разработка политик и
стандартов
- Оценка соответствия
Обучение и
тестирование
- Training Development
- Training Delivery
- Red team and other
testing services
Управление СЗИ
- IAM
- Контроль границ
- System and data integrity
protections
- Криптография
- Application security
- Другие
Управление уязвимостями
- Vulnerability Intelligence
- Vulnerability Scanning
- Vulnerability Escalation
- Vulnerability Remediation
11. Пример описания сервиса
Источники
Другие команды
Cyber Intelligence
Service
Cyber Analytics
Service
Управление активами
Исходныеданные
Security telemetry
Sources
Alerts, incident reports
and incident tickets
Intelligence
Analysis results
Anomaly and suspicious
activity reports
Digital forensics results
Asset information
Reporting requirements
Breach notifications
Компоненты
Cyber Security
Monitoring
Cyber Security
Investigation and
Escalation
Cyber Security Incident
Remediation
Coordination
Выходныеданные
Кейсы
Тикеты
Выводы
Метрики
Отчеты
Семплы файлов и
данных
Обновления базы знаний
Playbooks
Потребители
IT-команда
Другие команды
Управление
инцидентами
предприятия
Другие CDC сервисы и
команды
Юристы
Управление персоналом
Преимущества: Мониторинг ИБ, расследование и реагирование минимизируют недоступность оказания ИТ-
сервисов и снижают ущерб и уменьшают влияние компрометации системы за счет идентификации,
исследования, эскалации и координации реагирования на потенциальные инциденты в кратчайшие сроки и с
высокой точностью.
Описание сервиса: Этот сервис обеспечивает координацию мониторинга ИБ, расследования и реагирования
на инциденты в государстве. Небольшие гибкие команды аналитиков отвечают за предоставление полного
спектра услуг, а также поддержку связанных задач, используя платформу управления кейсами ИБ.
Параметры уровня сервиса: покрытие сервиса, время, качество
12. Типичные сервисы CDC
• Реагирование на инциденты
национального масштаба
• Threat Intelligence для
национальной безопасности
• Национальная аналитика
• Исследования
• Тренинги, киберучения,
обучение
13. Возможны и иные сервисы
планирует оказывать услуги расследования
инцидентов для российских банков с помощью
собственной лаборатории
ФинЦЕРТ
" обеспечивает установку в сетях избранных
госорганов системы обнаружения атак для
оперативного мониторинга
ГосСОПКА
предоставляет защищенный доступ госорганов к
Интернет
RSNet
14. Возможны и иные сервисы
• Защищенный DNS-сервис для
государственных органов
Великобритании
• Web Check – защита
государственных Web-сайтов
• Борьба с фишинговыми и
вредоносными ресурсами
(совместно с Netcraft)
• Mail Check - защита электронной
почты от спуфинга
NCSC
15. Почему нет мониторинга?
15
• SDC – это не продукт, а сбалансированное применение 4-х
элементов – людей, процессов, технологий и политик
• Обеспечение кибербезопасности требует вовлечения различных
подразделений, а не является прерогативой только службы ИБ
• Именно сложность координации осложняет мониторинг в реальном
времени, присущий корпоративным SOC
Люди Процессы Политики Технологии
16. На что обратить внимание?
Разработка
команды
- На все сервисы
- Набор
- План развития
- Тренинги и
повышение
квалификации
- Передача знаний
- Программа
удержание
персонала
Разработка
процессов
- Governance
- Политики
- Технологические
стандарты
- Процессы CDC
- Процедуры CDC
- Интеграция
процессов
Разработка
технологического
стека
- Тактические
улучшения
- Аналитика ИБ
- Управление
кейсами
- База знаний
- Расследование
- Платф.обучения
- Интеграция
Ротация кадров в
корпоративных SOC
- 80-90% (в
государственных
еще выше)
18. Архитектура технологического стека CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответствия
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источники
Другие системы
Платформа
SOC
Сервисы
корпорат.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
19. От защиты на уровне отдельных
госорганов к защите на уровне государства
ОблакоГибридный вариантУправление CPE
IPS WEB EMAIL MALWARE CONTEXT
W W W
NGFW VPN IPS WEB EMAIL MALWARE CONTEXT
SWITCHING NAT DHCP AP VOICE ROUTING
W W W
SWITCHING AP VOICE
SWITCHING AP VOICEROUTING
NAT DHCP NGFW VPN
NGFW VPN IPS WEB
EMAIL MALWARE CONTEXT
W W W
NAT DHCP ROUTING
NGFW VPN IPS WEB EMAIL MALWARE CONTEXT
SWITCHING NAT DHCP AP VOICE ROUTING
W W W
Госорган защищает себя сам
20. Что такое Hosted Security?
Уровень оркестрации
Уровень сервисов
Инфраструктура
• Предоставляется на базе
инфраструктуры
государственного оператора
связи
• Решения по оркестрации
• Интерфейсы оркестратора для
настройки устройств
• Все пользовательские данные
находятся в облаке SP
• Решения в виртуальном
исполнении уже доступны
VMware ESXi или KVM
Cisco UCS
Хранение
NGFSv
WSGv
ESGv
Tenant 1
RouterV
WSGv
ESGv
Tenant 2
FWv
RouterV
Tenant 3
Политики Аналитика Отчетность
Оркестрация,
биллинг и
отчетность
SP
• Provisioning API
• Reporting API
• Billing API
Платформы
безопасности
WSGv+Shared
EDR
EDRv EDRv ESGv+Shared EDR
Песочница
NGFWv
RouterV
Tenant 4
WSGv+Public EDR
ESGv+Public EDR
21. Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответствия
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источники
Другие системы
Платформа
SOC
Сервисы
корпорат.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
22. Основа CDC (как и SOC) – это не
только SIEM
NTA
EDR
SIEM
UEBA
/
CASB
23. Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответствия
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источники
Другие системы
Платформа
SOC
Сервисы
корпорат.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
25. Состав мобильного SOC (в части ИБ)
• Cisco ASA 5545-X
• Cisco NGIPS (FirePOWER 7150)
• Cisco Stealthwatch
• Cisco S300V Web Security Appliance
• Cisco AMP for Content / Network
• Cisco Netflow Generation Appliance 3340
• CSIRT PDNS и Cisco Umbrella
• Splunk
• BGP Black Hole/Quarantine
• Функции DLP
• Сбор Syslog
• Qualys
• RedSeal
26. Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответствия
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источники
Другие системы
Платформа
SOC
Сервисы
корпорат.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
27. Threat Intelligence обогащает события
безопасности
- знание (включая процесс его получения) об
угрозах и нарушителях, обеспечивающее
понимание методов, используемых
злоумышленниками для нанесения ущерба, и
способов противодействия им
Оперирует не только и не столько
статической информацией об отдельных
уязвимостях и угрозах, сколько более
динамичной и имеющей практическое
значение информацией об источниках угроз,
признаках компрометации (объединяющих
разрозненные сведения в единое целое),
вредоносных доменах и IP-адресах,
взаимосвязях и т.п.
Threat Intelligence
CDCFree / Open
Source
Государство
ISAC
Коммерчес-
кие
Частные
Внутренние
30. Коммерческие решения vs open source
позволяют собирать индикаторы
компрометации из различных
коммерческих и бесплатных, закрытых
и открытых, государственных и
частных источников,
классифицировать их и производить с
ними различные операции, включая и
выгрузку в средства защиты и системы
мониторинга (SIEM)
TI-платформы
MITRE CRiTs
IT-ISAC на базе Anomali ThreatStream
31. Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответствия
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источники
Другие системы
Платформа
SOC
Сервисы
корпорат.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
32. Системы записей Стандартизация Регистрация
Ответвители (tap)
Полномочия и круг
задач
Коммуникации
Почему многие SOC проваливаются?
34. Особенности распространения
информации
• Два вида информации – открытая (для
всех, но не вся) и закрытая (для
ограниченного круга лиц)
• Доступ к закрытой информации требует
прохождения особой процедуры
подключения через CDC
• Процедура подключения может быть
прозрачной и формализованной или не
очень
Обмен информацией
📡
35. Стандартизация обмена информацией
об угрозах
• TLP – «раскрашивает» угрозу в
зависимости от уровня
публичности/конфиденциальности
• STIX / TAXII – обмен информацией об
угрозах / акторах
• OpenIOC – стандарт описания
индикаторов компрометации
• YARA - стандарт описания индикаторов
компрометации
Множество стандартов
🔌
36. Как классифицируются индикаторы
компрометации (TLP)?
Цвет Значение
Red Recipients may not share TLP: RED information with any parties
outside of the specific exchange, meeting, or conversation in
which it is originally disclosed.
Amber Recipients may only share TLP: AMBER information with
members of their own organisation who need to know, and only
as widely as necessary to act on that information..
Green Recipients may share TLP: GREEN information with peers and
partner organisations within their sector or community, but not via
publicly accessible channels.
White TLP: WHITE information may be distributed without restriction,
subject to copyright controls.
38. Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответствия
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источники
Другие системы
Платформа
SOC
Сервисы
корпорат.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
39. IRP – один из ключевых элементов
технологического стека CDC
40. Сколько инцидентов должен
обрабатывать CDC?
• Австралийский NCSC –
720 инцидентов в
госорганах в год
• Британский NCSC – 1131
инцидент в госорганах в
год
• Голландский NCSC – 600
инцидентов в год
Около 1000 инцидентов в год
41. THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,364,087
20,529
1,978 INCIDENTS MANAGED (QTR)
DNS-RPZ
BGP Blackhole
WSA
ESA
ANTIVIRUS
HIPS
ENDPOINT AMP
CSIRT
Prevention
2,417,877,715 = TOTAL THREATS PREVENTED(QTR)
Detection
Сколько инцидентов поступает в Cisco
CSIRT?
42. Кто расследует инциденты в NCSC?
Национальная
безопасность
• Схема CIR (Cyber Incident
Response)
• Внешние компании,
аккредитованные NCSC и
CPNI
Академические,
промышленные,
муниципальные структуры
• Схема CSIR (Cyber
Security Incident Response)
• Внешние компании,
аккредитованные CREST
(Council of Registered
Ethical Security Testers)
43. На ком стоит CREST?
• Некоммерческая организация с штаб-
квартирой в Великобритании
• Существует с 2006-го года
• Аккредитует компании,
специализирующиеся на пентестах,
эмуляции атак, Threat Intelligence,
реагировании на инциденты
• Аккредитует компании на разные регионы
(EMEA, Америка, Азия и Австралия)
• Cisco, Deloitte, KPMG, Mandiant, PwC,
Rapid7, Trustwave и др.
CREST
44. Почему NCSC использует внешние
компании?
Потребность в
специалистах по
кибербезопасности в
12 раз выше, чем в
ИТ-специалистах
Нехватка специалистов
по кибербезопасности
в России составляет
около 55-60 тысяч
человек при ежегодной
подготовке 25500
человек
Компании с недостатком
специалистов, тратят на
борьбу с последствиями
атак в среднем в 5 раз
больше
?
Мировая нехватка
специалистов по
кибербезопасности
составит к 2020-му
году 1 миллион
человек
Security
Team
45. Сколько людей нужно в CDC?
• В Microsoft Cyber Defense
Operations Center работает
50 человек, в Cisco CSIRT –
103, в Ростелекоме – 25 и
идет еще набор, в Solar
JSOC - 60 и также идет
набор, Сбербанк
озвучивает цифру в 400
человек, у ЛК – 14 человек
47. Структура Cisco CSIRT
NetFlow System Logs
Разведка и
исследования
5
Аналитики APT
15
Следователи
25/26
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Операционные инженеры6/26
48. NATO NCIRC
Уровень 1
• Координация и поддержка
• Приоритезация
• 4 человека
Уровень 2
• Операционное и
техническое управление
• Управление событиями
безопасности
• Онлайн расследование
инцидентов
• Анализ вредоносного кода
• Системы поддержки
принятия решений
• Репозиторий информации
• IA
• Dynamic Risk Assessment
• Оценка и управления
рисками
• 80 человек
Уровень 3
• Администрирование
локальных системы и
средств защиты
• Расширенные защитные
системы
• Анализ защищенности
• IDS и IPS
• Управление логами
• Захват всех пакетов
• Расследование на местах
• 250 человек
50. Регулярные киберучения для повышения квалификации
Identity Services Engine
Flow Collector FC
SMCStealthWatch Management Internet
IXIA
Breaking Point Open Source Attack
Tools
Inside Host
NetFlow
AVC
TrustSec
Wireless Security
ASA NGFW
Cisco Talos
Web Security Appliance
Email Security Appliance
Stealthwatch
Sourcefire IPS
Splunk
Cisco
Prime
Fire
SIGHT
Data Analytics
N1KV
ASAv
Virtual Security
51. Типовой состав киберучений в Cisco
• Вредоносный код
• Спам
• Утечка информации
• Фишинг
• Доступ к ненужным для
работы сайтам
• Сканирование
• Проникновение извне
• Подмена устройств
• Реализация APT
• Кража
идентификационных
данных
• Фальшивые точки
беспроводного доступа
• Атаки на
виртуализированные
инфраструктуры,
включая и центры
обработки данных
• Атаки на мобильные
устройства
• Техники обхода средств
защиты
• DDoS-атаки
• Взаимодействие с C&C-
серверами
• И другие.
52. Ключевые особенности при
построении национального CDC
Квалифициро-
ванные ресурсы
Хорошие
инвестиции в
технологии
Построение
федеративной
модели
Достижение
высокой
видимости и
точности
Эффективные
коммуникации и
взаимодействие
53. Инженеры службы
Cisco по ИБ
поделились своим
опытом выстраивания
Cisco SOC и
процессов
реагирования на
инциденты в книгах
В заключение
53