O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Как построить SOC?

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Carregando em…3
×

Confira estes a seguir

1 de 54 Anúncio

Как построить SOC?

Baixar para ler offline

Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.

Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a Как построить SOC? (20)

Anúncio

Mais de Aleksey Lukatskiy (20)

Mais recentes (20)

Anúncio

Как построить SOC?

  1. 1. Как создать свой SOC? Поэтапный план с ценами, оргштатной структурой и инструментарием Алексей Лукацкий 10 октября 2018 Бизнес-консультант по кибербезопасности
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Disclaimer За 30 минут нельзя рассказать о том, как построить центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начнем с вопросов 1 2 3 4 5 У вас есть адекватный бюджет для построения и управления SOC? У вас достаточно квалифицированных специалистов для построения и управления SOC? Как вы планируете сохранить ваших сотрудников SOC? У вас есть защищенное место для SOC? У вас есть программа обучения, позволяющая поддерживать уровень компетенций сотрудников SOC? 6 Вы знаете из каких блоков состоит SOC?
  4. 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Классическая триада только мешает :-( Люди Процессы Технологии
  5. 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Великолепная семерка Команда Технологии Сервисы Окружение Intelligence Стратегия Миссия / цели
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: SOC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство SOC Технологический стек Фаза 3: SOC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк SOC Работает! План создания SOC Трансформация Строительство SOC (помещение) Фаза 0: SOC Концепция Эталон Архитектура Спецификации Функционирование
  7. 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Миссия / цели
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на приказы ФСТЭК / ЦБ / ФСБ • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для ГосСОПКИ • У всех есть и мне нужен
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ваш SOC – это баланс между бизнесом, технологиями, рисками и финансами Бизнес-требования Централизация Децентрализация Единый глобальный SOC Разные центры (SOC/NOC) Снижение стоимости Простота управления Множество SOCов Единый центр (SOC/NOC) Высокая стоимость Сложность управления Технические требования Стандарт Кастомизация Простая платформа Простота масштабирования Средние детали по угрозам Низкая стоимость внедрения Комплексная платформа Сложность масштабирования Глубокие детали по угрозам Высокая стоимости внедрения Толерантность к рискам Аутсорсинг Инсорсинг 30-90 дней на внедрение Некритично для бизнеса Низкая стоимость внедрения Внешняя сертификация Долгое внедрение Критично для бизнеса Высокая стоимости внедрения Регулярные аудиты Финансы Низкая стоимость Высокая стоимость
  11. 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисная стратегия SOC Драйвера, ожидания заказчика, ключевые принципы и ожидаемый результат Видение стратегии Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты Резюме по сервисам Описание ключевых процессов, необходимых для реализации сервисов SOC Ключевые процессы Описание структуры команды SOC и всех ролей Организационная стратегия Описание технологического стека SOC Технологическая стратегия
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Контроль и подотчетность Полные Частичные Гибкость в настройке под свои нужды Высокая Стандартные сервисы и стандартный SLA Знание локального окружения Высокое Низкое или отсутствует Скорость развертывания От полугода (обычно 2-3 года) 2 месяца Режим работы Обычно 5 х 8 Обычно 24 х 7 Возможности по реагированию Максимальные Средние Масштабирование Среднее Высокое Уровень компетенций Средний Высокий Форма затрат CapEx OpEx Предсказуемость затрат Непредсказуемый Предсказуемый
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Очень высокая Хранение событий безопасности Локально За пределами организации Права на технологии и процессы Принадлежат заказчику Принадлежат аутсорсеру Выход за пределы своей организации Невозможен Возможно использовать данные по другим заказчикам Видимость «бревен в своем глазу» Низкая Высокая Выделенный персонал Да Нет
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Гибридная модель
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисы
  16. 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
  17. 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Основа документов SOC Use Сase Playbook Runbook 1 2 3 Use Case – набор тригеров / правил для обнаружения угроз и инцидентов Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них Runbook – последовательность шагов при использовании конкретной технологии
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда
  20. 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC
  21. 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Но это не все • Разбор сложных инцидентов • Обновление базы знаний Hunting • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Лидер SOC • Анализ процессов • Анализ базы инцидентов • Анализ отклонений • Обратная связь с пользователями Анализ качества • Техническая поддержка, патчи • Реализация новых функций • Резервирование • Контроль состояния Управление • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний Анализ • Мониторинг событий • Обнаружение и эскалация инцидентов Обнаружение
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда NG SOC • Архитектор SOC • Специалист по Use Cases (правилам) • Программисты Engineering • Управление средствами ИБ • Аналитики • Investigator • 1st Responder • SIEM/NTA/EDR/UEBA • SOC Lead Ядро SOC • … по продуктам • … по SIEM • … по уязвимостям • … по compliance SME • Incident Handler • Incident Responder • Forensic Expert CSIRT • Контроль качества • Администратор SOC • Безопасность Поддержка • Data Scientist • Hunters • Threat Intelligence CTA/CTI • Сканирование сети • Тестирование приложений • Red Team AVMT
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Численность команды SOC Руководитель SOC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов • В Microsoft Cyber Defense Operations Center работает 50 человек • В Cisco CSIRT – 103 • В РТК-Solar – 100+ и еще идет набор • Сбербанк озвучивает цифру в 400 человек • У ЛК – 14 человек
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №1. Для 9 человек (не Москва)
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №2. Для 13 человек (Москва)
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
  28. 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
  29. 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
  30. 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Когда надо увеличивать численность SOC? Compliance ГосСОПКА, ФЗ-187, 382-П Временное покрытие От 8х5 к 24х7 Слияния и поглощения Новые площадки и люди Рост сложности Новые технологии, новые задачи
  31. 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии
  32. 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура технологического стека SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управлени е данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция Подход Cisco к построению SOC. Технологическая архитектура
  33. 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционный SOC vs NG SOC Традиционный SOC • В среднем 150 дней • В течение часов • В течение дней • В течение часов • В течение дней • В течение недель SOC нового поколения • Непрерывно • В реальном времени • Менее часа • За минуты • В течение часов • В течение дней Возможности • Обнаружение угроз • Классификация угроз • Анализ инцидентов и составление плана реагирования • Локализация угрозы • Восстановление от угрозы • Время на возврат к исходному состоянию
  34. 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для SecOps (ядро SOC) Технология Стоимость, $ Важность SIEM 200.000 Network Traffic Analysis (Flow) 140.000 Network PCAP 0 Network IDS / IPS 15.000 EDR 35.000 Хранение и парсинг логов 0 Wi-Fi IDS и мониторинг 3.000 Обманные системы 50.000 UEBA 75.000 CASB 45.000 Высокая Средняя Низкая * - зависит от стоящих задач
  35. 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для CSIRT / CTI Технология Стоимость, $ Важность ПО для Endpoint Forensics (включая мобильные устройства) 0 ПО для Network Forensics (включая облака) 0 Железо для Forensics 100.000 Реверсинг вредоносного ПО (включая дебаггеры) 0 Песочница 50.000 ПО для анализа памяти 0 Фиды Threat Intelligence 20.000 Платформа Threat Intelligence 35.000 Анализ DNS / IP / AS 30.000 Высокая Средняя Низкая * - зависит от стоящих задач
  36. 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для администрирования SOC Технология Стоимость, $ Важность Управление тикетами 35.000 Wiki 0 Аналитика и отчетность 15.000 УПАТС 0 Защита коммуникаций 5.000 Система управления инцидентами 25.000 Шредер 1.000 Высокая Средняя Низкая * - зависит от стоящих задач
  37. 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что обратить внимание при расчете цены? Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год Продукт Многие решения могут быть некоммерческими, а open source. Стоит учитывать стоимость железа для них Владение Некоторые технологии (например, NTA или хранилище логов или система тикетов) могут быть уже приобретены и находиться во владении других отделов Аутсорсинг Технология может быть либо куплена в собственность, либо взята в аутсорсинг. Возможны и иные схемы (лизинг, аренда…) Поддержка Некоторые технологии продаются больше чем на 1 год, что может быть дешевле Open Source Поддержка open source бесплатна, но может понадобиться доработка, а также специалисты иной квалификации + инфляция
  38. 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько вариантов расчета Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 536.000 123.000 153.200 161.350 Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 112.000 26.000 31.200 37.440 Вариант №1. На базе коммерческих решений Вариант №2. Коммерческие решения + open source Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 16.000 3.200 3.840 4.600 Вариант №3. На базе open source + сервера под него
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забывайте про сопутствующие затраты Половина затрат
  40. 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Окружение
  41. 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Технологии не помогут при отсутствии правильного помещения После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
  42. 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  43. 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевые компоненты помещения для SOC ОсвещениеАкустика ДругоеЭстетика • Шумопоглощение • Эхо • Реверберация • Шумы от вентиляторов, чайников, проекторов • Комната отдыха • Кактусы на мониторах и картины на стенах • Настольные игры • Эргономика рабочего места • Запахи • Кондиционирование • Влаго- и теплообразование • Теплообмен • Давление в кухне • Блики на мониторах • Наличие окон • Освещенность • Теплота, яркость освещения
  44. 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обратите внимание • ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование центров управления. Часть 1. Принципы проектирования • ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование центров управления. Часть 2. Принципы организации комплексов управления • ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование центров управления. Часть 3. Расположение зала управления • ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование центров управления. Часть 4. Расположение и размеры рабочих мест • ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование центров управления. Часть 5. Дисплеи и элементы управления • ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование центров управления. Часть 6. Требования к окружающей среде • ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование центров управления. Часть 7. Принципы верификации и валидации
  45. 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Intelligence
  46. 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Уровни Threat Intelligence Стратегический Операционный Тактический Технический Улучшают возможности SOC/NOC и других специалистов по ИБ реагировать, обнаруживать или предотвращать кибератаки Улучшают возможности CIO/CISO/CTO в использовании ИТ/ИБ в защите и реагировании Улучшают принятие решения относительно киберрисков на уровне CRO, CEO, Правления и др. Описывают индикаторы для вредоносной активности
  47. 47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Разведка
  48. 48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: время и деньги
  49. 49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проект сервисной стратегии Разработка проекта сервисной стратегии для SOC, а также его организационной структуры, Use Case, Playbook, Runbook и т.п. Старт проекта Определение области проекта Планирование проекта Финиш Разработаны стратегические документы для SOC Опрос Стратегический workshop Пересмотр сервисной стратегии Проект организационной структуры Хронология проектирования SOC Финал сервисной стратегии Пересмотр организационной структуры Финал организационной структуры Проектирование SOC занимает в среднем 6 недель Оценка и бенчмаркинг SOC занимают в среднем 20 недель
  50. 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public А потом начинается строительство SOC
  51. 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: SOC нам обойдется (пример расчета)
  52. 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
  53. 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Дополнительная информация 53
  54. 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Спасибо! alukatsk@cisco.com

×