O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
13 советов, от которых зависит
успешность вашего SOC
Алексей Лукацкий
25 апреля 2019
Бизнес-консультант по кибербезопаснос...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внутри Cisco SOC строится уже 19 лет!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Выбросьте триаду на помойку
Команда
Технологии
Проце...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы только мониторите или также реагируете?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ваш SOC – это баланс между бизнесом,
технологиями, р...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какой SOC вы хотите?
Compliance
• Ориентация на НПА ...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы будете охватывать вашим SOCом?
Любые
пользова...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Совет: аутсорсинг имеет плюсы и минусы
Параметр Свой...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Совет: аутсорсинг имеет плюсы и минусы
Параметр Свой...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Глобальный SOC Региональный SOC Провайдеры ИБ Контра...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Продукты ➩ Security Operations ➩ SOC
События Нормали...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Прежде чем строить SOC или отдавать
мониторинг на ау...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Видео!
Смотрите
внимательно!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы видите?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Мониторинг привилегированных субъектов доступа
• М...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Аномалии аутентификации (продолжение)
• Использова...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Аномалии учетных записей
• Учетная запись использу...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Любые чрезмерные отказы сервисов
• Невозможность о...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Use case для DNS-активности (пример)
1
2
3
4
5
Молод...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Настройте SOC на обнаружение Топ10
use case – они вс...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разные модели работы SOC в режиме 24 х 7
Кейс 1 Кейс...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Типичные режимы работы аналитиков SOC - 8 х 5, 12 х ...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сейчас вы увидите
видео
Посчитайте
количество переда...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы видите?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Правильный
ответ - 16
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
гориллу?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
уход девушки
в черной
футболке?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
уход смену
цвета штор на
заднем
плане?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
После 12-ти минут непрерывного
мониторинга аналитик ...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Не забудьте про естественный дневной ритм
человека
1...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Основы Playbook
Что мы пытаемся защитить Какие у нас...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Фишинговый workflow в SOC
Пользователь
ГосСОПКА
Подд...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Детальный workflow: фрагмент
Проверка
исторических
д...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Workflow анализа: пример для e-mail
Проверяем e-mail...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример Playbook в Cisco
Непублично
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример работы по Playbook в Cisco
Непублично
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мониторинг эффективности Playbook
Непублично
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• ID
• Название
• Дата последнего изменения
• Владел...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Проверяйте почтовый ящик phishing@yourcompany.ru к...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Получите IoC и приложите их к тикету
• Полностью з...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Оповестите сотрудников
• Если вы связали пятый тик...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Удалите фишинговые сообщения из почтовых ящиков по...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура современного SOC
Системы коммуникация и
...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Security Analytics Suite
NTA
EDR
SIEM
UEBA /
CASB
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для SecOps (ядро SOC)
Технология Стоимост...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для CSIRT / CTI
Технология Стоимость, $ В...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для администрирования SOC
Технология Стои...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
На что обратить внимание при расчете цены?
Технологи...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько вариантов расчета
Технология Продукт
Свой ...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Покупать или создавать инструментарий?
Остальные 99%...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: irflow
• Приложение для
автоматизации процес...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: irflow
Визуализация через Cisco CMX
Формиров...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какие данные собирает ваш SOC?
События ИБ
• МСЭ
• ID...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Некоторые нормативные акты требуют
хранения данных о...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
# событий безопасности
«Сколько вешать в граммах» ил...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Знайте ваши средства защиты
Разный уровень
регистрац...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Для хранения 1000 EPS (86.4 миллиона
событий в день)...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
1,2 триллиона
событий ИБ
22 инцидента ИБ
Максимально...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Учтите формат хранения – flat file,
реляционная база...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Угрозы на
Cisco за один
день
1.2 триллиона
Событий б...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Корзина – индексированные данные
• Новые индексирова...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Время поиска и индексации – ключевые
параметры
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Компактный. Например, «найди мне
среднее время откли...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Выбор дисков для SIEM очень важен
При компактном пои...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Чем крупнее объект мониторинга для
SOC, тем больше д...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Для кого вы строите SOC? Для себя или для ТВ?
Аналит...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ключевые компоненты помещения для SOC
ОсвещениеАкуст...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обратите внимание
• ГОСТ Р ИСО 11064-1-2015 Эргономи...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Итого: SOC нам обойдется (пример расчета)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разработка Dashboard для разных задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стоимость
украденного
аккаунта
клиента в
Darknet?!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserv...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как мониторить облака? На примере Cisco
Компонент Пр...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Фундаментально C-Bridge – это сетевое решение, исп...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внешний вид C-Bridge
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Физическая безопасность C-Bridge
• Два набора замков...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наполнение C-Bridge
• Стойка может быть высотой
до 2...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Аппаратные компоненты C-Bridge
Маршрутизация
• Cisco...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• InfoSec CSIRT мониторит весь доступ к/через Интерн...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Создание многоуровневой
архитектуры C-Bridge :
• Мал...
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вопросы?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Дополнительная информация
96
13 советов, от которых зависит успешность вашего SOC
Próximos SlideShares
Carregando em…5
×

1

Compartilhar

Baixar para ler offline

13 советов, от которых зависит успешность вашего SOC

Baixar para ler offline

Презентация с различными советами, идеями, рекомендациями по проектированию или эксплуатации SOC.

13 советов, от которых зависит успешность вашего SOC

  1. 1. 13 советов, от которых зависит успешность вашего SOC Алексей Лукацкий 25 апреля 2019 Бизнес-консультант по кибербезопасности
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Внутри Cisco SOC строится уже 19 лет!
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Выбросьте триаду на помойку Команда Технологии Процессы Окружение Intelligence Стратегия Миссия / цели
  4. 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 1: определитесь с тем, что такое SOC?
  5. 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы только мониторите или также реагируете?
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ваш SOC – это баланс между бизнесом, технологиями, рисками и финансами Бизнес-требования Централизация Децентрализация Единый глобальный SOC Разные центры (SOC/NOC) Снижение стоимости Простота управления Множество SOCов Единый центр (SOC/NOC) Высокая стоимость Сложность управления Технические требования Стандарт Кастомизация Простая платформа Простота масштабирования Средние детали по угрозам Низкая стоимость внедрения Комплексная платформа Сложность масштабирования Глубокие детали по угрозам Высокая стоимости внедрения Толерантность к рискам Аутсорсинг Инсорсинг 30-90 дней на внедрение Некритично для бизнеса Низкая стоимость внедрения Внешняя сертификация Долгое внедрение Критично для бизнеса Высокая стоимости внедрения Регулярные аудиты Финансы Низкая стоимость Высокая стоимость
  7. 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на НПА ГТС / НацБанка / Правительства • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для Киберщита • У всех есть и мне нужен
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы будете охватывать вашим SOCом? Любые пользователи Сотрудники Контрактники Партнеры Любые устройства Корпоративные Собственные IoT Любые приложения ЦОД Мультиоблако SaaS В любых местах Внутри сети Через VPN Вне сети
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 2: определитесь с операционной моделью
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Совет: аутсорсинг имеет плюсы и минусы Параметр Свой SOC Чужой SOC Контроль и подотчетность Полные Частичные Гибкость в настройке под свои нужды Высокая Стандартные сервисы и стандартный SLA Знание локального окружения Высокое Низкое или отсутствует Скорость развертывания От полугода (обычно 2-3 года) 2 месяца Режим работы Обычно 5 х 8 Обычно 24 х 7 Возможности по реагированию Максимальные Средние Масштабирование Среднее Высокое Уровень компетенций Средний Высокий Форма затрат CapEx OpEx Предсказуемость затрат Непредсказуемый Предсказуемый
  11. 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Совет: аутсорсинг имеет плюсы и минусы Параметр Свой SOC Чужой SOC Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Очень высокая Хранение событий безопасности Локально За пределами организации Права на технологии и процессы Принадлежат заказчику Принадлежат аутсорсеру Выход за пределы своей организации Невозможен Возможно использовать данные по другим заказчикам Видимость «бревен в своем глазу» Низкая Высокая Выделенный персонал Да Нет
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Гибридная модель
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 3: прежде, чем мониторить что-то, внедрите это что-то
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Продукты ➩ Security Operations ➩ SOC События Нормализация / категоризация Корреляция Triage ИнцидентПравилаХранение False Positive Расследование и реагирование R&D Контроль качества Внешние службы Извлечение уроков Playbook / Wiki Обогащение Security Operations объединяет множество решений в единый комплекс! платных и бесплатных
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Прежде чем строить SOC или отдавать мониторинг на аутсорсинг в внешний SOC, сначала внедрите то, что будет отдавать данные Совет: сначала внедрите то, что вы хотите мониторить Для мониторинга МСЭ на периметре и антивируса на ПК SOC не нужен! В Н И М А Н И Е Это частый запрос в наш аутсорсинговый SOC
  16. 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 4: определитесь с Use Case
  17. 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Видео! Смотрите внимательно!
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Мониторинг привилегированных субъектов доступа • Множественные неудачные попытки аутентификации (brute force) • Аномалии аутентификации • Сервисные учетные записи использованы для интерактивного входа • Сервисные учетные записи использованы с неавторизованных систем • Пользователь входит в локальную сеть сразу после входа в VPN • Пользователь входит в систему за 1+ час до и через 1+ час после нормальных рабочих часов • Интерактивный вход сразу из нескольких источников под одной учетной записью Топ10 use case для SOC
  20. 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Аномалии аутентификации (продолжение) • Использование учетной записи по умолчанию • Использование общих (shared) учетных записей • Сессионные аномалии • Типичный пользователь должен иметь сеанс работы, длительностью около 10 часов • Существенное изменение профиля Web-серфинга • Всплески в запретах исходящих соединений на МСЭ • Сетевые коммуникации между рабочими станциями • Превышение разумной длительности сессий Топ10 use case для SOC
  21. 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Аномалии учетных записей • Учетная запись используется до начала рабочего дня пользователя • Учетная запись используется после конца рабочего дня пользователя • Индикаторы утечек данных • Несоответствие HTTP(S) Send/Receive • Протоколы передачи файлов от пользователей или сервисов, которым эти протоколы не требуются (например, FTP с принтера) • Использование облачных хранилищ (Яндекс.Диск, Dropbox, OneDrive и т.п.) • Поиск известных уязвимостей Топ10 use case для SOC
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Любые чрезмерные отказы сервисов • Невозможность обновления антивируса или сбои бэкапов • Индикаторы внутренней угрозы • Доступ к хакерским сайтам или «исследованиям по ИБ» для рядовых пользователей • Использование USB • Нарушение эталонного уровня аутентификации • Отказы аутентификации на file shares, приложениях, серверах, порталах и т.п. • Отказы в логах безопасности Топ10 use case для SOC
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Use case для DNS-активности (пример) 1 2 3 4 5 Молодой (менее 7 дней) или недавно зарегистрированный домен Имя не в списке Alexa Странный или длинный домен второго уровня Шестнадцатеричное имя домена Энтропия символов в названии домена 6 7 8 Трафик к внешнему IP без запроса DNS Запросы с длинными TXT записями TXT без записи типа A 9 … Запросы к динамическим DNS-провайдерам Взаимодействие с вредоносными TLD
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Настройте SOC на обнаружение Топ10 use case – они встречаются у всех Совет: SOC не умеет мониторить все – выберите самое важное для вас У вендоров серьезных SIEM есть уже готовые наборы use case – не пренебрегайте ими Разработайте use case, которые нужны именно вам
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 5: определитесь с персоналом
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Разные модели работы SOC в режиме 24 х 7 Кейс 1 Кейс 2 Кейс 3 Минимальное число команд / людей 5 / 5 6 / 6 6 / 6 Часов в смену 10 10 12 Среднее число часов в неделю 42 + 2 часа сверхурочных 40 42 Плюсы Ротация рабочих и нерабочих дней на выходные 40-часовая неделя с 3- мя выходными Работа в те же дни каждую неделю Никто не работает больше трех дней подряд 3-хдневные каникулы каждые выходные Минусы Отсутствие постоянных рабочих дней 3 команды каждые выходные не работают, а 3 – работают каждые выходные Длинная смена Работа до 62 часов в неделю 2 часа сверхурочных на сотрудника Цикл повторения 20 дней 21 день 28 дней
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Типичные режимы работы аналитиков SOC - 8 х 5, 12 х 5, 18 х 7, 24 х 7 Режим работы SOC и длительность смена Минимум – 7 человек для режима 7 х 24 с часовым перекрытием в смене и одним «плавающим» сотрудником для закрытия отпусков и болезней 10 аналитиков - для режима 24 х 7 х 365 + 2 наиболее опытных аналитика (L2) работают в режиме 8 х 5 и доступны для покрытия смен для запланированных и непланируемых отсутствий
  28. 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 6: учитывайте физиологию
  29. 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сейчас вы увидите видео Посчитайте количество передач мяча, сделанных людьми в белых футболках!
  30. 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы видите?
  31. 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Правильный ответ - 16
  32. 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили гориллу?!
  33. 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход девушки в черной футболке?!
  34. 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы заметили уход смену цвета штор на заднем плане?!
  35. 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Совет: учитывайте физиологию работы аналитика После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота Подумайте о ротации смен, режиме отдыха аналитиков и, возможно, замене L1 машинным обучением или иными технологиями
  36. 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забудьте про естественный дневной ритм человека 100% -50% +50% 6 8 10 12 14 16 18 20 22 24 2 4 6 t, время суток Работоспособность У «жаворонков» и «сов» графики будут чуть сдвинуты относительно друг друга В обед работоспособность аналитика снижается В ночное время работоспособность падает катастрофически Работоспособность = внимательность, способность принимать решения и т.п.
  37. 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 7: разработайте workflow и playbook
  38. 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Основы Playbook Что мы пытаемся защитить Какие у нас угрозы Как мы детектируем их Как мы реагируем? Минимальные требования • Скажи нам о зараженных машинах (боты, трояны, черви и т.д.) • Скажи нам о подозрительной сетевой активности (сканирование, посторонний сетевой трафик) • Найди неожиданное / попытки неавторизованных аутентификаций на узле • Покажи сводку, включая тенденции, статистику, числа • Дай нам особый взгляд на окружение (отчеты о целях, критических активах, «горячих» угрозах, особых событиях и т.д.) • Подключи все необходимые источники данных • Опиши и пойми все исходящие потоки и аномалии • Предоставь удобный и быстрый доступ к статистике и метрикам
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Фишинговый workflow в SOC Пользователь ГосСОПКА Поддержка SIEM Приоритезация Анализ сообщения Блокирование сообщения Документирование Первичный сбор данных L1 эскалирует на L2 Определение scope и последствий Блокирование домена / URL Закрытие кейса Профилирование пользователя Смена паролей Отчет по инциденту Мониторинг учетных записей Улучшение / обновление процесса Malware Playbook Targeted Attack Playbook Тревога T I R P T I R P СТО П L1 L2
  40. 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Детальный workflow: фрагмент Проверка исторических данных по аналогичным кейсам Если кейс повторный, то это фишинговая кампания. Уведомляем CISO Отправляем аттач или ссылку в песочницу или TIP для анализа Проверяем репутацию отправителя, URL и хэш аттача Запускаем процедуру блокирования? Уведомляем пользователей, получивших фишинговое письмо Удаляем аттач и перезаписываем URL? Блокируем e-mail на relay Удаляем e-mail на серверах Уведомляем пользователей, получивших e- mail Обновляем TIP Уточняем у пользователей, открывали ли они фишинговое письмо? Закрываем кейс как ложное срабатывание Запускаем malware playbook Посылаем awareness сообщения нужным пользователям Отслеживаем артефакты в организации Нет ДаВредонос Невредонос Невредонос Вредонос Открыли Нет Получили сообщение о фишинге (и сам e-mail) Да Нет Можно раскрыть в еще больших деталях
  41. 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Workflow анализа: пример для e-mail Проверяем e-mail Извлекаем индикаторы Извлекаем IP- адрес отправителя Извлекаем URL Извлекаем хэш аттача Извлекаем заголовок Проверяем индикаторы Вредоносные индикаторы найдены? Проверяем файл Нет Файл вредоносный?
  42. 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример Playbook в Cisco Непублично
  43. 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример работы по Playbook в Cisco Непублично
  44. 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мониторинг эффективности Playbook Непублично
  45. 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • ID • Название • Дата последнего изменения • Владелец • Цель • Область действия • Процедуры От workflow к playbook (шаблон)
  46. 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Проверяйте почтовый ящик phishing@yourcompany.ru каждый час • Проверяйте почтовый ящик fincert@yourcompany.ru и gossopka@yourcompany.ru каждый час на наличие сообщений о фишинге • Если пришло новое сообщение создайте новый тикет в <JIRA / ServiceNow…> • Получите оригинальное сообщение от пользователя и приложите его к тикету • Проверьте сообщение на фишинг • Проверьте URL внутри ссылки – он совпадает с тем, что отображается в сообщении • Проверьте домены всех ссылок в сообщении в <ваша TIP / Cisco Umbrella / VirusTotal / …) • Сообщение пыталось обойти спам-фильтры • Отправитель является или выглядит поддельным? • Если сообщение не фишинговое, то это ложное срабатывание – поблагодарите пользователя и закройте тикет. В противном случае перейдите к следующему шагу Пример playbook: упрощенный по тексту И без аттача
  47. 47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Получите IoC и приложите их к тикету • Полностью загрузите URL из сообщения • С виртуальной машины загрузите файл в URL • Вычислите хэш (SHA256 и MD5) • Заархивируйте файл в ZIP и задайте пароль «virus» • Скопируйте файл на ваш десктоп • Приложите архив и хэши к тикету • Зафиксируйте тему сообщения • Зафиксируйте отправителя сообщения • Зафиксируйте имя и адрес SMTP-сервера отправителя • Это кампания • Поищите в <JIRA / ServiceNow / …> с аналогичными отправителями, темой, контентом или URL • Если есть повторение, то создайте новый, мастер-тикет (для кампании) в <JIRA / ServiceNow / …> • Свяжите ранее созданный тикет с мастер-тикетом Пример playbook: упрощенный по тексту И без аттача
  48. 48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Оповестите сотрудников • Если вы связали пятый тикет с мастер-тикетом, то оповестите пользователей об угрозе • Зайдите в папку <…> и возьмите оттуда шаблон уведомления • Пошлите шаблон в службу внутренних коммуникаций по адресу internal.pr@yourcompany.ru • Позвоните в службу внутренних коммуникаций по телефону <> и предупредите их, что компания столкнулась с инцидентом, о котором надо оповестить сотрудников в течение часа • Через час проверьте, что коммуникация по сотрудникам была осуществлена. Если нет, то свяжитесь со службой внутренних коммуникаций и выясните причину • Блокируйте e-mail на сервере • Откройте в мастер-тикете <JIRA / ServiceNow / …> оригиналы сообщений • Проанализируйте общие для кампании признаки • Если признаки есть, свяжитесь со службой ИТ по адресу it@yourcompany.ru и попросите блокировать все входящие сообщения, соответствующие общему шаблону Пример playbook: упрощенный по тексту И без аттача
  49. 49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Удалите фишинговые сообщения из почтовых ящиков пользователей • Зайдите на <почтовый сервер / Splunk / …> по адресу <…> • Осуществите поиск по теме из оригинального сообщения • Осуществите поиск по адресу из оригинального сообщения • Осуществите поиск по другим признакам из оригинального сообщения • Если вы нашли других пользователей, получивших такие же сообщения, то свяжитесь со службой ИТ по адресу it@yourcompany.ru и попросите их удалить все фишинговые сообщения у пострадавших пользователей • Блэкхолинг DNS • … • Блокирование URL • … • Уведомите о фишинговой кампании <ФинЦЕРТ / ГосСОПКУ / другие компании группы / …> • … Пример playbook: упрощенный по тексту И без аттача
  50. 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 8: не полагайтесь только на SIEM. Особенно отечественные
  51. 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура современного SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  52. 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Security Analytics Suite NTA EDR SIEM UEBA / CASB
  53. 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 9: не все можно купить за деньги – посмотрите в сторону open source
  54. 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для SecOps (ядро SOC) Технология Стоимость, $ Важность SIEM 200.000 Network Traffic Analysis (Flow) 140.000 Network PCAP 0 Network IDS / IPS 15.000 EDR 35.000 Хранение и парсинг логов 0 Wi-Fi IDS и мониторинг 3.000 Обманные системы 50.000 UEBA 75.000 CASB 45.000 Высокая Средняя Низкая * - зависит от стоящих задач
  55. 55. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для CSIRT / CTI Технология Стоимость, $ Важность ПО для Endpoint Forensics (включая мобильные устройства) 0 ПО для Network Forensics (включая облака) 0 Железо для Forensics 100.000 Реверсинг вредоносного ПО (включая дебаггеры) 0 Песочница 50.000 ПО для анализа памяти 0 Фиды Threat Intelligence 20.000 Платформа Threat Intelligence 35.000 Анализ DNS / IP / AS 30.000 Высокая Средняя Низкая * - зависит от стоящих задач
  56. 56. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для администрирования SOC Технология Стоимость, $ Важность Управление тикетами 35.000 Wiki 0 Аналитика и отчетность 15.000 УПАТС 0 Защита коммуникаций 5.000 Система управления инцидентами 25.000 Шредер 1.000 Высокая Средняя Низкая * - зависит от стоящих задач
  57. 57. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что обратить внимание при расчете цены? Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год Продукт Многие решения могут быть некоммерческими, а open source. Стоит учитывать стоимость железа для них Владение Некоторые технологии (например, NTA или хранилище логов или система тикетов) могут быть уже приобретены и находиться во владении других отделов Аутсорсинг Технология может быть либо куплена в собственность, либо взята в аутсорсинг. Возможны и иные схемы (лизинг, аренда…) Поддержка Некоторые технологии продаются больше чем на 1 год, что может быть дешевле Open Source Поддержка open source бесплатна, но может понадобиться доработка, а также специалисты иной квалификации + инфляция
  58. 58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько вариантов расчета Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 536.000 123.000 153.200 161.350 Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 112.000 26.000 31.200 37.440 Вариант №1. На базе коммерческих решений Вариант №2. Коммерческие решения + open source Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 16.000 3.200 3.840 4.600 Вариант №3. На базе open source + сервера под него
  59. 59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Покупать или создавать инструментарий? Остальные 99% Лучшие 1% 99% SOCов используют готовые, приобретенные решения по ИБ 1% SOCов разрабатывают свой инструментарий или дорабатывают open source решения
  60. 60. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример: irflow • Приложение для автоматизации процесса реагирования на инциденты с помощью решений Cisco • Интеграция различных решений Cisco и других компаний • Исходный код выложен на GitHub
  61. 61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример: irflow Визуализация через Cisco CMX Формирование тикета Интеграция с ServiceNow Интеграция с Webex Teams
  62. 62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 10: определитесь с хранилищем событий ИБ
  63. 63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие данные собирает ваш SOC? События ИБ • МСЭ • IDS • AV / EPP / EDR • DLP • VPN • Web-доступ • Обманные системы • WAF Сетевые события • Маршрутизаторы • Коммутаторы • Точки доступа • DNS-сервера • Частные облака • Публичные облака Приложения и устройства • Базы данных • Сервера приложений • Web- приложения • SaaS- приложения • Мобильные устройства • Десктопы и лэптопы ИТ- инфраструктура • Конфигурации • Геолокация • Владельцы • Инвентаризация • Сетевые карты • Уязвимости
  64. 64. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Некоторые нормативные акты требуют хранения данных от одного года до семи лет (PCI DSS, HIPAA, SOX и др.) Особенности обрабатываемых в SOC данных Данные для анализа бывают в виде логов (syslog, Event Log и др.), потоков (Netflow, IPFIX и др.), а также захваченных сетевых сессий (pcap) Сырые данные необходимо также обогащать за счет внешних источников
  65. 65. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public # событий безопасности «Сколько вешать в граммах» или сколько данных вам нужно собирать? период времени в сек = EPS (event per second) Событий в день = (Total Peak Events per Day + Total Normal Events per Day) * 110% (про запас) * 110% (на рост) Total Peak Events per Day = (Number of Peaks per Day * Duration in Seconds of a Peak) * Peak EPS Total Normal Events per Day = (Total Seconds – Total Peak Seconds per Day) * Normal EPS На интервале в 90 дней
  66. 66. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Знайте ваши средства защиты Разный уровень регистрации событий (от Informational до Debug) Средняя длина события – 300 байт (может меняться) Не забывайте про Flow Per Second (FPS) и PCAP
  67. 67. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Для хранения 1000 EPS (86.4 миллиона событий в день) и средней длине события в 300 байт вам потребуется: Совет 3: продумайте, где вы будете хранить данные до внедрения SOC - 25.9 Гб в день - 777 Гб в месяц - 9.331 Тб в год
  68. 68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 1,2 триллиона событий ИБ 22 инцидента ИБ Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов Источник: служба ИБ Cisco
  69. 69. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Учтите формат хранения – flat file, реляционная база данных или Hadoop Совет 3: продумайте, где вы будете хранить данные до внедрения SOC Данные можно хранить на своих серверах или в облаке Многие SIEMы сжимают данные 1 к 8 Вам нужно резервирование данных или их длительное хранение?
  70. 70. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 11: выбирайте правильные жесткие диски
  71. 71. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Угрозы на Cisco за один день 1.2 триллиона Событий безопасности в день по всей сети 28 миллиарда Netflows анализируется в день (Stealthwatch) 47 ТБ Internet-трафика инспектируется 7.6 миллиарда DNS-запросов в день (Umbrella) 13.4 миллиона Срабатываний NGIPS в день 4.4 миллиона Emails получается в день (ESA) 1000 фишинговых писем от службы ИБ Не каждый SIEM подойдет
  72. 72. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Корзина – индексированные данные • Новые индексированные данные • Открыты для записи • Поиск возможенHot • Данные, перенесенные из hot bucket • Данные активно не записываются • Поиск возможенWarm • Данные, перенесенные из warm bucket • Данные не записываются • Поиск возможенCold • Данные, перенесенные из cold bucket • По умолчанию удаляются, но можно настроить на архивное хранение • Поиск невозможенFrozen • Данные, восстановленные из архива • Поиск возможенThawed
  73. 73. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Время поиска и индексации – ключевые параметры
  74. 74. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Компактный. Например, «найди мне среднее время отклика приложения А за последние 24 часа». Последовательное обращение к диску на чтение. Два типа поиска «Поиск иголки в стогу сена». Например, «найди мне UserID во всех моих данных за последний год». Случайные обращения к диску на чтение.
  75. 75. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Выбор дисков для SIEM очень важен При компактном поиске разницы между SSD и SATA/SAS HDD почти нет При поиску «иголки в стогу сена» диски SSD имеют многократное преимущество (на порядки)
  76. 76. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Чем крупнее объект мониторинга для SOC, тем больше данных будет собираться Совет 4: правильно выбирайте жесткие диски Для небольших объектов может потребоваться поиск на длительном интервале времени При крупных объектах или длительном интервале времени поиска лучше выбирать SSD-диски (хоть они и дороже) Про шифрование тоже подумайте…
  77. 77. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 12: не игнорируйте выбор и ремонт в помещении для SOC
  78. 78. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  79. 79. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Для кого вы строите SOC? Для себя или для ТВ? Аналитик не способен мониторить больше двух экранов Что вы планируете показывать на больших плазмах и кто будет на них смотреть?
  80. 80. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевые компоненты помещения для SOC ОсвещениеАкустика ДругоеЭстетика • Шумопоглощение • Эхо • Реверберация • Шумы от вентиляторов, чайников, проекторов • Комната отдыха • Кактусы на мониторах и картины на стенах • Настольные игры • Эргономика рабочего места • Запахи • Кондиционирование • Влаго- и теплообразование • Теплообмен • Давление в кухне • Блики на мониторах • Наличие окон • Освещенность • Теплота, яркость освещения
  81. 81. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обратите внимание • ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование центров управления. Часть 1. Принципы проектирования • ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование центров управления. Часть 2. Принципы организации комплексов управления • ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование центров управления. Часть 3. Расположение зала управления • ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование центров управления. Часть 4. Расположение и размеры рабочих мест • ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование центров управления. Часть 5. Дисплеи и элементы управления • ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование центров управления. Часть 6. Требования к окружающей среде • ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование центров управления. Часть 7. Принципы верификации и валидации
  82. 82. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: SOC нам обойдется (пример расчета)
  83. 83. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Совет 13: продумайте варианты оценки эффективности
  84. 84. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Разработка Dashboard для разных задач
  85. 85. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стоимость украденного аккаунта клиента в Darknet?!
  86. 86. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Бонус: мониторинг облаков и АСУ ТП
  87. 87. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как мониторить облака? На примере Cisco Компонент Предпочитаемое решение Альтернатива Облачный L3-шлюз Cisco CSR Нет данных Intrusion Detection (IDS) SourceFire for AWS (Beta) Snort Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump Passive DNS Cisco’s PDNS Tool OpenDNS PDNS (Open Source Project) Operational Intelligence Splunk ELK Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения Прикладные данные CloudLock SkyHigh
  88. 88. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Фундаментально C-Bridge – это сетевое решение, использующее маршрутизаторы, коммутаторы и средства защиты Cisco, для предоставления быстрого, защищенного подключения и мониторинга безопасности новых площадок • Автономное решение, которые задействует управление идентификацией и проверку пользовательских устройств для обеспечения доступа к корпоративным ресурсам без компрометации безопасности предприятия • Обеспечивает базу для реализации защитных мер и мониторинга старых сетей • Плотное взаимодействие разных команд Cisco: • IT Acquisition Integration • IT Network Services • InfoSec Architecture • InfoSec CSIRT Что такое C-Bridge?
  89. 89. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Внешний вид C-Bridge
  90. 90. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции
  91. 91. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга
  92. 92. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аппаратные компоненты C-Bridge Маршрутизация • Cisco 4451 Integrated Services Router • Cisco 2901 Integrated Services Router Коммутация • Cisco Catalyst 3850 Switches Безопасность • Cisco ASA5545-X Adaptive Security Appliance • Cisco FirePOWER 7150 Appliance with Advanced Malware Protection • Cisco NetFlow Generation Appliance 3340 • Cisco StealthWatch Flow Collector Сервера • Cisco UCS C-Series rack servers
  93. 93. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • InfoSec CSIRT мониторит весь доступ к/через Интернет • В дополнение к межсетевому экранированию: • Sourcefire IDS 7150 with AMP for Networks • vWSA с AMP for Content с интеграцией с ThreatGrid • Генерация несемплированного Netflow и передача в Cisco Stealthwatch vFlowCollector • CSIRT PDNS и Cisco Umbrella • Qualys Vulnerability Scanner (виртуальный) • BGP Black Hole/Quarantine • DLP-функциональность • Сбор Syslog Программные компоненты C-Bridge
  94. 94. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C- Bridge, 1Gbps+ Облегченная версия C-Bridge ß vs à
  95. 95. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
  96. 96. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Дополнительная информация 96
  • anton_chuvakin

    Sep. 28, 2020

Презентация с различными советами, идеями, рекомендациями по проектированию или эксплуатации SOC.

Vistos

Vistos totais

1.841

No Slideshare

0

De incorporações

0

Número de incorporações

1.397

Ações

Baixados

35

Compartilhados

0

Comentários

0

Curtir

1

×