O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

"Сочные"мифы. Заблуждения, связанные с SOC

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 30 Anúncio

"Сочные"мифы. Заблуждения, связанные с SOC

Baixar para ler offline

Обзор некоторых заблуждений, связанных с SOC, которые мне довелось увидеть в разных странах мира, включая и Россию

Обзор некоторых заблуждений, связанных с SOC, которые мне довелось увидеть в разных странах мира, включая и Россию

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Quem viu também gostou (20)

Anúncio

Semelhante a "Сочные"мифы. Заблуждения, связанные с SOC (20)

Mais de Aleksey Lukatskiy (18)

Anúncio

Mais recentes (20)

"Сочные"мифы. Заблуждения, связанные с SOC

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 «Сочные» мифы Заблуждения, связанные с SOC Алексей Лукацкий Бизнес-консультант по безопасности 27 мая 2016 года
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 SOC Tour в США
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Реклама SOC в США
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Такое бывает только на картинках
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Это не так красиво, как на постановочных кадрах • Если SOC решает функции управления, реагирования и администрирования, то это Фото  не  для  публичного  показа
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Повседневная работа отличается от картинок
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Красиво и эффективно?
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Динамические карты атак. А зачем?
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Все SOC одинаковы Фото  не  для  публичного  показа
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Все SOC одинаковы Фото  не  для  публичного  показа
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Размер имеет значение Visa's  Operations  Center  East
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 SOC должен быть физическим • В SOC важно не физическое местоположение, а люди и выстроенные процессы
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Threat   Intelligence Feeds Обогащенные   данные SOC – это SIEM Full  packet  capture Protocol  metadata NetFlow Machine  exhaust  (logs) Неструктурированная   телеметрия Другая  потоковая   телеметрия Parse   +   Form at Enri ch Alert Log  Mining  and   Analytics Big  Data   Exploration, Predictive   Modelling Network   Packet  Mining   and  PCAP   Reconstruction Приложения  +  аналитика
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Люди Данные Технологии SOC – это технологическое решение / система Аналитика
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Не все SOC одинаково полезны Известные  угрозы Разнообразие Зрелость 80%  решений Deterministic   Rules-­Based   Analytics  (DRB) Statistical   Rules-­Based   Analytics  (SRB) Data  Science-­Centric   Analytics  (DSC) Тюнинг Контекст Полиморфизм Big  Data Обнаружение  аномалий Прогнозирование Ложные   срабатывания Одномерность Хранение Озера  данных Общая  модель  данных Классификация  событий Профили  поведения Ориентация  на   конкретные  задачи Привязан  к  заказчику
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Учет цепочки реализации атаки (Kill Chain) Recon Weaponize Deliver Exploit Install C&C Action DGA Model TyposquattingModel SRBDRB DSC-U Scan Analysis Static Malware Family Classifier Dynamic Malware Family Model Attribution Model Alerts ClusteringAsset Categorization Dossier Creation User Behavioral Model Asset Behavioral Model Protocol Anomaly Detection Burst Detection DSC-S Horizontal Movement AnomalyDetection FrequencyDomain Hash Signature Rules IP Blacklist Rules Trend Forecasting Session AnomalyDetection User Categorization Forensic Rules Compliance Rules User Sentiment Model Social Media Mining ExfiltrationPolicy HTTP Attack Rules ASN Belief Networks Computer Vision– Binary/GUI SPAM Classifier Javascript Clustering FastFlux DetectorSocial Network Scraper
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Внешний SOC позволяет реагировать на инциденты ИБ Модель  CAPEX Модель  OPEX Владение  средствами  защиты Заказчик Провайдер  SOC Владение  средствами  мониторинга Провайдер  SOC Провайдер  SOC Лицо,  принимающее  решение по  инцидентам Заказчик Провайдер  SOC Владение средствами  контроля  состояния  и   поддержки  средств защиты Заказчик Провайдер  SOC Управление  жизненным  циклом  средств  защиты   (например,  замена,  регламентные  работы) Заказчик Провайдер  SOC • SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не реагированием на них Это неверная трактовка,но именно в этом случае миф является правдой • В полноценном SOC помимо функции мониторинга возможна реализации и других функций ИБ и администрирования
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 SOC может бороться с инцидентами • У вас определено понятие «инцидента ИБ»? • Что для вас норма, а что нет? Как вы проводите границу? • Знаете ли вы кто, куда, когда, зачем и как имеют доступ в вашей сети?
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 SOC борется с уже произошедшими событиями • «Hunting Team», которые ищут индикаторы компрометации и предварительные следы несанкционированнойактивности • Red/Blue Team проводят реальные попытки взлома организации до того, как это сделают злоумышленники • Учет цепочки реализации атаки
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 В SOC работают квалифицированные специалисты • Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков? • Уровень квалификации зависит от линии поддержки
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Cisco SOC РАЗВЕДКА  &   ИССЛЕДОВАНИЯ АНАЛИТИКА 26 ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ network  logs system  logs user   attribution analysis  tools case  tools deep  packet   analysis collaboration   tools intel  feeds РАССЛЕДОВАНИЯ 4 APT 1422
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 NATO NCIRC Данные  не  для  публичного  показа
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Все SOCи имеют документированные процедуры • Ad-Hoc: Процессы типично недокументированы и неконтролируемы. Реализация минимума по мере необходимости • Повторяемый, но недисциплинированный: Процессы повторяются с более предсказуемыми результатами • Контролируемый: операции четко определены и документированы и регулярно подвергаются пересмотру и совершенствованию • Оптимизированный: Активности стандартизованы и вводя показатели деятельности для оценки эффективности • Адаптивный: основное внимание уделяется постоянному совершенствованию процессов
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 SOC может вариться в собственном соку Intel Signature Flows Intel Signature Behavior Flows Intel Signature В  прошлом 2012 2013 Необходимо  использовать  различные  способы  изучения  угроз   Сетевые  потоки  | Поведение  | Сигнатуры  |  Исследования  
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Правила корреляции – это нетрудно • Кто должен создавать правила корреляции – поставщик услуг или заказчик? • Надо ли иметь опыт проведения пентестов и атак для создания адекватных правил?
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Надо собирать все данные для анализа
  27. 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Можно нормализовать все данные и снизить объем хранилища Image:  http://www.pn-­design.co.uk/design_blogs/images/resolution-­as-­mosaic.jpg • Детальные данные могут понадобиться при проведении расследований и передаче дела в следственные органы • Детальные данные потребуют больших системных ресурсов для хранения, индексации, поиска и формирования отчетов
  28. 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Аутсорсинговый SOC дороже • При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к операционным Требования Ожидаемые   ежегодные затраты Ежегодные затраты   на  внешний  SOC Персонал  SOC  – 11 человек • 3  смены  аналитиков  ИБ  для  мониторинга  24x7 • Также  требуется:  Менеджер  SOC,  системные  администраторы и  аналитики   инцидентов $1,100,000 Включено Оборудование*,  лицензии  на  ПО*,  поддержка, инфраструктура  SOC $960,000 Включено Подписка  на  Threat Intelligence $200,000 Включено Real  Time  Analytics Engine  (базируется  на Hadoop  2.0)  – машинное  обучение,  анализ   графов,  обнаружение   аномалий   $1M+ Включено Разработка  Workflow, процессы  и  методология  автоматизации ? Включено ВСЕГО $3M+ $2,000,000
  29. 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Пишите  на  security-­request@cisco.com Быть  в  курсе  всех  последних  новостей  вам  помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-­Russia-­3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
  30. 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Благодарю за внимание

×