O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

пр 02.Устройство и Сервисы JSOC

8.703 visualizações

Publicada em

Презентация с конференции JSOC 21.08.2015 НН

Publicada em: Tecnologia
  • Seja o primeiro a comentar

пр 02.Устройство и Сервисы JSOC

  1. 1. Устройство и Сервисы JSOC Эльман Бейбутов, Толкатель бизнеса аутсорсинга ИБ
  2. 2. solarsecurity.ru +7 (499) 755-07-70 Почему аутсорсинг стал интересен в России 2 От SIEM к SOC – Дорогу осилит смотрящий?  Когда-то мы внедрили более 35 SIEM  «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека  Примерно 80% компаний так и не построили SOC  У 20% компаний через год обнаружились сложности с доступом в консоль SIEM из-за забытых логинов и паролей  Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ, КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!
  3. 3. solarsecurity.ru +7 (499) 755-07-70 Зрелость SOC в России 3 Количество выполненных проектов по SIEM с 2010 года Уровень зрелости SOC по индустриям, по 5-ти бальной шкале 17 6 3 3 1 3 Финансы ТЭК Госсектор Телеком Ритейл ИТ-сервисы 0 0,5 1 1,5 2 2,5 ИТ-сервисы Ритейл Финансы Госсектор ТЭК Телекомы
  4. 4. solarsecurity.ru +7 (499) 755-07-70 Почему используют аутсорсинг 4 32% 22% 18% 12% 10% 6% НЕХВАТКА ПЕРСОНАЛА ОРГАНИЗАЦИЯ СЕРВИСОВ 24*7 НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ НЕОБХОДИМОСТЬ РАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ
  5. 5. solarsecurity.ru +7 (499) 755-07-70 Опыт MSSP заграницей* 5 Сервисы, доступные за рубежом Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN) Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом Малодоступные услуги западных MSSP Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection) SIEM as a Service (не путать с SOC!) Практически не встречается – SOC as a Service *Gartner, MSSP report, декабрь 2014
  6. 6. solarsecurity.ru +7 (499) 755-07-70 У нас есть, что предложить… 6 Контроль защищенности Противодействие кибепреступности Эксплуатация систем ИБ Анализ кода Защита web-приложений Анти-DDoS Мониторинг инцидентов ПРЕДЛАГАЕМ SECaaS
  7. 7. solarsecurity.ru +7 (499) 755-07-70 Проблемы, решаемые JSOC Дорого и долго строить полноценный SOC внутри компании Сложно найти готовых специалистов, способных противостоять таргетированным атакам Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность Необходимость обеспечения защиты web-приложений, в том числе от DDoS 1 2 3 4 5
  8. 8. solarsecurity.ru +7 (499) 755-07-70 Архитектура сервисов JSOC 9
  9. 9. solarsecurity.ru +7 (499) 755-07-70 Команда JSOC 10 Группа разбора инцидентов Руководитель департамента JSOC (Дрюков Владимир) Группа администрирования Группа развития JSOC (пресейл-аналитик, архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 11*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 7 человек) 2-ая линия администрирования – 11*5 (Москва, 3 человека) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва, 3 человека) Группа управления качеством (сервис-менеджеры, 4 человека) Администраторы ИБ (Москва, 2 человека)
  10. 10. solarsecurity.ru +7 (499) 755-07-70 Гарантии выполнения SLA 11 Параметры сервиса Базовый Расширенный Премиум Время обслуживания 8*5 24*7 24*7 Время обнаружения инцидента (мин) Критичные инциденты 15-30 10-20 5-10 Прочие инциденты до 60 до 60 до 45 Время базовой диагностики и информирования заказчика (мин) Критичные инциденты 45 30 20 Прочие инциденты до 120 до 120 до 90 Время выдачи рекомендаций по противодействию Критичные инциденты до 2 ч до 1,5 ч до 45 мин Прочие инциденты до 8 ч до 6 ч до 4 ч
  11. 11. solarsecurity.ru +7 (499) 755-07-70 JSOC: Мониторинг инцидентов – если SIEM нет 12 Как это выглядит:  Оборудование и лицензии – арендная схема  Мониторинг и анализ инцидентов – силами JSOC  Подключение – установка сервера коннекторов и настройка источников Преимущества:  Нет стартовых капитальных вложений  Быстрый запуск услуги – до 1,5 месяцев  Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня  Агрегация информации об угрозах в одном центре мониторинга Мониторинг инцидентов
  12. 12. solarsecurity.ru +7 (499) 755-07-70 JSOC: Мониторинг инцидентов – если ArcSight уже есть 13 Как это выглядит:  Оборудование и лицензии – в собственности клиента  Правила SIEM обогащаются сценариями JSOC  Команда JSOC анализирует все инциденты в SIEM Преимущества:  Обновление SIEM, тюнинг источников под задачи  Более 1500 корреляционных правил, объединенных в 174 таргетированных сценариев инцидентов ИБ  Мониторинг и разбор инцидентов в режиме 24*7 при полном соблюдении гарантированного уровня SLA Мониторинг инцидентов
  13. 13. solarsecurity.ru +7 (499) 755-07-70 Факты, преимущества и выгоды 14 Факты •1-я линия дежурной смены 24х7 обрабатывает более 75 000 событий с подозрением на инциденты в год •Штат JSOC насчитывает более 30 человек •Реагирование в течение 15 минут •Катастрофоустойчивая платформа на ArcSight •Партнерские соглашения с ведущими CERT и другими аналитическими центрами ИБ для оперативного противодействия киберпреступности Преимущества •Более 170 детектируемых векторов атак •Перекрестное информирование клиентов об обнаруженных атаках •Использование информации о хакерских группировках, бот-сетях и не доверенных IP-адресах от нескольких ведущих зарубежных и российских аналитических центров •Мониторинг инцидентов и противодействие киберпреступности в режиме 24х7 при полном соблюдении уровня SLA Выгоды •Получение готового сервиса по мониторингу инцидентов без капитальных затрат спустя 1 месяц после подписания контракта •Compliance в части управления инцидентами, защиты web-приложений и анализа кода •Информированность и готовность к атакам нулевого дня •Высвобождение ресурсов своих сотрудников для новых проектов после передачи администрирования систем ИБ в JSOC
  14. 14. solarsecurity.ru +7 (499) 755-07-70 JSOC – Противодействие киберпреступности 15 Как это выглядит:  Мы сообщим о том, что ваши учетные записи были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации  Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky  Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов Преимущества:  Наиболее релевантная российскому рынку информация об атаках, основанная на информации бот-сетей и сенсорах, установленных в компаниях  Информирование об атаке, когда она случилась у других, а не у вас  Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка Противодействие киберпреступности
  15. 15. solarsecurity.ru +7 (499) 755-07-70 JSOC – Эксплуатация систем ИБ 16 Как это выглядит:  Обеспечение работоспособности систем ИБ: • Мониторинг «здоровья» систем, восстановление работоспособности; • Обновление версий, администрирование и профилактика  Эксплуатация систем ИБ: • Администрирование, разработка и оптимизация политик; • Оповещение о новых угрозах и обновление сигнатур Преимущества:  Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной смены специалистов JSOC;  Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности; Эксплуатация систем ИБ
  16. 16. solarsecurity.ru +7 (499) 755-07-70 JSOC – безопасность внешних сервисов 17 Как это выглядит:  Защита от DDoS • Мониторинг атак и переключение трафика на очистку в облако Kaspersky • Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor  Web application firewall • Предоставление WAF в аренду с полным администрированием из JSOC • Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек Преимущества:  Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и конфиденциальность  Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз Анти-DDoS WAF
  17. 17. solarsecurity.ru +7 (499) 755-07-70 JSOC – Контроль защищенности 18 Как это выглядит:  Инвентаризация систем  Инструментальный анализ уязвимостей  Адаптация отчетов о сканировании  Формирование конечных рекомендаций для ИТ-специалистов по устранению критичных уязвимостей  Сопровождение устранения уязвимостей  Регулярная оценка защищённости от zero-day Преимущества:  Получение реальной картины уязвимостей инфраструктуры с учетом всех особенностей архитектуры  Технический и организационный контроль процесса закрытия уязвимостей ИТ-службами  Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования Контроль защищенности
  18. 18. solarsecurity.ru +7 (499) 755-07-70 JSOC – Анализ кода 19 Как это выглядит:  Проверка исходного кода Java, PHP, C# и более десятка других языков по запросу  Анализ безопасности мобильных приложений iOS, Android по бинарному файлу  Встраивание проверки безопасности кода в процесс разработки ПО в компании Преимущества:  Результаты анализа предоставляются в формате конкретных рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений;  Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода;  Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших Анализ кода
  19. 19. solarsecurity.ru +7 (499) 755-07-70 Что дороже аутсорсинг или инсорсинг? 20
  20. 20. solarsecurity.ru +7 (499) 755-07-70 Подключайтесь к JSOC! 21 Среди наших клиентов  Лето-Банк  УБРиР  И многие другие… Среди наших партнеров
  21. 21. ОТВЕЧАЮ ЗА РАЗВИТИЕ БИЗНЕСА JSOC Эльман Бейбутов +7 985 721 66 22 e.beybutov@solarsecurity.ru Ваши вопросы?

×