Mais conteúdo relacionado Semelhante a Как построить SOC? (20) Mais de Aleksey Lukatskiy (20) Как построить SOC?1. Как создать свой SOC?
Поэтапный план с ценами, оргштатной структурой и
инструментарием
Алексей Лукацкий
10 октября 2018
Бизнес-консультант по кибербезопасности
2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Disclaimer
За 30 минут нельзя рассказать
о том, как построить центр
мониторинга киберугроз
Упомянутые в презентации
процессы, сервисы, решения,
технологии и подходы
опираются на опыт компании
Cisco, построившей несколько
десятков центров мониторинга,
и предоставляющей услуги
аутсорсинга ИБ 100+
заказчикам
3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Начнем с вопросов
1
2
3
4
5
У вас есть адекватный
бюджет для построения и
управления SOC?
У вас достаточно
квалифицированных
специалистов для построения
и управления SOC?
Как вы планируете сохранить
ваших сотрудников SOC?
У вас есть защищенное
место для SOC?
У вас есть программа
обучения, позволяющая
поддерживать уровень
компетенций сотрудников
SOC?
6
Вы знаете из каких блоков
состоит SOC?
4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Классическая
триада только
мешает :-(
Люди Процессы
Технологии
5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Великолепная семерка
Команда
Технологии
Сервисы
Окружение Intelligence
Стратегия Миссия / цели
6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стратегия
сервисов
Программа – управление, коммуникации, команда и управление стейкхолдерами
Разработка корневых
процессов
Фаза 1: SOC
Архитектура
Переход
Внутренний переход
Расширение технологий
Улучшение сервисов
Дизайн
сервисов
План
запуска
Фаза 2: Строительство SOC
Технологический стек
Фаза 3: SOC
Улучшение
План улучшение Улучшение процессов
Бизнес-
кейс Тесты /
Бенчмарк
SOC
Работает!
План создания SOC
Трансформация
Строительство SOC
(помещение)
Фаза 0: SOC
Концепция
Эталон
Архитектура
Спецификации
Функционирование
7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Миссия / цели
8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какой SOC вы хотите?
Compliance
• Ориентация на приказы
ФСТЭК / ЦБ / ФСБ
• «Заблокировал и забыл»
• Нет Use Case и Playbook
• Отсутствие интеграции с
ИТ и бизнесом
• Отсутствие процессов
Бизнес
• Ориентация на инциденты,
а не события
• Защита критичных активов
• Ориентация на людей и
процессы в SOC, а не
технологии
• ИБ с точки зрения
бизнеса
• Контроль качества
Мода
• SIEM – ядро SOC
• SOC нужен для ГосСОПКИ
• У всех есть и мне нужен
9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стратегия
10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ваш SOC – это баланс между бизнесом,
технологиями, рисками и финансами
Бизнес-требования
Централизация Децентрализация
Единый глобальный SOC
Разные центры (SOC/NOC)
Снижение стоимости
Простота управления
Множество SOCов
Единый центр (SOC/NOC)
Высокая стоимость
Сложность управления
Технические требования
Стандарт Кастомизация
Простая платформа
Простота масштабирования
Средние детали по угрозам
Низкая стоимость внедрения
Комплексная платформа
Сложность масштабирования
Глубокие детали по угрозам
Высокая стоимости внедрения
Толерантность к рискам
Аутсорсинг Инсорсинг
30-90 дней на внедрение
Некритично для бизнеса
Низкая стоимость внедрения
Внешняя сертификация
Долгое внедрение
Критично для бизнеса
Высокая стоимости внедрения
Регулярные аудиты
Финансы
Низкая стоимость Высокая стоимость
11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сервисная стратегия SOC
Драйвера, ожидания заказчика, ключевые принципы и
ожидаемый результат
Видение
стратегии
Описание сервисов SOC – модель реализации,
владелец, вход и выход для сервиса, компоненты
Резюме по
сервисам
Описание ключевых процессов, необходимых для
реализации сервисов SOC
Ключевые
процессы
Описание структуры команды SOC и всех ролей
Организационная
стратегия
Описание технологического стека SOC
Технологическая
стратегия
12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Свой SOC или чужой?
Параметр Свой SOC Чужой SOC
Контроль и подотчетность Полные Частичные
Гибкость в настройке под свои
нужды
Высокая Стандартные сервисы и
стандартный SLA
Знание локального окружения Высокое Низкое или отсутствует
Скорость развертывания От полугода (обычно 2-3 года) 2 месяца
Режим работы Обычно 5 х 8 Обычно 24 х 7
Возможности по
реагированию
Максимальные Средние
Масштабирование Среднее Высокое
Уровень компетенций Средний Высокий
Форма затрат CapEx OpEx
Предсказуемость затрат Непредсказуемый Предсказуемый
13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Свой SOC или чужой?
Параметр Свой SOC Чужой SOC
Гарантии (финансовые и т.п.) Отсутствуют Возможны
Зависимость от каналов связи Средняя Очень высокая
Хранение событий
безопасности
Локально За пределами организации
Права на технологии и
процессы
Принадлежат заказчику Принадлежат аутсорсеру
Выход за пределы своей
организации
Невозможен Возможно использовать
данные по другим заказчикам
Видимость «бревен в своем
глазу»
Низкая Высокая
Выделенный персонал Да Нет
14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы
Реагирование на инциденты ИБ
Управление услугами
Анализ киберугроз
Cyber Threat Intelligence
Экзотический /
национальный инцидент
Поддержка реагирования
Координация
восстановления
Аналитика безопасности
Управление данными безопасности
Расследование инцидентов
Анализ вредоносного кода
Управление отраслевыми
средствами защиты
Управление средствами
защиты
Управление услугами Управление услугами Управление услугами
Отраслевой инцидент
Управление
национальными СрЗИ
Общий инцидент
Управление платформой
Platform Dev & Engineering
Управление контентом
Операции ОперацииPlatform Dev & Engineering
Управление контентом
Восстановление Восстановление
Управление средствами
защиты
Гибридная модель
15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сервисы
16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какие сервисы могут быть?
Управление сервисом
- Business Service
Management
- IT Service Management
Аналитика безопасности
- Security Data Management
- Security Analytics
Платформы и контент
- Platform Engineering
- Platform Operations
- Content Management
Реагирование на инциденты
- Cyber Security Monitoring
- Cyber Security Investigation and
Escalation
- Cyber Threat Hunting
- Cyber Security Incident
Remediation Threat Intelligence
- Threat Research and Modelling
- Malware Analysis
- Communications & Coordination
- Reports and Briefings
17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
…но это еще не все
Управление сервисом
- Security Service
Provider Management
- Cloud Security Services
Management
- Vendor Management
Управление соответствием
- Разработка политик и
стандартов
- Оценка соответствия
Обучение и
тестирование
- Training Development
- Training Delivery
- Red team and other
testing services
Управление СЗИ
- IAM
- Контроль границ
- System and data integrity
protections
- Криптография
- Application security
- Другие
Управление уязвимостями
- Vulnerability Intelligence
- Vulnerability Scanning
- Vulnerability Escalation
- Vulnerability Remediation
18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Основа документов SOC
Use Сase Playbook
Runbook
1
2
3
Use Case – набор тригеров /
правил для обнаружения угроз и
инцидентов
Playbook – сценарий,
описывающий набор действий
по обнаружению, анализу,
нейтрализации, реагированию
на инциденты и восстановлению
после них
Runbook – последовательность
шагов при использовании
конкретной технологии
19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Команда
20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Разбор сложных инцидентов
• Обновление базы знаний
• Проверка инцидента и разбор эскалации
• Обнаружение пропущенных инцидентов
• Обновление базы знаний
• Мониторинг событий
• Обнаружение и эскалация инцидентов
• Управление ресурсами, компетенциями и знаниями
• Улучшение процессов и контроль SLA
Анализ инцидентов
Обнаружение инцидентов
Роли традиционной команды SOC
Анализ APT (Hunting)
Лидер SOC
21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Но это не все
• Разбор сложных инцидентов
• Обновление базы знаний
Hunting
• Управление ресурсами,
компетенциями и знаниями
• Улучшение процессов и контроль
SLA
Лидер SOC
• Анализ процессов
• Анализ базы инцидентов
• Анализ отклонений
• Обратная связь с пользователями
Анализ качества
• Техническая поддержка, патчи
• Реализация новых функций
• Резервирование
• Контроль состояния
Управление
• Проверка инцидента и разбор
эскалации
• Обнаружение пропущенных
инцидентов
• Обновление базы знаний
Анализ
• Мониторинг событий
• Обнаружение и эскалация
инцидентов
Обнаружение
22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Команда NG SOC
• Архитектор SOC
• Специалист по Use
Cases (правилам)
• Программисты
Engineering
• Управление средствами ИБ
• Аналитики
• Investigator
• 1st
Responder
• SIEM/NTA/EDR/UEBA
• SOC Lead
Ядро SOC
• … по продуктам
• … по SIEM
• … по уязвимостям
• … по compliance
SME
• Incident Handler
• Incident Responder
• Forensic Expert
CSIRT
• Контроль качества
• Администратор SOC
• Безопасность
Поддержка
• Data Scientist
• Hunters
• Threat Intelligence
CTA/CTI
• Сканирование сети
• Тестирование
приложений
• Red Team
AVMT
23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Численность команды SOC
Руководитель
SOC
Управление
инцидентами
Реагирование
Реагирование
Расследование
Аналитика,
исследования,
разведка
Аналитики
угроз
Инженеры-
аналитики
Исследователи
Платформы
Разработчики
платформы
Инженеры
платформы
Операторы
платформы
Провайдеры
Мониторинг и
реагирование
Cyber Threat
Intelligence
Аналитики
безопасности
Управление
платформой
Менеджеры
сервисов
• В Microsoft Cyber Defense
Operations Center работает
50 человек
• В Cisco CSIRT – 103
• В РТК-Solar – 100+ и еще
идет набор
• Сбербанк озвучивает
цифру в 400 человек
• У ЛК – 14 человек
24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Структура Cisco CSIRT
NetFlow System Logs
Разведка и
исследования
5
Аналитики APT
15
Следователи
25/26
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Операционные инженеры6/26
25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Зарплата команды SOC
Вариант №1. Для 9 человек (не Москва)
26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Зарплата команды SOC
Вариант №2. Для 13 человек (Москва)
27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Аналитики L1 занимаются мониторингом
событий и обнаружением простых
инцидентов
Почему первая линия SOC не нужна
Автоматизация поможет исключить
аналитиков L1, которые и так видят около
10% всего того, что должны
Оставшиеся 90% - это игра и в нее надо
быть вовлеченным
Уровень
ротации
аналитиков L1
– около 90%
28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
В П В С Ч П С
Расписание работы аналитиков
Аналитик L1
Аналитик L1
Аналитик L1
Аналитик L1
Аналитик L2
Аналитик L1
Аналитик L1
От правильного
расписания зависит
эффективность работы
Аналитики тоже люди и
хотят иметь личную жизнь
12-ти часовые смены
минимизируют число
аналитиков, но снижают
продуктивность и качество
29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Реверс-инжиниринг ВПО
• Проведение пентестов
• Обнаружение атак: Deep Dive
• «Этичный хакер»
• Управление инцидентами
• Тренинг по soft skills
• Базовый курс по безопасности
• Знание SIEM/EDR/NTA/UEBA
• Управление проектами
• Управление персоналом
• Тренинг по soft skills
План обучения
Hunting
Лидер SOC
Анализ
Обнаружение $12000
$10000
$7500
$10000
30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Когда надо увеличивать численность SOC?
Compliance
ГосСОПКА, ФЗ-187, 382-П
Временное покрытие
От 8х5 к 24х7
Слияния и поглощения
Новые площадки и люди
Рост сложности
Новые технологии, новые
задачи
31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии
32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура технологического стека SOC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat
Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT
Service
Mgmt
Управление
CPE
Security
Analytics
Управлени
е данными
Анализ
ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответстви
я
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источник
и
Другие системы
Платформа
SOC
Сервисы
корпорат
.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
Подход Cisco к построению SOC. Технологическая архитектура
33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Традиционный SOC vs NG SOC
Традиционный SOC
• В среднем 150 дней
• В течение часов
• В течение дней
• В течение часов
• В течение дней
• В течение недель
SOC нового
поколения
• Непрерывно
• В реальном времени
• Менее часа
• За минуты
• В течение часов
• В течение дней
Возможности
• Обнаружение угроз
• Классификация угроз
• Анализ инцидентов и
составление плана
реагирования
• Локализация угрозы
• Восстановление от угрозы
• Время на возврат к исходному
состоянию
34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для SecOps (ядро SOC)
Технология Стоимость, $ Важность
SIEM 200.000
Network Traffic Analysis (Flow) 140.000
Network PCAP 0
Network IDS / IPS 15.000
EDR 35.000
Хранение и парсинг логов 0
Wi-Fi IDS и мониторинг 3.000
Обманные системы 50.000
UEBA 75.000
CASB 45.000
Высокая Средняя Низкая * - зависит от стоящих задач
35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для CSIRT / CTI
Технология Стоимость, $ Важность
ПО для Endpoint Forensics (включая мобильные устройства) 0
ПО для Network Forensics (включая облака) 0
Железо для Forensics 100.000
Реверсинг вредоносного ПО (включая дебаггеры) 0
Песочница 50.000
ПО для анализа памяти 0
Фиды Threat Intelligence 20.000
Платформа Threat Intelligence 35.000
Анализ DNS / IP / AS 30.000
Высокая Средняя Низкая * - зависит от стоящих задач
36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для администрирования SOC
Технология Стоимость, $ Важность
Управление тикетами 35.000
Wiki 0
Аналитика и отчетность 15.000
УПАТС 0
Защита коммуникаций 5.000
Система управления инцидентами 25.000
Шредер 1.000
Высокая Средняя Низкая * - зависит от стоящих задач
37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
На что обратить внимание при расчете цены?
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
Продукт
Многие решения
могут быть
некоммерческими, а
open source. Стоит
учитывать стоимость
железа для них
Владение
Некоторые
технологии
(например, NTA или
хранилище логов или
система тикетов)
могут быть уже
приобретены и
находиться во
владении других
отделов
Аутсорсинг
Технология может
быть либо куплена в
собственность, либо
взята в аутсорсинг.
Возможны и иные
схемы (лизинг,
аренда…)
Поддержка
Некоторые
технологии
продаются больше
чем на 1 год, что
может быть дешевле
Open Source
Поддержка open
source бесплатна,
но может
понадобиться
доработка, а
также
специалисты иной
квалификации
+ инфляция
38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько вариантов расчета
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
536.000 123.000 153.200 161.350
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
112.000 26.000 31.200 37.440
Вариант №1. На базе коммерческих решений
Вариант №2. Коммерческие решения + open source
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
16.000 3.200 3.840 4.600
Вариант №3. На базе open source + сервера под него
39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Не забывайте про сопутствующие затраты
Половина
затрат
40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Окружение
41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
После 12-ти минут непрерывного
мониторинга аналитик пропускает 45%
активности на мониторе. После 22-х –
95%
Технологии не помогут при отсутствии
правильного помещения
После 20-40 минут активного мониторинга
у аналитика наступает психологическая
слепота
42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ключевые компоненты помещения для SOC
ОсвещениеАкустика
ДругоеЭстетика
• Шумопоглощение
• Эхо
• Реверберация
• Шумы от
вентиляторов,
чайников, проекторов
• Комната отдыха
• Кактусы на мониторах
и картины на стенах
• Настольные игры
• Эргономика рабочего
места
• Запахи
• Кондиционирование
• Влаго- и
теплообразование
• Теплообмен
• Давление в кухне
• Блики на мониторах
• Наличие окон
• Освещенность
• Теплота, яркость
освещения
44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обратите внимание
• ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование
центров управления. Часть 1. Принципы проектирования
• ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование
центров управления. Часть 2. Принципы организации
комплексов управления
• ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование
центров управления. Часть 3. Расположение зала
управления
• ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование
центров управления. Часть 4. Расположение и размеры
рабочих мест
• ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование
центров управления. Часть 5. Дисплеи и элементы
управления
• ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование
центров управления. Часть 6. Требования к окружающей
среде
• ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование
центров управления. Часть 7. Принципы верификации и
валидации
45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Intelligence
46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Уровни Threat Intelligence
Стратегический
Операционный
Тактический
Технический
Улучшают возможности SOC/NOC и других
специалистов по ИБ реагировать, обнаруживать
или предотвращать кибератаки
Улучшают возможности CIO/CISO/CTO в
использовании ИТ/ИБ в защите и реагировании
Улучшают принятие решения относительно
киберрисков на уровне CRO, CEO, Правления и
др.
Описывают индикаторы для вредоносной
активности
47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Разведка
48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Итого: время
и деньги
49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проект сервисной стратегии
Разработка проекта сервисной
стратегии для SOC, а также его
организационной структуры, Use Case,
Playbook, Runbook и т.п.
Старт проекта
Определение области проекта
Планирование проекта
Финиш
Разработаны стратегические
документы для SOC
Опрос Стратегический
workshop
Пересмотр
сервисной
стратегии
Проект
организационной
структуры
Хронология проектирования SOC
Финал
сервисной
стратегии
Пересмотр
организационной
структуры
Финал
организационной
структуры
Проектирование SOC занимает в среднем 6 недель
Оценка и бенчмаркинг SOC занимают в среднем 20 недель
50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
А потом начинается строительство SOC
51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Итого: SOC нам обойдется (пример расчета)
52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вопросы?
53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Дополнительная информация
53
54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Спасибо!
alukatsk@cisco.com