SlideShare a Scribd company logo

Особенности построения национальных центров мониторинга киберугроз

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация по особенностям построения национальных центров мониторинга (CDC)

Technology
1 of 54
Download to read offline
27 октября 2017 Cisco Infosec Representative Cisco Security Ninja Blue Belt Cisco Security Advocate Особенности построения национальных центров мониторинга киберугроз Алексей Лукацкий
Disclaimer За 30 минут нельзя рассказать о том, как построить национальный центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
Зачем нужен центр мониторинга? Bitglass 205 Trustwave 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200 Verizon 240
SOC vs CDC SOC • Обслуживает одну компанию • Обеспечивает мониторинг в реальном времени • Одна служба ИБ • Тесная интеграция с эксплуатацией СрЗИ CDC • Обслуживает государство (множество госорганов) • Координация усилий множества служб ИБ • Зачастую отсутствие доступа к СрЗИ
Международный CDC Корпоративный SOC Корпоративный SOC Частный SOC Частный SOC Частный SOC Частный SOC Связь SOC и CDC Частный SOC Национальный CDC Отраслевой SOC/CERT Корпоративный SOC Государственный SOC Частный SOC Международный CDC
Национальный CDC Отраслевой CDC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Пример разделения полномочий § Услуги объединяются между национальным, отраслевыми CDC и корпоративными SOCами § Дополнительная поддержка от внешних организаций
Что такое национальные и отраслевые средства защиты? Например, система управления Интернет- трафиком (в России, в Китае и др.) или удостоверяющие центры Национальные СрЗИ 🛠 Например, национальная система антифрода в платежных системах Отраслевые СрЗИ
Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: CDC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство CDC Технологический стек Фаза 3: CDC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк CDC Работает! План создания CDC Трансформация Строительство CDC (помещение) Фаза 0: CDC Концепция Эталон Архитектура Спецификации Функционирование
Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
…но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
Пример описания сервиса Источники Другие команды Cyber Intelligence Service Cyber Analytics Service Управление активами Исходныеданные Security telemetry Sources Alerts, incident reports and incident tickets Intelligence Analysis results Anomaly and suspicious activity reports Digital forensics results Asset information Reporting requirements Breach notifications Компоненты Cyber Security Monitoring Cyber Security Investigation and Escalation Cyber Security Incident Remediation Coordination Выходныеданные Кейсы Тикеты Выводы Метрики Отчеты Семплы файлов и данных Обновления базы знаний Playbooks Потребители IT-команда Другие команды Управление инцидентами предприятия Другие CDC сервисы и команды Юристы Управление персоналом Преимущества: Мониторинг ИБ, расследование и реагирование минимизируют недоступность оказания ИТ- сервисов и снижают ущерб и уменьшают влияние компрометации системы за счет идентификации, исследования, эскалации и координации реагирования на потенциальные инциденты в кратчайшие сроки и с высокой точностью. Описание сервиса: Этот сервис обеспечивает координацию мониторинга ИБ, расследования и реагирования на инциденты в государстве. Небольшие гибкие команды аналитиков отвечают за предоставление полного спектра услуг, а также поддержку связанных задач, используя платформу управления кейсами ИБ. Параметры уровня сервиса: покрытие сервиса, время, качество
Типичные сервисы CDC • Реагирование на инциденты национального масштаба • Threat Intelligence для национальной безопасности • Национальная аналитика • Исследования • Тренинги, киберучения, обучение
Возможны и иные сервисы планирует оказывать услуги расследования инцидентов для российских банков с помощью собственной лаборатории ФинЦЕРТ " обеспечивает установку в сетях избранных госорганов системы обнаружения атак для оперативного мониторинга ГосСОПКА предоставляет защищенный доступ госорганов к Интернет RSNet
Возможны и иные сервисы • Защищенный DNS-сервис для государственных органов Великобритании • Web Check – защита государственных Web-сайтов • Борьба с фишинговыми и вредоносными ресурсами (совместно с Netcraft) • Mail Check - защита электронной почты от спуфинга NCSC
Почему нет мониторинга? 15 • SDC – это не продукт, а сбалансированное применение 4-х элементов – людей, процессов, технологий и политик • Обеспечение кибербезопасности требует вовлечения различных подразделений, а не является прерогативой только службы ИБ • Именно сложность координации осложняет мониторинг в реальном времени, присущий корпоративным SOC Люди Процессы Политики Технологии
На что обратить внимание? Разработка команды - На все сервисы - Набор - План развития - Тренинги и повышение квалификации - Передача знаний - Программа удержание персонала Разработка процессов - Governance - Политики - Технологические стандарты - Процессы CDC - Процедуры CDC - Интеграция процессов Разработка технологического стека - Тактические улучшения - Аналитика ИБ - Управление кейсами - База знаний - Расследование - Платф.обучения - Интеграция Ротация кадров в корпоративных SOC - 80-90% (в государственных еще выше)
Аналитика ИБ в реальном времени Аналитика ретроспектив- ная Система управления кейсами и инцидентами Платформа Threat Intelligence Платформа расследования Решения по нейтрализации угроз Системы коммуникаций и взаимодействия Платформы управления сервисами и знаниями Основы технологического стека CDC
Архитектура технологического стека CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
От защиты на уровне отдельных госорганов к защите на уровне государства ОблакоГибридный вариантУправление CPE IPS WEB EMAIL MALWARE CONTEXT W W W NGFW VPN IPS WEB EMAIL MALWARE CONTEXT SWITCHING NAT DHCP AP VOICE ROUTING W W W SWITCHING AP VOICE SWITCHING AP VOICEROUTING NAT DHCP NGFW VPN NGFW VPN IPS WEB EMAIL MALWARE CONTEXT W W W NAT DHCP ROUTING NGFW VPN IPS WEB EMAIL MALWARE CONTEXT SWITCHING NAT DHCP AP VOICE ROUTING W W W Госорган защищает себя сам
Что такое Hosted Security? Уровень оркестрации Уровень сервисов Инфраструктура • Предоставляется на базе инфраструктуры государственного оператора связи • Решения по оркестрации • Интерфейсы оркестратора для настройки устройств • Все пользовательские данные находятся в облаке SP • Решения в виртуальном исполнении уже доступны VMware ESXi или KVM Cisco UCS Хранение NGFSv WSGv ESGv Tenant 1 RouterV WSGv ESGv Tenant 2 FWv RouterV Tenant 3 Политики Аналитика Отчетность Оркестрация, биллинг и отчетность SP • Provisioning API • Reporting API • Billing API Платформы безопасности WSGv+Shared EDR EDRv EDRv ESGv+Shared EDR Песочница NGFWv RouterV Tenant 4 WSGv+Public EDR ESGv+Public EDR
Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
Основа CDC (как и SOC) – это не только SIEM NTA EDR SIEM UEBA / CASB
Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
Пример Cisco: мобильный SOC
Состав мобильного SOC (в части ИБ) • Cisco ASA 5545-X • Cisco NGIPS (FirePOWER 7150) • Cisco Stealthwatch • Cisco S300V Web Security Appliance • Cisco AMP for Content / Network • Cisco Netflow Generation Appliance 3340 • CSIRT PDNS и Cisco Umbrella • Splunk • BGP Black Hole/Quarantine • Функции DLP • Сбор Syslog • Qualys • RedSeal
Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
Threat Intelligence обогащает события безопасности - знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п. Threat Intelligence CDCFree / Open Source Государство ISAC Коммерчес- кие Частные Внутренние
Threat Intelligence от ГосСОПКИ
Threat Intelligence от ФинЦЕРТ
Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
Системы записей Стандартизация Регистрация Ответвители (tap) Полномочия и круг задач Коммуникации Почему многие SOC проваливаются?
Руководства и рекомендации
Особенности распространения информации • Два вида информации – открытая (для всех, но не вся) и закрытая (для ограниченного круга лиц) • Доступ к закрытой информации требует прохождения особой процедуры подключения через CDC • Процедура подключения может быть прозрачной и формализованной или не очень Обмен информацией 📡
Стандартизация обмена информацией об угрозах • TLP – «раскрашивает» угрозу в зависимости от уровня публичности/конфиденциальности • STIX / TAXII – обмен информацией об угрозах / акторах • OpenIOC – стандарт описания индикаторов компрометации • YARA - стандарт описания индикаторов компрометации Множество стандартов 🔌
Как классифицируются индикаторы компрометации (TLP)? Цвет Значение Red Recipients may not share TLP: RED information with any parties outside of the specific exchange, meeting, or conversation in which it is originally disclosed. Amber Recipients may only share TLP: AMBER information with members of their own organisation who need to know, and only as widely as necessary to act on that information.. Green Recipients may share TLP: GREEN information with peers and partner organisations within their sector or community, but not via publicly accessible channels. White TLP: WHITE information may be distributed without restriction, subject to copyright controls.
ГосСОПКА использует TLP
Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
IRP – один из ключевых элементов технологического стека CDC
Сколько инцидентов должен обрабатывать CDC? • Австралийский NCSC – 720 инцидентов в госорганах в год • Британский NCSC – 1131 инцидент в госорганах в год • Голландский NCSC – 600 инцидентов в год Около 1000 инцидентов в год
THE INTERNET CISCO ASSETS THREATS PER QUARTER THREAT DEFENCE 1,558,649,099 39,778,560 19,862,979 770,399,963 25,802,498 3,364,087 20,529 1,978 INCIDENTS MANAGED (QTR) DNS-RPZ BGP Blackhole WSA ESA ANTIVIRUS HIPS ENDPOINT AMP CSIRT Prevention 2,417,877,715 = TOTAL THREATS PREVENTED(QTR) Detection Сколько инцидентов поступает в Cisco CSIRT?
Кто расследует инциденты в NCSC? Национальная безопасность • Схема CIR (Cyber Incident Response) • Внешние компании, аккредитованные NCSC и CPNI Академические, промышленные, муниципальные структуры • Схема CSIR (Cyber Security Incident Response) • Внешние компании, аккредитованные CREST (Council of Registered Ethical Security Testers)
На ком стоит CREST? • Некоммерческая организация с штаб- квартирой в Великобритании • Существует с 2006-го года • Аккредитует компании, специализирующиеся на пентестах, эмуляции атак, Threat Intelligence, реагировании на инциденты • Аккредитует компании на разные регионы (EMEA, Америка, Азия и Австралия) • Cisco, Deloitte, KPMG, Mandiant, PwC, Rapid7, Trustwave и др. CREST
Почему NCSC использует внешние компании? Потребность в специалистах по кибербезопасности в 12 раз выше, чем в ИТ-специалистах Нехватка специалистов по кибербезопасности в России составляет около 55-60 тысяч человек при ежегодной подготовке 25500 человек Компании с недостатком специалистов, тратят на борьбу с последствиями атак в среднем в 5 раз больше ? Мировая нехватка специалистов по кибербезопасности составит к 2020-му году 1 миллион человек Security Team
Сколько людей нужно в CDC? • В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек
Структура CDC Руководитель CDC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов
Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
NATO NCIRC Уровень 1 • Координация и поддержка • Приоритезация • 4 человека Уровень 2 • Операционное и техническое управление • Управление событиями безопасности • Онлайн расследование инцидентов • Анализ вредоносного кода • Системы поддержки принятия решений • Репозиторий информации • IA • Dynamic Risk Assessment • Оценка и управления рисками • 80 человек Уровень 3 • Администрирование локальных системы и средств защиты • Расширенные защитные системы • Анализ защищенности • IDS и IPS • Управление логами • Захват всех пакетов • Расследование на местах • 250 человек
24х7 или 5х8? Бизнес-часы Бизнес-часы с дополнительной нагрузкой 24x7 Внутренняя команда Контракторы Провайдеры услуг Гибридная модель
Регулярные киберучения для повышения квалификации Identity Services Engine Flow Collector FC SMCStealthWatch Management Internet IXIA Breaking Point Open Source Attack Tools Inside Host NetFlow AVC TrustSec Wireless Security ASA NGFW Cisco Talos Web Security Appliance Email Security Appliance Stealthwatch Sourcefire IPS Splunk Cisco Prime Fire SIGHT Data Analytics N1KV ASAv Virtual Security
Типовой состав киберучений в Cisco • Вредоносный код • Спам • Утечка информации • Фишинг • Доступ к ненужным для работы сайтам • Сканирование • Проникновение извне • Подмена устройств • Реализация APT • Кража идентификационных данных • Фальшивые точки беспроводного доступа • Атаки на виртуализированные инфраструктуры, включая и центры обработки данных • Атаки на мобильные устройства • Техники обхода средств защиты • DDoS-атаки • Взаимодействие с C&C- серверами • И другие.
Ключевые особенности при построении национального CDC Квалифициро- ванные ресурсы Хорошие инвестиции в технологии Построение федеративной модели Достижение высокой видимости и точности Эффективные коммуникации и взаимодействие
Инженеры службы Cisco по ИБ поделились своим опытом выстраивания Cisco SOC и процессов реагирования на инциденты в книгах В заключение 53
Спасибо! alukatsk@cisco.com

Recommended

Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 

Recommended

Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 

What's hot (20)

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 

Similar to Особенности построения национальных центров мониторинга киберугроз

Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский InfowatchExpolink
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
Softline
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
Ken Tulegenov
 
SICenter - презентация по BSM (Business Service Management) - системам монито...
SICenter - презентация по BSM (Business Service Management) - системам монито...SICenter - презентация по BSM (Business Service Management) - системам монито...
SICenter - презентация по BSM (Business Service Management) - системам монито...
Yuriy Eysmont
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
Cisco Russia
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Expolink
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
КРОК
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Cisco Russia
 
#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT
Yuri Yashkin
 
Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России
Cisco Russia
 

Similar to Особенности построения национальных центров мониторинга киберугроз (20)

Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
контроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatchконтроль информационных потоков белинский Infowatch
контроль информационных потоков белинский Infowatch
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
 
SICenter - презентация по BSM (Business Service Management) - системам монито...
SICenter - презентация по BSM (Business Service Management) - системам монито...SICenter - презентация по BSM (Business Service Management) - системам монито...
SICenter - презентация по BSM (Business Service Management) - системам монито...
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОД
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
 
#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT#DisccovertheNEW Micro Focus с #командой MONT
#DisccovertheNEW Micro Focus с #командой MONT
 
Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России Презентация Cisco Tetration Analytics в России
Презентация Cisco Tetration Analytics в России
 

More from Aleksey Lukatskiy

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 

Особенности построения национальных центров мониторинга киберугроз

  • 1. 27 октября 2017 Cisco Infosec Representative Cisco Security Ninja Blue Belt Cisco Security Advocate Особенности построения национальных центров мониторинга киберугроз Алексей Лукацкий
  • 2. Disclaimer За 30 минут нельзя рассказать о том, как построить национальный центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
  • 3. Зачем нужен центр мониторинга? Bitglass 205 Trustwave 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200 Verizon 240
  • 4. SOC vs CDC SOC • Обслуживает одну компанию • Обеспечивает мониторинг в реальном времени • Одна служба ИБ • Тесная интеграция с эксплуатацией СрЗИ CDC • Обслуживает государство (множество госорганов) • Координация усилий множества служб ИБ • Зачастую отсутствие доступа к СрЗИ
  • 5. Международный CDC Корпоративный SOC Корпоративный SOC Частный SOC Частный SOC Частный SOC Частный SOC Связь SOC и CDC Частный SOC Национальный CDC Отраслевой SOC/CERT Корпоративный SOC Государственный SOC Частный SOC Международный CDC
  • 6. Национальный CDC Отраслевой CDC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Пример разделения полномочий § Услуги объединяются между национальным, отраслевыми CDC и корпоративными SOCами § Дополнительная поддержка от внешних организаций
  • 7. Что такое национальные и отраслевые средства защиты? Например, система управления Интернет- трафиком (в России, в Китае и др.) или удостоверяющие центры Национальные СрЗИ 🛠 Например, национальная система антифрода в платежных системах Отраслевые СрЗИ
  • 8. Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: CDC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство CDC Технологический стек Фаза 3: CDC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк CDC Работает! План создания CDC Трансформация Строительство CDC (помещение) Фаза 0: CDC Концепция Эталон Архитектура Спецификации Функционирование
  • 9. Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
  • 10. …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
  • 11. Пример описания сервиса Источники Другие команды Cyber Intelligence Service Cyber Analytics Service Управление активами Исходныеданные Security telemetry Sources Alerts, incident reports and incident tickets Intelligence Analysis results Anomaly and suspicious activity reports Digital forensics results Asset information Reporting requirements Breach notifications Компоненты Cyber Security Monitoring Cyber Security Investigation and Escalation Cyber Security Incident Remediation Coordination Выходныеданные Кейсы Тикеты Выводы Метрики Отчеты Семплы файлов и данных Обновления базы знаний Playbooks Потребители IT-команда Другие команды Управление инцидентами предприятия Другие CDC сервисы и команды Юристы Управление персоналом Преимущества: Мониторинг ИБ, расследование и реагирование минимизируют недоступность оказания ИТ- сервисов и снижают ущерб и уменьшают влияние компрометации системы за счет идентификации, исследования, эскалации и координации реагирования на потенциальные инциденты в кратчайшие сроки и с высокой точностью. Описание сервиса: Этот сервис обеспечивает координацию мониторинга ИБ, расследования и реагирования на инциденты в государстве. Небольшие гибкие команды аналитиков отвечают за предоставление полного спектра услуг, а также поддержку связанных задач, используя платформу управления кейсами ИБ. Параметры уровня сервиса: покрытие сервиса, время, качество
  • 12. Типичные сервисы CDC • Реагирование на инциденты национального масштаба • Threat Intelligence для национальной безопасности • Национальная аналитика • Исследования • Тренинги, киберучения, обучение
  • 13. Возможны и иные сервисы планирует оказывать услуги расследования инцидентов для российских банков с помощью собственной лаборатории ФинЦЕРТ " обеспечивает установку в сетях избранных госорганов системы обнаружения атак для оперативного мониторинга ГосСОПКА предоставляет защищенный доступ госорганов к Интернет RSNet
  • 14. Возможны и иные сервисы • Защищенный DNS-сервис для государственных органов Великобритании • Web Check – защита государственных Web-сайтов • Борьба с фишинговыми и вредоносными ресурсами (совместно с Netcraft) • Mail Check - защита электронной почты от спуфинга NCSC
  • 15. Почему нет мониторинга? 15 • SDC – это не продукт, а сбалансированное применение 4-х элементов – людей, процессов, технологий и политик • Обеспечение кибербезопасности требует вовлечения различных подразделений, а не является прерогативой только службы ИБ • Именно сложность координации осложняет мониторинг в реальном времени, присущий корпоративным SOC Люди Процессы Политики Технологии
  • 16. На что обратить внимание? Разработка команды - На все сервисы - Набор - План развития - Тренинги и повышение квалификации - Передача знаний - Программа удержание персонала Разработка процессов - Governance - Политики - Технологические стандарты - Процессы CDC - Процедуры CDC - Интеграция процессов Разработка технологического стека - Тактические улучшения - Аналитика ИБ - Управление кейсами - База знаний - Расследование - Платф.обучения - Интеграция Ротация кадров в корпоративных SOC - 80-90% (в государственных еще выше)
  • 17. Аналитика ИБ в реальном времени Аналитика ретроспектив- ная Система управления кейсами и инцидентами Платформа Threat Intelligence Платформа расследования Решения по нейтрализации угроз Системы коммуникаций и взаимодействия Платформы управления сервисами и знаниями Основы технологического стека CDC
  • 18. Архитектура технологического стека CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  • 19. От защиты на уровне отдельных госорганов к защите на уровне государства ОблакоГибридный вариантУправление CPE IPS WEB EMAIL MALWARE CONTEXT W W W NGFW VPN IPS WEB EMAIL MALWARE CONTEXT SWITCHING NAT DHCP AP VOICE ROUTING W W W SWITCHING AP VOICE SWITCHING AP VOICEROUTING NAT DHCP NGFW VPN NGFW VPN IPS WEB EMAIL MALWARE CONTEXT W W W NAT DHCP ROUTING NGFW VPN IPS WEB EMAIL MALWARE CONTEXT SWITCHING NAT DHCP AP VOICE ROUTING W W W Госорган защищает себя сам
  • 20. Что такое Hosted Security? Уровень оркестрации Уровень сервисов Инфраструктура • Предоставляется на базе инфраструктуры государственного оператора связи • Решения по оркестрации • Интерфейсы оркестратора для настройки устройств • Все пользовательские данные находятся в облаке SP • Решения в виртуальном исполнении уже доступны VMware ESXi или KVM Cisco UCS Хранение NGFSv WSGv ESGv Tenant 1 RouterV WSGv ESGv Tenant 2 FWv RouterV Tenant 3 Политики Аналитика Отчетность Оркестрация, биллинг и отчетность SP • Provisioning API • Reporting API • Billing API Платформы безопасности WSGv+Shared EDR EDRv EDRv ESGv+Shared EDR Песочница NGFWv RouterV Tenant 4 WSGv+Public EDR ESGv+Public EDR
  • 21. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  • 22. Основа CDC (как и SOC) – это не только SIEM NTA EDR SIEM UEBA / CASB
  • 23. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  • 25. Состав мобильного SOC (в части ИБ) • Cisco ASA 5545-X • Cisco NGIPS (FirePOWER 7150) • Cisco Stealthwatch • Cisco S300V Web Security Appliance • Cisco AMP for Content / Network • Cisco Netflow Generation Appliance 3340 • CSIRT PDNS и Cisco Umbrella • Splunk • BGP Black Hole/Quarantine • Функции DLP • Сбор Syslog • Qualys • RedSeal
  • 26. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  • 27. Threat Intelligence обогащает события безопасности - знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п. Threat Intelligence CDCFree / Open Source Государство ISAC Коммерчес- кие Частные Внутренние
  • 28. Threat Intelligence от ГосСОПКИ
  • 29. Threat Intelligence от ФинЦЕРТ
  • 30. Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
  • 31. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  • 32. Системы записей Стандартизация Регистрация Ответвители (tap) Полномочия и круг задач Коммуникации Почему многие SOC проваливаются?
  • 34. Особенности распространения информации • Два вида информации – открытая (для всех, но не вся) и закрытая (для ограниченного круга лиц) • Доступ к закрытой информации требует прохождения особой процедуры подключения через CDC • Процедура подключения может быть прозрачной и формализованной или не очень Обмен информацией 📡
  • 35. Стандартизация обмена информацией об угрозах • TLP – «раскрашивает» угрозу в зависимости от уровня публичности/конфиденциальности • STIX / TAXII – обмен информацией об угрозах / акторах • OpenIOC – стандарт описания индикаторов компрометации • YARA - стандарт описания индикаторов компрометации Множество стандартов 🔌
  • 36. Как классифицируются индикаторы компрометации (TLP)? Цвет Значение Red Recipients may not share TLP: RED information with any parties outside of the specific exchange, meeting, or conversation in which it is originally disclosed. Amber Recipients may only share TLP: AMBER information with members of their own organisation who need to know, and only as widely as necessary to act on that information.. Green Recipients may share TLP: GREEN information with peers and partner organisations within their sector or community, but not via publicly accessible channels. White TLP: WHITE information may be distributed without restriction, subject to copyright controls.
  • 38. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  • 39. IRP – один из ключевых элементов технологического стека CDC
  • 40. Сколько инцидентов должен обрабатывать CDC? • Австралийский NCSC – 720 инцидентов в госорганах в год • Британский NCSC – 1131 инцидент в госорганах в год • Голландский NCSC – 600 инцидентов в год Около 1000 инцидентов в год
  • 41. THE INTERNET CISCO ASSETS THREATS PER QUARTER THREAT DEFENCE 1,558,649,099 39,778,560 19,862,979 770,399,963 25,802,498 3,364,087 20,529 1,978 INCIDENTS MANAGED (QTR) DNS-RPZ BGP Blackhole WSA ESA ANTIVIRUS HIPS ENDPOINT AMP CSIRT Prevention 2,417,877,715 = TOTAL THREATS PREVENTED(QTR) Detection Сколько инцидентов поступает в Cisco CSIRT?
  • 42. Кто расследует инциденты в NCSC? Национальная безопасность • Схема CIR (Cyber Incident Response) • Внешние компании, аккредитованные NCSC и CPNI Академические, промышленные, муниципальные структуры • Схема CSIR (Cyber Security Incident Response) • Внешние компании, аккредитованные CREST (Council of Registered Ethical Security Testers)
  • 43. На ком стоит CREST? • Некоммерческая организация с штаб- квартирой в Великобритании • Существует с 2006-го года • Аккредитует компании, специализирующиеся на пентестах, эмуляции атак, Threat Intelligence, реагировании на инциденты • Аккредитует компании на разные регионы (EMEA, Америка, Азия и Австралия) • Cisco, Deloitte, KPMG, Mandiant, PwC, Rapid7, Trustwave и др. CREST
  • 44. Почему NCSC использует внешние компании? Потребность в специалистах по кибербезопасности в 12 раз выше, чем в ИТ-специалистах Нехватка специалистов по кибербезопасности в России составляет около 55-60 тысяч человек при ежегодной подготовке 25500 человек Компании с недостатком специалистов, тратят на борьбу с последствиями атак в среднем в 5 раз больше ? Мировая нехватка специалистов по кибербезопасности составит к 2020-му году 1 миллион человек Security Team
  • 45. Сколько людей нужно в CDC? • В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек
  • 47. Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
  • 48. NATO NCIRC Уровень 1 • Координация и поддержка • Приоритезация • 4 человека Уровень 2 • Операционное и техническое управление • Управление событиями безопасности • Онлайн расследование инцидентов • Анализ вредоносного кода • Системы поддержки принятия решений • Репозиторий информации • IA • Dynamic Risk Assessment • Оценка и управления рисками • 80 человек Уровень 3 • Администрирование локальных системы и средств защиты • Расширенные защитные системы • Анализ защищенности • IDS и IPS • Управление логами • Захват всех пакетов • Расследование на местах • 250 человек
  • 49. 24х7 или 5х8? Бизнес-часы Бизнес-часы с дополнительной нагрузкой 24x7 Внутренняя команда Контракторы Провайдеры услуг Гибридная модель
  • 50. Регулярные киберучения для повышения квалификации Identity Services Engine Flow Collector FC SMCStealthWatch Management Internet IXIA Breaking Point Open Source Attack Tools Inside Host NetFlow AVC TrustSec Wireless Security ASA NGFW Cisco Talos Web Security Appliance Email Security Appliance Stealthwatch Sourcefire IPS Splunk Cisco Prime Fire SIGHT Data Analytics N1KV ASAv Virtual Security
  • 51. Типовой состав киберучений в Cisco • Вредоносный код • Спам • Утечка информации • Фишинг • Доступ к ненужным для работы сайтам • Сканирование • Проникновение извне • Подмена устройств • Реализация APT • Кража идентификационных данных • Фальшивые точки беспроводного доступа • Атаки на виртуализированные инфраструктуры, включая и центры обработки данных • Атаки на мобильные устройства • Техники обхода средств защиты • DDoS-атаки • Взаимодействие с C&C- серверами • И другие.
  • 52. Ключевые особенности при построении национального CDC Квалифициро- ванные ресурсы Хорошие инвестиции в технологии Построение федеративной модели Достижение высокой видимости и точности Эффективные коммуникации и взаимодействие
  • 53. Инженеры службы Cisco по ИБ поделились своим опытом выстраивания Cisco SOC и процессов реагирования на инциденты в книгах В заключение 53