SlideShare uma empresa Scribd logo

От SIEM к SOC дорогу осилит смотрящий

jet_information_security
jet_information_security
Tecnologia
1 de 29
Baixar para ler offline
Эльман Бейбутов, Руководитель направления безопасности БД и SOC Центра информационной безопасности Компании «Инфосистемы Джет» От SIEM к SOC: дорогу осилит смотрящий 4 июня 2014 г.
© 2014 Инфосистемы ДжетБольше чем безопасность 2 Вместо введения Развитие Security Operations Center: • 5 поколений SOC: переход от 3G/4G к 5G. Уровни зрелости SOC по четырем направлениям: • Оценка зрелости Security Operations; • Оценка зрелости крупнейших SOC в мире. Российские тренды в создании SOC: • Распределение Jet-проектов SIEM / SOC по секторам экономики; • Глубина погружения в SOC компаний. «Лучшие» практики создания SOC
© 2014 Инфосистемы ДжетБольше чем безопасность 3 Развитие Security Operations Center1Generation 1975−1995 Зарождение SOC: - рутинный анализ событий с FW, AV. 2Generation 1996−2001 Становление SOC: - анализ IDS, Vuln; - формализация задач SOC; - появление SIEM; - первые MSSP SOC. 3Generation 2002−2006 Распространение SOC: - отражение угроз botnet; - требования к анализу событий ИБ (PCI DSS). 4Generation 2007−2012 Тюнинг SOC: - анализ и отражение специфичных атак; - подключение новых средств защиты (WAF, DPI,..). 5Generation 2013−… Проактивность SOC: - обнаружение неизвестных атак (Big Data, Pattern / Anomaly); - автоматизация ответных действий. * По материалам HP Security Intelligence and Operations Consulting (SIOC)
© 2014 Инфосистемы ДжетБольше чем безопасность 4 Уровни зрелости SOC Уровень SOMM Оценка SOC Описание Уровень 0 Недостаточный Ключевые составляющие SOC отсутствуют. Уровень 1 Начальный Ведется мониторинг, но нет документированных процессов. Реагирование по ситуации. Уровень 2 Базовый Выполнение нормативных и бизнес-требований. Большинство процессов документированы, но пересматриваются по ситуации. Уровень 3 Надлежащий Процессы хорошо документированы, регулярно пересматриваются с учетом текущих лучших практик. Уровень 4 Осмысленный Эффективность SOC регулярно оценивается по метрикам производительности. Процессы выстраиваются для достижения KPI от бизнеса. Уровень 5 Экстремальный По всем направлениям SOC приняты программы развития. Процессы максимально конкретизированы и отточены. Поддержание этого уровня требует больше инвестиций, чем возможная отдача от них (ROI <= 0). HP SIOC предложил Security Operations Maturity Model (SOMM) для оценки уровней зрелости SOC
© 2014 Инфосистемы ДжетБольше чем безопасность 5 Оцениваемые параметры SOC Бизнес Люди Процессы Технологии Миссия SOC Базовые метрики Базовые метрики Архитектура Прозрачность и измеримость Обучение Эксплуатация SOC Сбор данных Финансирование Сертификации Аналитика и расследование угроз Мониторинг и анализ Отчетность Опыт ИТ-процессы SOC Корреляция событий Взаимосвязь с производителями Аттестации Взаимодействие с бизнесом Обслуживание систем Карьерный рост Руководство Четыре направления для оценки уровня зрелости:
© 2014 Инфосистемы ДжетБольше чем безопасность 6 Оценка зрелости SOC в мире Уровень SOMM по индустриям в 13 странах мира (Канада, США, Китай, Англия, Германия, ЮАР и др.) Количество проведенных оценок HP SIOC с 2008 года (93 обследования в 69 SOC) 24 % SOC не дотягивают до 1 уровня Только 30 % SOC соответствуют базовому (2) уровню
© 2014 Инфосистемы ДжетБольше чем безопасность 7 SOC в России по опыту проектов компании «Инфосистемы Джет» Уровень SOMM по индустриям Количество выполненных проектов по SIEM с 2010 года
© 2014 Инфосистемы ДжетБольше чем безопасность 8 Тренды развития SOC в России Бизнес • Вовлечение SOC в Compliance; • Достижение установленных бизнесом KPI; • Поддержка и финансирование на высшем уровне менеджмента. Технологии • Переход на высокопроизводительные БД (CORR, Ariel); • Обнаружение известных угроз (RepSM, X-Force, Kaspersky feeds); • Подключение дополнительных источников событий (WAF, DPI) − 4G; • Обнаружение неизвестных угроз (Pattern Discovery, Anomaly Detection, BigInsights) – 5G. Люди • Создание команд специалистов в первых зрелых SOC в финансовых и телекоммуникационных индустриях; • Запуск аутсорсинговой модели оказания услуг на базе JSOC. Процессы • Накопление и систематизация информации об инцидентах; • Документирование не только SIEM, как части ИТ-инфраструктуры, но и эксплуатационных процедур SOC.
© 2014 Инфосистемы ДжетБольше чем безопасность 9 «Лучшие» практики внедрения SIEM Сайзинг Сбор логов Синхрони- зация источников Настройка правил и контента Мониторинг Анализ и тюнинг Отчетность Выглядит просто: А как происходит на самом деле?
© 2014 Инфосистемы ДжетБольше чем безопасность 10 «Лучшие» практики внедрения SIEM • «Давайте подключим все, что подключается?» • «Не надо фильтровать, ведь можно упустить что-то важное!» • «Хранить надо как можно дольше – на всякий случай…» • «Собирать логи лучше по расписанию, чтобы не нагружать сеть в продуктивное время». Вредные советы по сбору логов: • Сайзинг ПО и оборудования по верхним оценкам масштабов всей ИТ-инфраструктуры; • Огромный поток информации о незначительных событиях; • Позднее и маловероятное обнаружение инцидентов. Каков результат?
© 2014 Инфосистемы ДжетБольше чем безопасность 11 «Лучшие» практики внедрения SIEM • Нужно активировать все правила и отчеты «из коробки»; • Настроить долгое время жизни Active Lists; • Создать в автоматическом режиме модель активов; • Выделить под каждую подсеть свою зону для самой подробной детализации. Настройка правил и контента: • Требуется еще больший объем памяти, чем рассчитывалось; • Система начинает тормозить и вызывать негатив; • Неправильная систематизация активов и разделение по зонам приводят к ложным срабатываниям и пропускам инцидентов. Каков результат?
© 2014 Инфосистемы ДжетБольше чем безопасность 12 Выбор источников событий – Bottom-up Bottom-up или Top-down? Снизу вверх: • Не надо думать – подключаем всё, что есть, и смотрим…; • А что если в компании: - 25000 рабочих станций; - 1500 серверов; - 1500 сетевого и прочего оборудования? Результат: • 2M$ на софт и железо; • 500K$ на внедрение; • 500K$ на сопровождение в год (команда, поддержка).
© 2014 Инфосистемы ДжетБольше чем безопасность 13 Выбор источников событий – Top-down Bottom-up или Top-down? Сверху вниз: • Определяем границы проекта (например, скоуп PCI DSS); • Границы резко сокращаются: - 25 000 рабочих станций -> 100 сотрудников процессинга; - 1 500 серверов -> 35 серверов; - 1 500 сетевого и прочего оборудования -> 35 устройств. Результат: • Экономия на затратах по всем статьям! • Десятки важных систем остались вне скоупа, в т.ч. периметровые средства защиты  • Ограниченные наборы правил корреляций 
© 2014 Инфосистемы ДжетБольше чем безопасность 14 Некрасиво получается… Bottom-up или Top-down? Может есть что-то еще?
© 2014 Инфосистемы ДжетБольше чем безопасность 15 События источников в качестве ингредиентов для сценариев • В компании имеются «ингредиенты»: FW, AV, IDS, VPN, WAF, AD, Citrix, VMware$; • Какие «коктейли» сценариев можно сделать? Задача #1 • Нужен «коктейль» для отслеживания доступа к внутренним ресурсам из интернета; • Какие «ингредиенты» нужно собрать? Задача #2
© 2014 Инфосистемы ДжетБольше чем безопасность 16 «Рецепты» сценариев атак • Кто вспомнит рецепты десяти коктейлей? • Недостаток в выборе портит настроение. • Сложные коктейли имеют отрицательные последствия… Проблемы с книгой рецептов: • Опыт реализованных проектов; • Лучшие практики SIEM-производителей; • Compliance -требования, политики ИБ; • Penetration tests; • Anomaly Detection. Источники новых сценариев атак:
© 2014 Инфосистемы ДжетБольше чем безопасность 17 Каталог сценариев – основа правил SIEM Практика использования SOC для предотвращения несанкционированного доступа: Инцидент Критерии Источники Несанкционированный доступ к ресурсам сети извне Осуществлено подключение по VPN к сети организации под одной учетной записью. Получение доступа к какой-либо системе под другой учетной записью. - VPN; - ОС серверов рабочих станций, к которым осуществляется доступ через VPN. Использование неактуальных учетных записей Доступ к системам под учетными записями уволенных сотрудников. - Active Directory; Опционально: ОС серверов. Создание учетной записи для несанкционированного доступа Создание новой пользовательской учетной записи. Доступ под созданной учетной записью к критичным файлам/системам. Удаление учетной записи. - Active Directory; - ОС серверов, доступ к которым необходимо отслеживать. Локальный доступ отсутствующего сотрудника Системой контроля управления доступом (СКУД) зафиксирован уход сотрудника с работы. Под учетной записью данного сотрудника (с его АРМ) осуществляется доступ. - СКУД; - Active Directory; Опционально: - ОС сервероврабочих станций, доступ к которым нужно отслеживать.
© 2014 Инфосистемы ДжетБольше чем безопасность 18 Каталог сценариев – основа правил SIEM Практика использования SOC для предотвращения взлома учетной записи пользователя: Инцидент Критерии Источники Взлом учетной записи легитимного пользователя и отправка критичных файлов через почтовый сервер Успешный вход в систему на АРМ/сервере после нескольких ошибок. В течение двух часов осуществлен доступ к критичным файлам. В течение этих же двух часов зафиксирована отправка письма по корпоративной почте (возможно на внутренний адрес или на конкретные домены конкурирующих организаций). - Active Directory ОС файловых серверах - Почтовый сервер -Средства контроля доступа к файлам - NetFlow Межсетевые экраны с данными между пользовательским сегментом и файловым сервером Взлом учетной записи легитимного пользователя и отправка критичных данных через Интернет в нерабочее время Успешный вход в систему на АРМ / сервере после нескольких ошибок в нерабочее время. В течение двух часов осуществлен доступ к критичным файлам. В течение этих же двух часов зафиксирован существенный объем трафика в интернете. - Active Directory ОС файловых серверов - Почтовый сервер - Средства контроля доступа к файлам - NetFlow Межсетевые экраны с данными между пользовательским сегментом и файловым сервером
© 2014 Инфосистемы ДжетБольше чем безопасность 19 Каталог сценариев – основа правил SIEM Практика использования SOC для предотвращения вирусных атак: Инцидент Критерии Источники Внутренние SPAM- рассылки (обнаружено вирусное программное обеспечение на рабочей станции/сервере) На АРМ / сервере не установлено антивирусное ПО или вирусные базы не обновлялись в течение двух дней. С АРМ / сервера зафиксировано большое количество событий по отправке сообщений через электронную / веб-почту. - Антивирусное программное обеспечение - Active Directory - Почтовый сервер Обнаружение сетевых червей На АРМ / сервере обнаружено большое количество неуспешных попыток входа в ОС под различными учетными записями. Большинство событий в качестве адреса источника имеют один и тот же IP hostname. - Active Directory ОС Windows - Межсетевой экран (ядра, периметровый) - IPS IDS
© 2014 Инфосистемы ДжетБольше чем безопасность 20 Усиление SIEM: специфичные правила • Определение ключевых активов; • Логический анализ способов реализации атак на ключевые активы; • Заказные итеративные внешние тесты на проникновение. Тактика защиты от хакера: • Определение полномочий групп пользователей; • Усиление СЗИ и правил по принципу need-to-know; • Заказные итеративные внутренние тесты на проникновение. Тактика защиты от инсайдера:
© 2014 Инфосистемы ДжетБольше чем безопасность 21 Работа с SIEM – это процесс Мониторинг Реагирование Расследование Усиление СрЗИ Выявление новых атак
elman@jet.su +7 (495) 411-76-01 +7 (985) 721-66-22 Вопросы? Эльман Бейбутов
© 2014 Инфосистемы ДжетБольше чем безопасность 23 Они такие лояльные, что не хотят прощаться с CRM при увольнении
© 2014 Инфосистемы ДжетБольше чем безопасность 24 Они такие лояльные, что не хотят прощаться с CRM при увольнении
© 2014 Инфосистемы ДжетБольше чем безопасность 25 Они такие лояльные, что не хотят прощаться с CRM при увольнении Реагирование на утечку данных Анализ недавно уволившихся, опрос коллег, сливших учетки Блокирование доступа по username, IP Внутреннее расследование Устраиваются работать в конкурирующие организации Продолжают пользоваться ресурсами компании Запросы с IP конкурентов Десятки учетных записей сливают при увольнении Учетки друзей, бумажки на мониторе, подсмотренный пароль “qwerty123” Одновременные обращения с разных IP
© 2014 Инфосистемы ДжетБольше чем безопасность 26 Храните деньги в сберегательной кассе!
© 2014 Инфосистемы ДжетБольше чем безопасность 27 Храните деньги в сберегательной кассе!
© 2014 Инфосистемы ДжетБольше чем безопасность 28 Очередное снятие наличных той же преступной группой Поимка мошенников Предотвращение очередного ограбления Подделка паспорта, обращение в отделение банка для досрочного закрытия депозита Вывод денежных средств Детектирование закрытия счета / Реагирование на хищение Пара человек в банке анализируют счета клиентов в «свободное» от работы время Список богатых и редко обращающихся в банк людей Аномальные запросы, выпадающие из профиля работы Храните деньги в сберегательной кассе!
elman@jet.su +7 (495) 411-76-01 +7 (985) 721-66-22 Теперь всё! Эльман Бейбутов

Recomendados

Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recomendados

Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пмAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Siem
SiemSiem
Siemcnpo
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
 
Nikon D600
Nikon D600Nikon D600
Nikon D600Nikon Russia
 
ПЗУ
ПЗУПЗУ
ПЗУYuri Samplin
 
SOC Forum
SOC ForumSOC Forum
SOC ForumAleksandr Kuznetcov, CISM
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг SmallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Mais conteúdo relacionado

Mais procurados

Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Siem
SiemSiem
Siemcnpo
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
 

Mais procurados (18)

Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
Siem
SiemSiem
Siem
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
 

Destaque

Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation CenterS.E. CTS CERT-GOV-MD
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Influence of media on society ppt
Influence of media on society pptInfluence of media on society ppt
Influence of media on society pptsharmi88
 

Destaque (10)

Nikon D600
Nikon D600Nikon D600
Nikon D600
 
ПЗУ
ПЗУПЗУ
ПЗУ
 
SOC Forum
SOC ForumSOC Forum
SOC Forum
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation Center
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Influence of media on society ppt
Influence of media on society pptInfluence of media on society ppt
Influence of media on society ppt
 

Semelhante a От SIEM к SOC дорогу осилит смотрящий

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 

Semelhante a От SIEM к SOC дорогу осилит смотрящий (20)

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 

Mais de jet_information_security

CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияjet_information_security
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничестваjet_information_security
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...jet_information_security
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетjet_information_security
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяjet_information_security
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиjet_information_security
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойjet_information_security
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.jet_information_security
 
10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПОjet_information_security
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБjet_information_security
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...jet_information_security
 

Mais de jet_information_security (20)

Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014
 
Targeted attacks
Targeted attacksTargeted attacks
Targeted attacks
 
CТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные измененияCТО БР ИББС 2014: актуальные изменения
CТО БР ИББС 2014: актуальные изменения
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Системы предотвращения мошенничества
Системы предотвращения мошенничестваСистемы предотвращения мошенничества
Системы предотвращения мошенничества
 
Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
ИБ эпохи перемен
ИБ эпохи переменИБ эпохи перемен
ИБ эпохи перемен
 
Если вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нетЕсли вы не видите фрода, это не значит, что его нет
Если вы не видите фрода, это не значит, что его нет
 
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзяSLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
SLA для ИБ аутсорсинга: что можно посчитать, а что нельзя
 
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасностиJSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
JSOC - первый рабочий инструмент по аутсорсингу информационной безопасности
 
Jet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятнойJet inView Security: как сделать ИБ понятной
Jet inView Security: как сделать ИБ понятной
 
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
Jet inView - новое имя на рынке ИБ. Наша продуктовая линейка сегодня и завтра.
 
10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО10 уязвимостей в мобильном ПО
10 уязвимостей в мобильном ПО
 
10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП10 мифов о защите АСУ ТП
10 мифов о защите АСУ ТП
 
Targeted (animated)
Targeted (animated)Targeted (animated)
Targeted (animated)
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБ
 
Контроль коммуникаций
Контроль коммуникацийКонтроль коммуникаций
Контроль коммуникаций
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
 
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
Jet inView IdM - полноценное решение для среднего бизнеса за $ 200 000. Д.Бон...
 

От SIEM к SOC дорогу осилит смотрящий

  • 1. Эльман Бейбутов, Руководитель направления безопасности БД и SOC Центра информационной безопасности Компании «Инфосистемы Джет» От SIEM к SOC: дорогу осилит смотрящий 4 июня 2014 г.
  • 2. © 2014 Инфосистемы ДжетБольше чем безопасность 2 Вместо введения Развитие Security Operations Center: • 5 поколений SOC: переход от 3G/4G к 5G. Уровни зрелости SOC по четырем направлениям: • Оценка зрелости Security Operations; • Оценка зрелости крупнейших SOC в мире. Российские тренды в создании SOC: • Распределение Jet-проектов SIEM / SOC по секторам экономики; • Глубина погружения в SOC компаний. «Лучшие» практики создания SOC
  • 3. © 2014 Инфосистемы ДжетБольше чем безопасность 3 Развитие Security Operations Center1Generation 1975−1995 Зарождение SOC: - рутинный анализ событий с FW, AV. 2Generation 1996−2001 Становление SOC: - анализ IDS, Vuln; - формализация задач SOC; - появление SIEM; - первые MSSP SOC. 3Generation 2002−2006 Распространение SOC: - отражение угроз botnet; - требования к анализу событий ИБ (PCI DSS). 4Generation 2007−2012 Тюнинг SOC: - анализ и отражение специфичных атак; - подключение новых средств защиты (WAF, DPI,..). 5Generation 2013−… Проактивность SOC: - обнаружение неизвестных атак (Big Data, Pattern / Anomaly); - автоматизация ответных действий. * По материалам HP Security Intelligence and Operations Consulting (SIOC)
  • 4. © 2014 Инфосистемы ДжетБольше чем безопасность 4 Уровни зрелости SOC Уровень SOMM Оценка SOC Описание Уровень 0 Недостаточный Ключевые составляющие SOC отсутствуют. Уровень 1 Начальный Ведется мониторинг, но нет документированных процессов. Реагирование по ситуации. Уровень 2 Базовый Выполнение нормативных и бизнес-требований. Большинство процессов документированы, но пересматриваются по ситуации. Уровень 3 Надлежащий Процессы хорошо документированы, регулярно пересматриваются с учетом текущих лучших практик. Уровень 4 Осмысленный Эффективность SOC регулярно оценивается по метрикам производительности. Процессы выстраиваются для достижения KPI от бизнеса. Уровень 5 Экстремальный По всем направлениям SOC приняты программы развития. Процессы максимально конкретизированы и отточены. Поддержание этого уровня требует больше инвестиций, чем возможная отдача от них (ROI <= 0). HP SIOC предложил Security Operations Maturity Model (SOMM) для оценки уровней зрелости SOC
  • 5. © 2014 Инфосистемы ДжетБольше чем безопасность 5 Оцениваемые параметры SOC Бизнес Люди Процессы Технологии Миссия SOC Базовые метрики Базовые метрики Архитектура Прозрачность и измеримость Обучение Эксплуатация SOC Сбор данных Финансирование Сертификации Аналитика и расследование угроз Мониторинг и анализ Отчетность Опыт ИТ-процессы SOC Корреляция событий Взаимосвязь с производителями Аттестации Взаимодействие с бизнесом Обслуживание систем Карьерный рост Руководство Четыре направления для оценки уровня зрелости:
  • 6. © 2014 Инфосистемы ДжетБольше чем безопасность 6 Оценка зрелости SOC в мире Уровень SOMM по индустриям в 13 странах мира (Канада, США, Китай, Англия, Германия, ЮАР и др.) Количество проведенных оценок HP SIOC с 2008 года (93 обследования в 69 SOC) 24 % SOC не дотягивают до 1 уровня Только 30 % SOC соответствуют базовому (2) уровню
  • 7. © 2014 Инфосистемы ДжетБольше чем безопасность 7 SOC в России по опыту проектов компании «Инфосистемы Джет» Уровень SOMM по индустриям Количество выполненных проектов по SIEM с 2010 года
  • 8. © 2014 Инфосистемы ДжетБольше чем безопасность 8 Тренды развития SOC в России Бизнес • Вовлечение SOC в Compliance; • Достижение установленных бизнесом KPI; • Поддержка и финансирование на высшем уровне менеджмента. Технологии • Переход на высокопроизводительные БД (CORR, Ariel); • Обнаружение известных угроз (RepSM, X-Force, Kaspersky feeds); • Подключение дополнительных источников событий (WAF, DPI) − 4G; • Обнаружение неизвестных угроз (Pattern Discovery, Anomaly Detection, BigInsights) – 5G. Люди • Создание команд специалистов в первых зрелых SOC в финансовых и телекоммуникационных индустриях; • Запуск аутсорсинговой модели оказания услуг на базе JSOC. Процессы • Накопление и систематизация информации об инцидентах; • Документирование не только SIEM, как части ИТ-инфраструктуры, но и эксплуатационных процедур SOC.
  • 9. © 2014 Инфосистемы ДжетБольше чем безопасность 9 «Лучшие» практики внедрения SIEM Сайзинг Сбор логов Синхрони- зация источников Настройка правил и контента Мониторинг Анализ и тюнинг Отчетность Выглядит просто: А как происходит на самом деле?
  • 10. © 2014 Инфосистемы ДжетБольше чем безопасность 10 «Лучшие» практики внедрения SIEM • «Давайте подключим все, что подключается?» • «Не надо фильтровать, ведь можно упустить что-то важное!» • «Хранить надо как можно дольше – на всякий случай…» • «Собирать логи лучше по расписанию, чтобы не нагружать сеть в продуктивное время». Вредные советы по сбору логов: • Сайзинг ПО и оборудования по верхним оценкам масштабов всей ИТ-инфраструктуры; • Огромный поток информации о незначительных событиях; • Позднее и маловероятное обнаружение инцидентов. Каков результат?
  • 11. © 2014 Инфосистемы ДжетБольше чем безопасность 11 «Лучшие» практики внедрения SIEM • Нужно активировать все правила и отчеты «из коробки»; • Настроить долгое время жизни Active Lists; • Создать в автоматическом режиме модель активов; • Выделить под каждую подсеть свою зону для самой подробной детализации. Настройка правил и контента: • Требуется еще больший объем памяти, чем рассчитывалось; • Система начинает тормозить и вызывать негатив; • Неправильная систематизация активов и разделение по зонам приводят к ложным срабатываниям и пропускам инцидентов. Каков результат?
  • 12. © 2014 Инфосистемы ДжетБольше чем безопасность 12 Выбор источников событий – Bottom-up Bottom-up или Top-down? Снизу вверх: • Не надо думать – подключаем всё, что есть, и смотрим…; • А что если в компании: - 25000 рабочих станций; - 1500 серверов; - 1500 сетевого и прочего оборудования? Результат: • 2M$ на софт и железо; • 500K$ на внедрение; • 500K$ на сопровождение в год (команда, поддержка).
  • 13. © 2014 Инфосистемы ДжетБольше чем безопасность 13 Выбор источников событий – Top-down Bottom-up или Top-down? Сверху вниз: • Определяем границы проекта (например, скоуп PCI DSS); • Границы резко сокращаются: - 25 000 рабочих станций -> 100 сотрудников процессинга; - 1 500 серверов -> 35 серверов; - 1 500 сетевого и прочего оборудования -> 35 устройств. Результат: • Экономия на затратах по всем статьям! • Десятки важных систем остались вне скоупа, в т.ч. периметровые средства защиты  • Ограниченные наборы правил корреляций 
  • 14. © 2014 Инфосистемы ДжетБольше чем безопасность 14 Некрасиво получается… Bottom-up или Top-down? Может есть что-то еще?
  • 15. © 2014 Инфосистемы ДжетБольше чем безопасность 15 События источников в качестве ингредиентов для сценариев • В компании имеются «ингредиенты»: FW, AV, IDS, VPN, WAF, AD, Citrix, VMware$; • Какие «коктейли» сценариев можно сделать? Задача #1 • Нужен «коктейль» для отслеживания доступа к внутренним ресурсам из интернета; • Какие «ингредиенты» нужно собрать? Задача #2
  • 16. © 2014 Инфосистемы ДжетБольше чем безопасность 16 «Рецепты» сценариев атак • Кто вспомнит рецепты десяти коктейлей? • Недостаток в выборе портит настроение. • Сложные коктейли имеют отрицательные последствия… Проблемы с книгой рецептов: • Опыт реализованных проектов; • Лучшие практики SIEM-производителей; • Compliance -требования, политики ИБ; • Penetration tests; • Anomaly Detection. Источники новых сценариев атак:
  • 17. © 2014 Инфосистемы ДжетБольше чем безопасность 17 Каталог сценариев – основа правил SIEM Практика использования SOC для предотвращения несанкционированного доступа: Инцидент Критерии Источники Несанкционированный доступ к ресурсам сети извне Осуществлено подключение по VPN к сети организации под одной учетной записью. Получение доступа к какой-либо системе под другой учетной записью. - VPN; - ОС серверов рабочих станций, к которым осуществляется доступ через VPN. Использование неактуальных учетных записей Доступ к системам под учетными записями уволенных сотрудников. - Active Directory; Опционально: ОС серверов. Создание учетной записи для несанкционированного доступа Создание новой пользовательской учетной записи. Доступ под созданной учетной записью к критичным файлам/системам. Удаление учетной записи. - Active Directory; - ОС серверов, доступ к которым необходимо отслеживать. Локальный доступ отсутствующего сотрудника Системой контроля управления доступом (СКУД) зафиксирован уход сотрудника с работы. Под учетной записью данного сотрудника (с его АРМ) осуществляется доступ. - СКУД; - Active Directory; Опционально: - ОС сервероврабочих станций, доступ к которым нужно отслеживать.
  • 18. © 2014 Инфосистемы ДжетБольше чем безопасность 18 Каталог сценариев – основа правил SIEM Практика использования SOC для предотвращения взлома учетной записи пользователя: Инцидент Критерии Источники Взлом учетной записи легитимного пользователя и отправка критичных файлов через почтовый сервер Успешный вход в систему на АРМ/сервере после нескольких ошибок. В течение двух часов осуществлен доступ к критичным файлам. В течение этих же двух часов зафиксирована отправка письма по корпоративной почте (возможно на внутренний адрес или на конкретные домены конкурирующих организаций). - Active Directory ОС файловых серверах - Почтовый сервер -Средства контроля доступа к файлам - NetFlow Межсетевые экраны с данными между пользовательским сегментом и файловым сервером Взлом учетной записи легитимного пользователя и отправка критичных данных через Интернет в нерабочее время Успешный вход в систему на АРМ / сервере после нескольких ошибок в нерабочее время. В течение двух часов осуществлен доступ к критичным файлам. В течение этих же двух часов зафиксирован существенный объем трафика в интернете. - Active Directory ОС файловых серверов - Почтовый сервер - Средства контроля доступа к файлам - NetFlow Межсетевые экраны с данными между пользовательским сегментом и файловым сервером
  • 19. © 2014 Инфосистемы ДжетБольше чем безопасность 19 Каталог сценариев – основа правил SIEM Практика использования SOC для предотвращения вирусных атак: Инцидент Критерии Источники Внутренние SPAM- рассылки (обнаружено вирусное программное обеспечение на рабочей станции/сервере) На АРМ / сервере не установлено антивирусное ПО или вирусные базы не обновлялись в течение двух дней. С АРМ / сервера зафиксировано большое количество событий по отправке сообщений через электронную / веб-почту. - Антивирусное программное обеспечение - Active Directory - Почтовый сервер Обнаружение сетевых червей На АРМ / сервере обнаружено большое количество неуспешных попыток входа в ОС под различными учетными записями. Большинство событий в качестве адреса источника имеют один и тот же IP hostname. - Active Directory ОС Windows - Межсетевой экран (ядра, периметровый) - IPS IDS
  • 20. © 2014 Инфосистемы ДжетБольше чем безопасность 20 Усиление SIEM: специфичные правила • Определение ключевых активов; • Логический анализ способов реализации атак на ключевые активы; • Заказные итеративные внешние тесты на проникновение. Тактика защиты от хакера: • Определение полномочий групп пользователей; • Усиление СЗИ и правил по принципу need-to-know; • Заказные итеративные внутренние тесты на проникновение. Тактика защиты от инсайдера:
  • 21. © 2014 Инфосистемы ДжетБольше чем безопасность 21 Работа с SIEM – это процесс Мониторинг Реагирование Расследование Усиление СрЗИ Выявление новых атак
  • 22. elman@jet.su +7 (495) 411-76-01 +7 (985) 721-66-22 Вопросы? Эльман Бейбутов
  • 23. © 2014 Инфосистемы ДжетБольше чем безопасность 23 Они такие лояльные, что не хотят прощаться с CRM при увольнении
  • 24. © 2014 Инфосистемы ДжетБольше чем безопасность 24 Они такие лояльные, что не хотят прощаться с CRM при увольнении
  • 25. © 2014 Инфосистемы ДжетБольше чем безопасность 25 Они такие лояльные, что не хотят прощаться с CRM при увольнении Реагирование на утечку данных Анализ недавно уволившихся, опрос коллег, сливших учетки Блокирование доступа по username, IP Внутреннее расследование Устраиваются работать в конкурирующие организации Продолжают пользоваться ресурсами компании Запросы с IP конкурентов Десятки учетных записей сливают при увольнении Учетки друзей, бумажки на мониторе, подсмотренный пароль “qwerty123” Одновременные обращения с разных IP
  • 26. © 2014 Инфосистемы ДжетБольше чем безопасность 26 Храните деньги в сберегательной кассе!
  • 27. © 2014 Инфосистемы ДжетБольше чем безопасность 27 Храните деньги в сберегательной кассе!
  • 28. © 2014 Инфосистемы ДжетБольше чем безопасность 28 Очередное снятие наличных той же преступной группой Поимка мошенников Предотвращение очередного ограбления Подделка паспорта, обращение в отделение банка для досрочного закрытия депозита Вывод денежных средств Детектирование закрытия счета / Реагирование на хищение Пара человек в банке анализируют счета клиентов в «свободное» от работы время Список богатых и редко обращающихся в банк людей Аномальные запросы, выпадающие из профиля работы Храните деньги в сберегательной кассе!
  • 29. elman@jet.su +7 (495) 411-76-01 +7 (985) 721-66-22 Теперь всё! Эльман Бейбутов