Аутсорсинг системы мониторинга событий информационной безопасностиДмитрий ПетращукCISA, CEH, CISSP, ISO27001LACopyright © ...
О чем пойдет речь• Что такое система мониторинга событий  ИБ• Почему SIEM-системы не работают?• Как превратить SIEM в SOC•...
Что такое SIEM                 Copyright © BMS consulting, 12.10.2012   3
Система мониторинга событий ИБ(SIEM)• Сбор журналов из ОС, БД, приложений, сетевых  устройств и средств защиты• (Возможно)...
Результаты внедрения SIEM• «Система оказалась слишком сложной»• «Нужно постоянно писать новые правила. Этим некому  занима...
Исследования               Copyright © BMS consulting, 12.10.2012   6
SIEM это не только•   Программно-аппаратный комплекс•   Персонал, команды аналитики и реагирования•   Процессы, процедуры,...
Аутсорсинг•   Для непрофильной деятельности•   Вспомогательные бизнес-процессы•   То, что другие делают лучше•   Эпизодичн...
SIEM на аутсорсинг• ЗА  –    Снижение операционных затрат  –    Гарантированная поддержка  –    Независимая аналитика  –  ...
Схемы SIEM-аутсорсинга1. Все системы у провайдера. Вам нужно только собрать   и перенаправить журналы.2. В сети стоят колл...
Что нужно для успеха• Правильная интеграция (приложения,  пользователи, VA, IPS, FW)• Тщательная проработка процессов• Под...
Что требовать от провайдера• Компетентности• Опыта :-/• Фиксировать время уведомления/эскалации• Четко прописывать процеду...
Выводы• Аутсорсинг SIEM возможен• Для большинства компаний это лучший  сценарий развития проекта• Аутсорсинг будет успешен...
Спасибо за внимание!                                            Дмитрий Петращук                        Dmitriy_Petrashchu...
Upcoming SlideShare
Loading in …5
×

Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безопасности

798 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
798
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безопасности

  1. 1. Аутсорсинг системы мониторинга событий информационной безопасностиДмитрий ПетращукCISA, CEH, CISSP, ISO27001LACopyright © BMS consulting, 12.10.2012
  2. 2. О чем пойдет речь• Что такое система мониторинга событий ИБ• Почему SIEM-системы не работают?• Как превратить SIEM в SOC• Пять причин для аутсорсинга• Шесть схем аутсорсинга SIEM• Что должно быть в SLA• Как извлечь из этого выгоду Copyright © BMS consulting, 12.10.2012 2
  3. 3. Что такое SIEM Copyright © BMS consulting, 12.10.2012 3
  4. 4. Система мониторинга событий ИБ(SIEM)• Сбор журналов из ОС, БД, приложений, сетевых устройств и средств защиты• (Возможно) перехват и анализ сетевых соединений• Фильтрация, нормализация, корреляция• Уведомление, автоматические действия, отчеты• Открытие, ведение и закрытие кейса инцидента• Хранение и расследование || Управление инцидентами ИБ Copyright © BMS consulting, 12.10.2012 4
  5. 5. Результаты внедрения SIEM• «Система оказалась слишком сложной»• «Нужно постоянно писать новые правила. Этим некому заниматься»• «Мы завели на нее все логи. Система упала»• «Логи собирает. Но где там инциденты?»• «У нас ежедневно возникает около 100 инцидентов»• «Инциденты мы видим, но что с ними делать не знаем»• «Мы снова ищем специалиста, который будет следить за этой системой»• «Мы о ней вспоминаем только во время аудита» Copyright © BMS consulting, 12.10.2012 5
  6. 6. Исследования Copyright © BMS consulting, 12.10.2012 6
  7. 7. SIEM это не только• Программно-аппаратный комплекс• Персонал, команды аналитики и реагирования• Процессы, процедуры, Workflow• Интеграция и корреляция• Инфраструктура• Хранилище логов• База знаний Security Operation Center• Схемы взаимодействия Copyright © BMS consulting, 12.10.2012 7
  8. 8. Аутсорсинг• Для непрофильной деятельности• Вспомогательные бизнес-процессы• То, что другие делают лучше• Эпизодичность, периодичность или рутина• Нет коммерческой тайны Copyright © BMS consulting, 12.10.2012 8
  9. 9. SIEM на аутсорсинг• ЗА – Снижение операционных затрат – Гарантированная поддержка – Независимая аналитика – Внешняя экспертиза – Ответственность за результат• ПРОТИВ – Риск утечки сведений – Может быть недешевым – Усложнение инфраструктуры – Усложнение процессов – Отсутствие гарантии качества Copyright © BMS consulting, 12.10.2012 9
  10. 10. Схемы SIEM-аутсорсинга1. Все системы у провайдера. Вам нужно только собрать и перенаправить журналы.2. В сети стоят коллекторы, отправляя события провайдеру3. У вас развернут SIEM. База данных реплицируется провайдеру4. У вас развернут SIEM. Аналитики провайдера удаленно работают с интерфейсом5. У вас развернут SIEM. Аналитики провайдера работают на вашей площадке (= аутстаффинг)6. Аутсорсинг отдельных услуг в рамках SOC (анализ уязвимостей, сбор статистики, технологическая экспертиза) Copyright © BMS consulting, 12.10.2012 10
  11. 11. Что нужно для успеха• Правильная интеграция (приложения, пользователи, VA, IPS, FW)• Тщательная проработка процессов• Подробный SLA• Тесное взаимодействие между ИТ – ИБ – провайдер• Доверие Copyright © BMS consulting, 12.10.2012 11
  12. 12. Что требовать от провайдера• Компетентности• Опыта :-/• Фиксировать время уведомления/эскалации• Четко прописывать процедуру эскалации• Предусматривать процедуру расширения системы: новые журналы, отчеты, корреляционные правила, процессы• Управление изменениями• Показатели эффективности KPI Copyright © BMS consulting, 12.10.2012 12
  13. 13. Выводы• Аутсорсинг SIEM возможен• Для большинства компаний это лучший сценарий развития проекта• Аутсорсинг будет успешен в случае: – Качественной программной платформы SIEM – Продуманной инфраструктуры/интеграции – Профессионализма провайдера – Четких и жестких правил взаимодействия – Поддержки от заинтересованных сторон Copyright © BMS consulting, 12.10.2012 13
  14. 14. Спасибо за внимание! Дмитрий Петращук Dmitriy_Petrashchuk@bms-consulting.com +380 (44) 499-69-69 Copyright © BMS consulting, 12.10.2012 14

×