SlideShare uma empresa Scribd logo

Как построить SOC?

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.

Tecnologia
1 de 54
Baixar para ler offline
Как создать свой SOC? Поэтапный план с ценами, оргштатной структурой и инструментарием Алексей Лукацкий 10 октября 2018 Бизнес-консультант по кибербезопасности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Disclaimer За 30 минут нельзя рассказать о том, как построить центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начнем с вопросов 1 2 3 4 5 У вас есть адекватный бюджет для построения и управления SOC? У вас достаточно квалифицированных специалистов для построения и управления SOC? Как вы планируете сохранить ваших сотрудников SOC? У вас есть защищенное место для SOC? У вас есть программа обучения, позволяющая поддерживать уровень компетенций сотрудников SOC? 6 Вы знаете из каких блоков состоит SOC?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Классическая триада только мешает :-( Люди Процессы Технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Великолепная семерка Команда Технологии Сервисы Окружение Intelligence Стратегия Миссия / цели
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: SOC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство SOC Технологический стек Фаза 3: SOC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк SOC Работает! План создания SOC Трансформация Строительство SOC (помещение) Фаза 0: SOC Концепция Эталон Архитектура Спецификации Функционирование
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Миссия / цели
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на приказы ФСТЭК / ЦБ / ФСБ • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для ГосСОПКИ • У всех есть и мне нужен
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ваш SOC – это баланс между бизнесом, технологиями, рисками и финансами Бизнес-требования Централизация Децентрализация Единый глобальный SOC Разные центры (SOC/NOC) Снижение стоимости Простота управления Множество SOCов Единый центр (SOC/NOC) Высокая стоимость Сложность управления Технические требования Стандарт Кастомизация Простая платформа Простота масштабирования Средние детали по угрозам Низкая стоимость внедрения Комплексная платформа Сложность масштабирования Глубокие детали по угрозам Высокая стоимости внедрения Толерантность к рискам Аутсорсинг Инсорсинг 30-90 дней на внедрение Некритично для бизнеса Низкая стоимость внедрения Внешняя сертификация Долгое внедрение Критично для бизнеса Высокая стоимости внедрения Регулярные аудиты Финансы Низкая стоимость Высокая стоимость
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисная стратегия SOC Драйвера, ожидания заказчика, ключевые принципы и ожидаемый результат Видение стратегии Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты Резюме по сервисам Описание ключевых процессов, необходимых для реализации сервисов SOC Ключевые процессы Описание структуры команды SOC и всех ролей Организационная стратегия Описание технологического стека SOC Технологическая стратегия
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Контроль и подотчетность Полные Частичные Гибкость в настройке под свои нужды Высокая Стандартные сервисы и стандартный SLA Знание локального окружения Высокое Низкое или отсутствует Скорость развертывания От полугода (обычно 2-3 года) 2 месяца Режим работы Обычно 5 х 8 Обычно 24 х 7 Возможности по реагированию Максимальные Средние Масштабирование Среднее Высокое Уровень компетенций Средний Высокий Форма затрат CapEx OpEx Предсказуемость затрат Непредсказуемый Предсказуемый
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Очень высокая Хранение событий безопасности Локально За пределами организации Права на технологии и процессы Принадлежат заказчику Принадлежат аутсорсеру Выход за пределы своей организации Невозможен Возможно использовать данные по другим заказчикам Видимость «бревен в своем глазу» Низкая Высокая Выделенный персонал Да Нет
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Гибридная модель
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисы
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Основа документов SOC Use Сase Playbook Runbook 1 2 3 Use Case – набор тригеров / правил для обнаружения угроз и инцидентов Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них Runbook – последовательность шагов при использовании конкретной технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Но это не все • Разбор сложных инцидентов • Обновление базы знаний Hunting • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Лидер SOC • Анализ процессов • Анализ базы инцидентов • Анализ отклонений • Обратная связь с пользователями Анализ качества • Техническая поддержка, патчи • Реализация новых функций • Резервирование • Контроль состояния Управление • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний Анализ • Мониторинг событий • Обнаружение и эскалация инцидентов Обнаружение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда NG SOC • Архитектор SOC • Специалист по Use Cases (правилам) • Программисты Engineering • Управление средствами ИБ • Аналитики • Investigator • 1st Responder • SIEM/NTA/EDR/UEBA • SOC Lead Ядро SOC • … по продуктам • … по SIEM • … по уязвимостям • … по compliance SME • Incident Handler • Incident Responder • Forensic Expert CSIRT • Контроль качества • Администратор SOC • Безопасность Поддержка • Data Scientist • Hunters • Threat Intelligence CTA/CTI • Сканирование сети • Тестирование приложений • Red Team AVMT
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Численность команды SOC Руководитель SOC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов • В Microsoft Cyber Defense Operations Center работает 50 человек • В Cisco CSIRT – 103 • В РТК-Solar – 100+ и еще идет набор • Сбербанк озвучивает цифру в 400 человек • У ЛК – 14 человек
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №1. Для 9 человек (не Москва)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №2. Для 13 человек (Москва)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Когда надо увеличивать численность SOC? Compliance ГосСОПКА, ФЗ-187, 382-П Временное покрытие От 8х5 к 24х7 Слияния и поглощения Новые площадки и люди Рост сложности Новые технологии, новые задачи
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура технологического стека SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управлени е данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция Подход Cisco к построению SOC. Технологическая архитектура
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционный SOC vs NG SOC Традиционный SOC • В среднем 150 дней • В течение часов • В течение дней • В течение часов • В течение дней • В течение недель SOC нового поколения • Непрерывно • В реальном времени • Менее часа • За минуты • В течение часов • В течение дней Возможности • Обнаружение угроз • Классификация угроз • Анализ инцидентов и составление плана реагирования • Локализация угрозы • Восстановление от угрозы • Время на возврат к исходному состоянию
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для SecOps (ядро SOC) Технология Стоимость, $ Важность SIEM 200.000 Network Traffic Analysis (Flow) 140.000 Network PCAP 0 Network IDS / IPS 15.000 EDR 35.000 Хранение и парсинг логов 0 Wi-Fi IDS и мониторинг 3.000 Обманные системы 50.000 UEBA 75.000 CASB 45.000 Высокая Средняя Низкая * - зависит от стоящих задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для CSIRT / CTI Технология Стоимость, $ Важность ПО для Endpoint Forensics (включая мобильные устройства) 0 ПО для Network Forensics (включая облака) 0 Железо для Forensics 100.000 Реверсинг вредоносного ПО (включая дебаггеры) 0 Песочница 50.000 ПО для анализа памяти 0 Фиды Threat Intelligence 20.000 Платформа Threat Intelligence 35.000 Анализ DNS / IP / AS 30.000 Высокая Средняя Низкая * - зависит от стоящих задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для администрирования SOC Технология Стоимость, $ Важность Управление тикетами 35.000 Wiki 0 Аналитика и отчетность 15.000 УПАТС 0 Защита коммуникаций 5.000 Система управления инцидентами 25.000 Шредер 1.000 Высокая Средняя Низкая * - зависит от стоящих задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что обратить внимание при расчете цены? Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год Продукт Многие решения могут быть некоммерческими, а open source. Стоит учитывать стоимость железа для них Владение Некоторые технологии (например, NTA или хранилище логов или система тикетов) могут быть уже приобретены и находиться во владении других отделов Аутсорсинг Технология может быть либо куплена в собственность, либо взята в аутсорсинг. Возможны и иные схемы (лизинг, аренда…) Поддержка Некоторые технологии продаются больше чем на 1 год, что может быть дешевле Open Source Поддержка open source бесплатна, но может понадобиться доработка, а также специалисты иной квалификации + инфляция
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько вариантов расчета Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 536.000 123.000 153.200 161.350 Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 112.000 26.000 31.200 37.440 Вариант №1. На базе коммерческих решений Вариант №2. Коммерческие решения + open source Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 16.000 3.200 3.840 4.600 Вариант №3. На базе open source + сервера под него
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забывайте про сопутствующие затраты Половина затрат
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Окружение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Технологии не помогут при отсутствии правильного помещения После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевые компоненты помещения для SOC ОсвещениеАкустика ДругоеЭстетика • Шумопоглощение • Эхо • Реверберация • Шумы от вентиляторов, чайников, проекторов • Комната отдыха • Кактусы на мониторах и картины на стенах • Настольные игры • Эргономика рабочего места • Запахи • Кондиционирование • Влаго- и теплообразование • Теплообмен • Давление в кухне • Блики на мониторах • Наличие окон • Освещенность • Теплота, яркость освещения
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обратите внимание • ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование центров управления. Часть 1. Принципы проектирования • ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование центров управления. Часть 2. Принципы организации комплексов управления • ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование центров управления. Часть 3. Расположение зала управления • ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование центров управления. Часть 4. Расположение и размеры рабочих мест • ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование центров управления. Часть 5. Дисплеи и элементы управления • ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование центров управления. Часть 6. Требования к окружающей среде • ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование центров управления. Часть 7. Принципы верификации и валидации
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Intelligence
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Уровни Threat Intelligence Стратегический Операционный Тактический Технический Улучшают возможности SOC/NOC и других специалистов по ИБ реагировать, обнаруживать или предотвращать кибератаки Улучшают возможности CIO/CISO/CTO в использовании ИТ/ИБ в защите и реагировании Улучшают принятие решения относительно киберрисков на уровне CRO, CEO, Правления и др. Описывают индикаторы для вредоносной активности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Разведка
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: время и деньги
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проект сервисной стратегии Разработка проекта сервисной стратегии для SOC, а также его организационной структуры, Use Case, Playbook, Runbook и т.п. Старт проекта Определение области проекта Планирование проекта Финиш Разработаны стратегические документы для SOC Опрос Стратегический workshop Пересмотр сервисной стратегии Проект организационной структуры Хронология проектирования SOC Финал сервисной стратегии Пересмотр организационной структуры Финал организационной структуры Проектирование SOC занимает в среднем 6 недель Оценка и бенчмаркинг SOC занимают в среднем 20 недель
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public А потом начинается строительство SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: SOC нам обойдется (пример расчета)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Дополнительная информация 53
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Спасибо! alukatsk@cisco.com

Recomendados

Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeam
Dan Vasile
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
ZaiffiEhsan
 
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Sqrrl
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
Muhammad Sahputra
 
Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)
Sqrrl
 
Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...
Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...
Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...
Cloudera, Inc.
 
Introduction to Penetration Testing
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration Testing
Andrew McNicol
 
When and How to Set up a Security Operations Center
When and How to Set up a Security Operations CenterWhen and How to Set up a Security Operations Center
When and How to Set up a Security Operations Center
Komand
 

Recomendados

Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeam
Dan Vasile
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
ZaiffiEhsan
 
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Sqrrl
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
Muhammad Sahputra
 
Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)
Sqrrl
 
Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...
Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...
Delivering User Behavior Analytics at Apache Hadoop Scale : A new perspective...
Cloudera, Inc.
 
Introduction to Penetration Testing
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration Testing
Andrew McNicol
 
When and How to Set up a Security Operations Center
When and How to Set up a Security Operations CenterWhen and How to Set up a Security Operations Center
When and How to Set up a Security Operations Center
Komand
 
Cyber Threat hunting workshop
Cyber Threat hunting workshopCyber Threat hunting workshop
Cyber Threat hunting workshop
Arpan Raval
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda Security
Panda Security
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
ReZa AdineH
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
Priyanka Aash
 
7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources
LogRhythm
 
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial InstitutionsCybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Shawn Tuma
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
Prachi Mishra
 
Cyber threat intelligence ppt
Cyber threat intelligence pptCyber threat intelligence ppt
Cyber threat intelligence ppt
Kumar Gaurav
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
seadeloitte
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
Sqrrl
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations Center
Michael Nickle
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical Hacking
S.E. CTS CERT-GOV-MD
 
How to Build an Insider Threat Program in 30 Minutes
How to Build an Insider Threat Program in 30 Minutes How to Build an Insider Threat Program in 30 Minutes
How to Build an Insider Threat Program in 30 Minutes
ObserveIT
 
SOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et ResponsabilitésSOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et Responsabilités
COMPETENSIS
 
6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence
Sirius
 
Cyber threat Intelligence and Incident Response by:-Sandeep Singh
Cyber threat Intelligence and Incident Response by:-Sandeep SinghCyber threat Intelligence and Incident Response by:-Sandeep Singh
Cyber threat Intelligence and Incident Response by:-Sandeep Singh
OWASP Delhi
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF)
Priyanka Aash
 
SCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzSCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim Schulz
Jorge Orchilles
 
Introduction to it auditing
Introduction to it auditingIntroduction to it auditing
Introduction to it auditing
Damilola Mosaku
 
IT governance and Information System Security
IT governance and Information System SecurityIT governance and Information System Security
IT governance and Information System Security
CSSRL PUNE
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 

Mais conteúdo relacionado

Mais procurados

Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
ReZa AdineH
 
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial InstitutionsCybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Shawn Tuma
 
How to Build an Insider Threat Program in 30 Minutes
How to Build an Insider Threat Program in 30 Minutes How to Build an Insider Threat Program in 30 Minutes
How to Build an Insider Threat Program in 30 Minutes
ObserveIT
 
6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence
Sirius
 
SCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzSCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim Schulz
Jorge Orchilles
 

Mais procurados (20)

Cyber Threat hunting workshop
Cyber Threat hunting workshopCyber Threat hunting workshop
Cyber Threat hunting workshop
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda Security
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
 
7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources7 Steps to Build a SOC with Limited Resources
7 Steps to Build a SOC with Limited Resources
 
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial InstitutionsCybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
Cyber threat intelligence ppt
Cyber threat intelligence pptCyber threat intelligence ppt
Cyber threat intelligence ppt
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations Center
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical Hacking
 
How to Build an Insider Threat Program in 30 Minutes
How to Build an Insider Threat Program in 30 Minutes How to Build an Insider Threat Program in 30 Minutes
How to Build an Insider Threat Program in 30 Minutes
 
SOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et ResponsabilitésSOD Segregation Of Duties - Séparation de Droits et Responsabilités
SOD Segregation Of Duties - Séparation de Droits et Responsabilités
 
6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence
 
Cyber threat Intelligence and Incident Response by:-Sandeep Singh
Cyber threat Intelligence and Incident Response by:-Sandeep SinghCyber threat Intelligence and Incident Response by:-Sandeep Singh
Cyber threat Intelligence and Incident Response by:-Sandeep Singh
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF)
 
SCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzSCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim Schulz
 
Introduction to it auditing
Introduction to it auditingIntroduction to it auditing
Introduction to it auditing
 
IT governance and Information System Security
IT governance and Information System SecurityIT governance and Information System Security
IT governance and Information System Security
 

Semelhante a Как построить SOC?

5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 

Semelhante a Как построить SOC? (20)

От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 

Mais de Aleksey Lukatskiy

Mais de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 

Как построить SOC?

  • 1. Как создать свой SOC? Поэтапный план с ценами, оргштатной структурой и инструментарием Алексей Лукацкий 10 октября 2018 Бизнес-консультант по кибербезопасности
  • 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Disclaimer За 30 минут нельзя рассказать о том, как построить центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
  • 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начнем с вопросов 1 2 3 4 5 У вас есть адекватный бюджет для построения и управления SOC? У вас достаточно квалифицированных специалистов для построения и управления SOC? Как вы планируете сохранить ваших сотрудников SOC? У вас есть защищенное место для SOC? У вас есть программа обучения, позволяющая поддерживать уровень компетенций сотрудников SOC? 6 Вы знаете из каких блоков состоит SOC?
  • 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Классическая триада только мешает :-( Люди Процессы Технологии
  • 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Великолепная семерка Команда Технологии Сервисы Окружение Intelligence Стратегия Миссия / цели
  • 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: SOC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство SOC Технологический стек Фаза 3: SOC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк SOC Работает! План создания SOC Трансформация Строительство SOC (помещение) Фаза 0: SOC Концепция Эталон Архитектура Спецификации Функционирование
  • 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Миссия / цели
  • 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на приказы ФСТЭК / ЦБ / ФСБ • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для ГосСОПКИ • У всех есть и мне нужен
  • 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия
  • 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ваш SOC – это баланс между бизнесом, технологиями, рисками и финансами Бизнес-требования Централизация Децентрализация Единый глобальный SOC Разные центры (SOC/NOC) Снижение стоимости Простота управления Множество SOCов Единый центр (SOC/NOC) Высокая стоимость Сложность управления Технические требования Стандарт Кастомизация Простая платформа Простота масштабирования Средние детали по угрозам Низкая стоимость внедрения Комплексная платформа Сложность масштабирования Глубокие детали по угрозам Высокая стоимости внедрения Толерантность к рискам Аутсорсинг Инсорсинг 30-90 дней на внедрение Некритично для бизнеса Низкая стоимость внедрения Внешняя сертификация Долгое внедрение Критично для бизнеса Высокая стоимости внедрения Регулярные аудиты Финансы Низкая стоимость Высокая стоимость
  • 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисная стратегия SOC Драйвера, ожидания заказчика, ключевые принципы и ожидаемый результат Видение стратегии Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты Резюме по сервисам Описание ключевых процессов, необходимых для реализации сервисов SOC Ключевые процессы Описание структуры команды SOC и всех ролей Организационная стратегия Описание технологического стека SOC Технологическая стратегия
  • 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Контроль и подотчетность Полные Частичные Гибкость в настройке под свои нужды Высокая Стандартные сервисы и стандартный SLA Знание локального окружения Высокое Низкое или отсутствует Скорость развертывания От полугода (обычно 2-3 года) 2 месяца Режим работы Обычно 5 х 8 Обычно 24 х 7 Возможности по реагированию Максимальные Средние Масштабирование Среднее Высокое Уровень компетенций Средний Высокий Форма затрат CapEx OpEx Предсказуемость затрат Непредсказуемый Предсказуемый
  • 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Очень высокая Хранение событий безопасности Локально За пределами организации Права на технологии и процессы Принадлежат заказчику Принадлежат аутсорсеру Выход за пределы своей организации Невозможен Возможно использовать данные по другим заказчикам Видимость «бревен в своем глазу» Низкая Высокая Выделенный персонал Да Нет
  • 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Гибридная модель
  • 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисы
  • 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
  • 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
  • 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Основа документов SOC Use Сase Playbook Runbook 1 2 3 Use Case – набор тригеров / правил для обнаружения угроз и инцидентов Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них Runbook – последовательность шагов при использовании конкретной технологии
  • 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда
  • 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC
  • 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Но это не все • Разбор сложных инцидентов • Обновление базы знаний Hunting • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Лидер SOC • Анализ процессов • Анализ базы инцидентов • Анализ отклонений • Обратная связь с пользователями Анализ качества • Техническая поддержка, патчи • Реализация новых функций • Резервирование • Контроль состояния Управление • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний Анализ • Мониторинг событий • Обнаружение и эскалация инцидентов Обнаружение
  • 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда NG SOC • Архитектор SOC • Специалист по Use Cases (правилам) • Программисты Engineering • Управление средствами ИБ • Аналитики • Investigator • 1st Responder • SIEM/NTA/EDR/UEBA • SOC Lead Ядро SOC • … по продуктам • … по SIEM • … по уязвимостям • … по compliance SME • Incident Handler • Incident Responder • Forensic Expert CSIRT • Контроль качества • Администратор SOC • Безопасность Поддержка • Data Scientist • Hunters • Threat Intelligence CTA/CTI • Сканирование сети • Тестирование приложений • Red Team AVMT
  • 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Численность команды SOC Руководитель SOC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов • В Microsoft Cyber Defense Operations Center работает 50 человек • В Cisco CSIRT – 103 • В РТК-Solar – 100+ и еще идет набор • Сбербанк озвучивает цифру в 400 человек • У ЛК – 14 человек
  • 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
  • 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №1. Для 9 человек (не Москва)
  • 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №2. Для 13 человек (Москва)
  • 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
  • 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
  • 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
  • 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Когда надо увеличивать численность SOC? Compliance ГосСОПКА, ФЗ-187, 382-П Временное покрытие От 8х5 к 24х7 Слияния и поглощения Новые площадки и люди Рост сложности Новые технологии, новые задачи
  • 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии
  • 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура технологического стека SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управлени е данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция Подход Cisco к построению SOC. Технологическая архитектура
  • 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционный SOC vs NG SOC Традиционный SOC • В среднем 150 дней • В течение часов • В течение дней • В течение часов • В течение дней • В течение недель SOC нового поколения • Непрерывно • В реальном времени • Менее часа • За минуты • В течение часов • В течение дней Возможности • Обнаружение угроз • Классификация угроз • Анализ инцидентов и составление плана реагирования • Локализация угрозы • Восстановление от угрозы • Время на возврат к исходному состоянию
  • 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для SecOps (ядро SOC) Технология Стоимость, $ Важность SIEM 200.000 Network Traffic Analysis (Flow) 140.000 Network PCAP 0 Network IDS / IPS 15.000 EDR 35.000 Хранение и парсинг логов 0 Wi-Fi IDS и мониторинг 3.000 Обманные системы 50.000 UEBA 75.000 CASB 45.000 Высокая Средняя Низкая * - зависит от стоящих задач
  • 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для CSIRT / CTI Технология Стоимость, $ Важность ПО для Endpoint Forensics (включая мобильные устройства) 0 ПО для Network Forensics (включая облака) 0 Железо для Forensics 100.000 Реверсинг вредоносного ПО (включая дебаггеры) 0 Песочница 50.000 ПО для анализа памяти 0 Фиды Threat Intelligence 20.000 Платформа Threat Intelligence 35.000 Анализ DNS / IP / AS 30.000 Высокая Средняя Низкая * - зависит от стоящих задач
  • 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для администрирования SOC Технология Стоимость, $ Важность Управление тикетами 35.000 Wiki 0 Аналитика и отчетность 15.000 УПАТС 0 Защита коммуникаций 5.000 Система управления инцидентами 25.000 Шредер 1.000 Высокая Средняя Низкая * - зависит от стоящих задач
  • 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что обратить внимание при расчете цены? Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год Продукт Многие решения могут быть некоммерческими, а open source. Стоит учитывать стоимость железа для них Владение Некоторые технологии (например, NTA или хранилище логов или система тикетов) могут быть уже приобретены и находиться во владении других отделов Аутсорсинг Технология может быть либо куплена в собственность, либо взята в аутсорсинг. Возможны и иные схемы (лизинг, аренда…) Поддержка Некоторые технологии продаются больше чем на 1 год, что может быть дешевле Open Source Поддержка open source бесплатна, но может понадобиться доработка, а также специалисты иной квалификации + инфляция
  • 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько вариантов расчета Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 536.000 123.000 153.200 161.350 Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 112.000 26.000 31.200 37.440 Вариант №1. На базе коммерческих решений Вариант №2. Коммерческие решения + open source Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 16.000 3.200 3.840 4.600 Вариант №3. На базе open source + сервера под него
  • 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забывайте про сопутствующие затраты Половина затрат
  • 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Окружение
  • 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Технологии не помогут при отсутствии правильного помещения После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
  • 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  • 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевые компоненты помещения для SOC ОсвещениеАкустика ДругоеЭстетика • Шумопоглощение • Эхо • Реверберация • Шумы от вентиляторов, чайников, проекторов • Комната отдыха • Кактусы на мониторах и картины на стенах • Настольные игры • Эргономика рабочего места • Запахи • Кондиционирование • Влаго- и теплообразование • Теплообмен • Давление в кухне • Блики на мониторах • Наличие окон • Освещенность • Теплота, яркость освещения
  • 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обратите внимание • ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование центров управления. Часть 1. Принципы проектирования • ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование центров управления. Часть 2. Принципы организации комплексов управления • ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование центров управления. Часть 3. Расположение зала управления • ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование центров управления. Часть 4. Расположение и размеры рабочих мест • ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование центров управления. Часть 5. Дисплеи и элементы управления • ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование центров управления. Часть 6. Требования к окружающей среде • ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование центров управления. Часть 7. Принципы верификации и валидации
  • 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Intelligence
  • 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Уровни Threat Intelligence Стратегический Операционный Тактический Технический Улучшают возможности SOC/NOC и других специалистов по ИБ реагировать, обнаруживать или предотвращать кибератаки Улучшают возможности CIO/CISO/CTO в использовании ИТ/ИБ в защите и реагировании Улучшают принятие решения относительно киберрисков на уровне CRO, CEO, Правления и др. Описывают индикаторы для вредоносной активности
  • 47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Разведка
  • 48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: время и деньги
  • 49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проект сервисной стратегии Разработка проекта сервисной стратегии для SOC, а также его организационной структуры, Use Case, Playbook, Runbook и т.п. Старт проекта Определение области проекта Планирование проекта Финиш Разработаны стратегические документы для SOC Опрос Стратегический workshop Пересмотр сервисной стратегии Проект организационной структуры Хронология проектирования SOC Финал сервисной стратегии Пересмотр организационной структуры Финал организационной структуры Проектирование SOC занимает в среднем 6 недель Оценка и бенчмаркинг SOC занимают в среднем 20 недель
  • 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public А потом начинается строительство SOC
  • 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: SOC нам обойдется (пример расчета)
  • 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
  • 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Дополнительная информация 53
  • 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Спасибо! alukatsk@cisco.com