Документ обсуждает важность метрик и аналитики в области кибербезопасности, особенно в контексте работы SOC и DFIR. Он подчеркивает необходимость эффективного обнаружения и реагирования на инциденты, а также сопоставления возможностей защитников с реальными угрозами. В документе также рассматриваются проблемы бизнеса, связанные с обеспечением безопасности и оценкой эффективности защиты.

1. - SOC свешайте!
- Сколько вешать в граммах?
Сергей Солдатов
Руководитель SOC
Название навеяно этой рекламой https://youtu.be/aIZi2q1zyhE

2. Аналитика SOC и DFIR
https://securelist.com/the-nature-of-cyber-incidents/107119/
https://securelist.com/managed-detection-and-response-in-2021/106540/

3. Аналитика SOC и DFIR
https://www.brighttalk.com/webcast/18657/556471
https://www.brighttalk.com/webcast/18972/547327

4. О чем поговорим?
• [Иногда] есть языковая проблема межу CISO и ЛПР
• Решение – красивые картинки
• Картинки – это:
• Метрики операционной ИБ
• Метрики атакующих
• Взятые из той же операционной ИБ
• Аналитические отчеты:
• Сравнение своих метрик с лидерами
• Старт, когда своих метрик пока не наработали

5. Диалоги
• EBITDA
• IFRS & GAAP
• P&L
• Cost-Benefit
• CapEx & OpEx
• Cash flow
• B2B & B2C
• …
• NGFW
• NTA
• SIEM
• EPP
• Pentest
• Threat intelligence
• DFIR
• …

6. Диалоги
• EBITDA
• IFRS & GAAP
• P&L
• Cost-Benefit
• CapEx & OpEx
• Cash flow
• B2B & B2C
• …
• NGFW
• NTA
• SIEM
• EPP
• Pentest
• Threat intelligence
• DFIR
• …

7. Проблемы Бизнеса
• Сколько Безопасности достаточно?
• От чего защищаться?
• Сколько и чего для этого нужно?
• CapEx
• OpEx
• Как измерять успех?

8. Метрики
• Доказать свою нужность
• Оценить операционную
эффективность и результативность
• Оценить загрузку команды
• Найти проблемы и пути решения
• Выявить тенденции и предсказать
будущее
• Как долго не замечают?
• Что в итоге хотят?
• Кого ломают?
• Как ломают?
• Чем пользуются?
• Как обнаруживают?
Сопоставить свои возможности с реальным ландшафтом угроз!

9. 9
Атакующие

10. 10
Атакующие

11. Кого ломают?
• Мой регион?
• Моя отрасль?
• Посмотреть
тенденции…

12. Как ломают?
• Защита и
мониторинг этих
векторов?
• Я могу обнаружить
такую активность?

13. Как обнаруживают? (1/2)
• Я могу обнаружить
такую активность?
• Мониторинг конечной
точки?
• Мониторинг сети?
• Что такое
«подозрительная
активность»?
• Что такое «инцидент»?
• Как ошибаются
аналитики?

14. Как обнаруживают? (2/2)
• Можно сравнить
себя с коллегами по
цеху

15. Как долго не замечают? (1/2)
• Каков мой MTTD?
• Какова эффективность обнаружения при входе с этого вектора?
• Какова вероятность ошибки аналитика?

16. Как долго не замечают? (2/2)
• Каков мой MTTD при таком
типе атаки?
• Мой MTTD меньше
продолжительности самой
быстрой атаки?

17. Как долго расследуют и восстанавливают?
• У меня есть столько ресурсов, сколько надо на худший сценарий?
• А лучше х2

18. Чего в итоге хотят?
• Как в моей сети атакующий
будет достигать этой цели?
• Какие контроли ИБ на своем
пути он встретит?
• Где и как я смогу это увидеть?

19. Чем пользуются?
• Как я обнаруживаю
использования LOLBins?
• Как я обнаруживаю
использования
специализированных
инструментов?

20. 20
Защитники

21. 21
Защитники

22. Операционная эффективность
• Почему не обнаруживают с 1
алерта?
• Последующие алерты приходят
в период реагирования?
• Как это связано с критичностью
инцидента?

23. Операционная эффективность
• Почему есть инциденты Низкой
и Средней критичности,
отработанных неэффективно
после первого алерта?
• Какие типы инцидентов
отрабатываются
неэффективно?
• Какие типы инцидентов вообще
есть?

24. Инциденты высокой критичности
Тип Комментарий
APT Управляемая человеком
RT Анализ защищенности/Red teaming
Артефакты APT/RT Артефакты работы человека
MW c ущербом
ВПО с большим влиянием (эпидемия
шифровальщика и т.п.)
Публично доступные
уязвимости
Могут быть успешно атакованы с периметра
DOS с ущербом
[Распределенный] отказ в обслуживании с
большим влиянием
Инсайдер с ущербом
Атака с участием инсайдера с большим
влиянием
Успешная социалка с
ущербом
Успешная социальная инженерия с большим
влиянием
• Работают люди
• Фактический или
потенциальный
большой ущерб
• Обычно нужны DFIR

25. Инциденты средней критичности
Тип Комментарий
MW «Обычное» ВПО
Майнеры Обнаружение майнеров
Успешная социалка
без ущерба
Социалка успешна, но ущерба не было
DOS без ущерба
[Распределенный] отказ в обслуживании без
влияния
Уязвимость
Уязвимость, не подходящая для инцидента
высокой критичности
Инсайдер без
ущерба
Инцидент с инсайдером без ущерба
Рекогносцировка
Сканирование и любая инвентаризация без
развития
• Нет видимых
признаков работы
людей
• Те же типы, но нет
большого ущерба
• Можно эффективно
отработать автоматом

26. Инциденты низкой критичности
Тип Комментарий
PUP
Потенциально нежелательное ПО (не
подходит для Высокой и Средней
критичности)
Не активное MW Артефакты ВПО, но оно не активно
Некорректное
использование
без последствий
Любые некорректные действия, без
последствий (Если заметен умысел
классифицируется, как Инсайдер)
• Potentially unwanted program
• То, что не может
классифицировано как
Высокого и Среднего уровня
• Нет фактического ущерба,
потенциальный – допустим
или нематериален
• Можно эффективно
отработать автоматом

27. Кого как атакуют?

28. Ожидаемое количество инцидентов
Инцидентов на 10 000 ПК

29. Сколько времени уйдет на понимание?
• А вы сколько думали?
• Вас устраивает такое время?
• Декомпозируем на этапы и поймем где
можно ускориться…
• Какая автоматизация нужна?
…сбор релевантных событий/алертов и оформление

30. Достаточность команды?
• Объем работы: алерты, инциденты и время их обработки
• Возможности команды: аналитиков «в онлайне»

31. Косвенно о достаточности команды
• Длина очереди
• Как долго алерты стоят в очереди

32. Ошибки аналитиков
• Выборочная перепроверка
• Приоритезация
• Подробный разбор,
документирование
• Отслеживание тенденций
Критичность Комментарий (упрощенно)
Низкая
Ошибки оформления, не
дописал
Средняя
Не дорасследовал (не все
релевантные события найдены)
Высокая
Неправильная интерпретация
происходящего

33. Конверсия и Вклад
• Отличный инструмент
приоритезации…
• Перепроверки аналитиков
• Переработки логики обнаружения
• Автоматизации
• …

34. 34
Зачем всё это?

35. Голубые vs. Красные Чёрные
Используемые
TTP
Время до цели
Потенциальная
цель, мотивация

36. Голубые vs. Чёрные
Используемые
TTP
Есть сценарии
предотвращения
Есть
телеметрия
Есть правила
обнаружения
Есть работа с
FP и ошибками
Время до цели
Время
обнаружения
Время
реагирования
Потенциальная
цель, мотивация
Есть данные TI
Есть ресурсы
расследовать
своевременно

37. Время до цели vs. MTTD+MTTR
Обнаружили и
изолировали
Время до цели
Период наблюдения
Время

38. Объем работы vs. Доступность команды
Доступность
команды
Объем работы
Период наблюдения
Часы

39. Объем работы vs. Доступность команды

40. Результативность – это понятно!
А как же эффективность?

41. Дополнительно
• Конверсия и Вклад по каждому правилу обнаружения
• Конверсия и Вклад по каждому аналитику
• Время расследования по каждому типу инцидента
• Длина очереди по каждому аналитику
• Статистика ошибок аналитиков
• Эффективность систем обнаружения
• Те же Вклад и Конверсия
• И т.п. *
* Мы не ставим задачу раскрыть полностью тему Метрик SOC

42. 42
Откуда брать метрики?

43. Исходные данные для аналитики*
• Таймлайн алерта
• Время создания событий алерта
• Время создания алерта
• Время взятия алерта в работу
• Время закрытия алерта как FP
или импорта в кейс
• Таймлайн кейса
• Время создания, публикации
• Время приостановки,
возобновления
• Время эскалаций
• Время смены статусов
• Время доступности аналитиков
• Количество алертов, кейсов,
инцидентов
• Количество сырых событий
• Количество объектов
мониторинга
• Количество тенантов/клиентов
• Ожидания
• Алертов с объекта мониторинга
• Конверсия Алерта в Инцидент
• Объектов мониторинга на одного
аналитика
* Приведен неполный список, но с этого можно начать

44. Процессная модель SOC
Мониторинг
безопасности
Активный поиск
угроз
Управление
инцидентами
Управление
данными об
угрозах
Анализ
вредоносного ПО
Цифровая
криминалистика
Управление
сценариями
обнаружения
Управление
сценариями
реагирования
Управление
знаниями
Управление
сервисами
Сопровождение
инфраструктуры
Отчетность
Управление
кадрами
Образцы
ВПО в
рамках
выявленных
инцидентов
Артефакты в
рамках
выявленных
инцидентов
Выявление сложных
скрытых атак
Выявление
атак
Детектирующая
логика
Тактики, техники, процедуры
и инструменты атак
Сценарии
реагирования
на типовые
инциденты
Оценка
требуемых
ресурсов
Кадровое
обеспечение всех
процессов SOC
Метрики и КПЭ
для всех
процессов SOC
Информационное
обеспечение всех
процессов SOC
Извлеченные уроки
Данные
Обеспечение параметров
работы всей инфраструктуры
SOC
Мониторинг и
триаж
Реагирование на
инциденты
Управление
Исследования и
Анализ угроз
Сопровождение
инфраструктуры
Легенда

45. Процессная модель SOC
Мониторинг
безопасности
Активный поиск
угроз
Управление
инцидентами
Управление
данными об
угрозах
Анализ
вредоносного ПО
Цифровая
криминалистика
Управление
сценариями
обнаружения
Управление
сценариями
реагирования
Управление
знаниями
Управление
сервисами
Сопровождение
инфраструктуры
Отчетность
Управление
кадрами
Образцы
ВПО в
рамках
выявленных
инцидентов
Артефакты в
рамках
выявленных
инцидентов
Выявление сложных
скрытых атак
Выявление
атак
Детектирующая
логика
Тактики, техники, процедуры
и инструменты атак
Сценарии
реагирования
на типовые
инциденты
Оценка
требуемых
ресурсов
Кадровое
обеспечение всех
процессов SOC
Метрики и КПЭ
для всех
процессов SOC
Информационное
обеспечение всех
процессов SOC
Извлеченные уроки
Данные
Обеспечение параметров
работы всей инфраструктуры
SOC
Мониторинг и
триаж
Реагирование на
инциденты
Управление
Исследования и
Анализ угроз
Сопровождение
инфраструктуры
Легенда

46. Данные аналитики
Управление
инцидентами
Скорость
обнаружения
Скорость
реагирования
MTTD MTTR
Покрытие
телеметрией
Трудоемкость
обнаружения и
триажа (SOC)
Трудоемкость
расследования и
восстановления
Покрытие
правилами
Тенденции
Природа
инцидента Мотивация
атакующих
Ошибки
FP
- Inr
- Tech
Ошибки
аналитиков

47. Выводы
• CMM* – отличный инструмент оценки, но простые термины
MTTD и MTTR понятнее
• Аналитика DFIR – разносторонняя демонстрация фактических
возможностей атакующих
• Постоянное вычисление метрик SOC дает объективное
представление возможностей защитников
• Профилирование работы аналитиков – базис для объективной
оценки производительности команды
• Возможности атакующих покажут требования к защитникам
• Объем работ – требования к производительности команды
* https://www.soc-cmm.com/

48. Спасибо
за внимание!