SlideShare a Scribd company logo

Некоторые примеры метрик для измерения эффективности SOC

Aleksey Lukatskiy
Aleksey Lukatskiy

Доклад на SOC Forum 2.0, посвященный обзору типичных метрик для оценки эффективности SOC с разных точек зрения - ИБ, операций, центра целиком и т.п.

Technology
1 of 34
Download to read offline
Бизнес-консультант по безопасности Обзор метрик, используемых для оценки эффективности SOC Алексей Лукацкий 16 ноября 2016 г.
Security Operations Center
Что измеряем? Center Operations Security SOC
Базовые Предотвращение Firewall Anti-Virus Host IPS Web proxy Anti-Spam Network IPS Обнаружение Network IDS NetFlow anomaly Advanced Malware Behavioral anomaly Сбор NetFlow Event logs Web proxy logs Web firewall Нейтрализация IP blackhole account disablement scalable load balancer device monitoring Анализ NetFlow analysis SIEM analysis Malware analysis Измерение Security
• % обнаруженного спама от общего числа писем • % писем с вредоносными программами или фишингом от общего числа писем • % необнаруженного спама/вредоносных программ/фишинга • % ложного обнаружения спама/вредоносных программ/фишинга • Число предотвращенных утечек информации • Число вирусов/спама/утечек в исходящей почте • Число зашифрованных сообщений Оценка системы защиты e-mail
• Число авторизованных изменений в неделю • Число актуальных изменений, сделанных за неделю • Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений • Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным • Число срочных изменений • Число необъяснимых изменений Оценка системы анализа конфигураций
Считать можно все! Метрика Частота измерения Единица измерения Удачная аутентификация квартал секунда Неудачная аутентификация квартал секунда Время регистрации в системе квартал Минут в день Добавление/удаление учетной записи квартал Долларов за событие Инцидент, произошедший из-за некорректной настройки системы контроля доступа квартал инцидент
Считать можно все! Метрика Частота измерения Единица измерения Число лэптопов с внедренной подсистемой шифрования важных и конфиденциальных документов квартал процент Число систем с установленными последними патчами месяц процент Число систем с автоматическим антивирусным обновлением полугодие процент Число систем с разрешенными уязвимыми протоколами полугодие процент Атаки по типу квартал процент
• Обнаруженных вирусов в файлах • Обнаруженных вирусов в почте • Неудачный пароль при входе в систему • Попытка проникновения/атаки • Обнаруженный/отраженный спам • Доступ к вредоносным сайтам • Неудачное имя при входе в систему • Обнаруженных вирусов на сайтах Что обычно считают?
• Внутренняя попытка НСД • Нарушение со стороны администратора • Удачное проникновение • Раскрытие информации • Пропущенный спам • Ложное обнаружение спама Что обычно считают?
• Утилизация ЦПУ инфраструктурных решений и средств защиты • Утилизация полосы пропускания • Соотношение атак по их критичности • Географическая привязка атак • Топ10 «чего-нибудь» (атак, жертв, сигнатур, стран…) Что еще можно измерять?
• Оценка наличия и соответствия защитных мер, поддерживаемых SOC, требованиям стандарта CSC20 (ANZ35 и др.) • Позволяет оценить текущий статус защиты и разрыв от идеального • Показывает фокус на будущее Тепловые карты
Можно ли объединить все в одну метрику? Задача: повысить индекс до максимальных 400 Градация уровней Пример расчета 1 2 3 4 5 Значение Уровень Вес Рейтинг Число уязвимостей на ПК (в среднем) 100 75 50 25 0 34 4 25 100 Число инцидентов ИБ >5 5 3-4 1-2 0 5 2 25 50 Число непропатченных ПК 100% 75% 50% 25% 0% 65% 3 25 75 Объем спама >95% 95% 90% 80% <80% 24% 4 25 100 Совокупный рейтинг 325
Типичные сервисы SOC Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
…но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
Измерение процессов ИБ, а не только технических средств ИБ Процент заблокированного спама Процент прошедшего спама через антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности
• % пользователей, прошедших тренинг по использованию и защите электронной почты • % пользователей, сообщивших о пропущенном спаме/вредоносной программе/фишинге • Рейтинг успешности повышения осведомленности в области использования и защиты электронной почты • % внутренних нарушителей, отправивших спам/вредоносную программу/конфиденциальную информацию Оценка процесса защиты e-mail
• Измерение эффективности операций, определяющихся их скоростью, временем или числом • Операции должны быть быстрее • Операции должны быть короче • Операций должно быть меньше Измерение Operations
Временные параметры Support business outcomes Enable business change Manage risk in line with business needs Optimize customer experience Show value for moneyContinually improve • Time-to-Detect (TTD) • Time-to-Contain (TTC) • Time-to-Remediate (TTR) • Time-to-Response (TTR) TTD TTC TTR Первая активность Обнаружение Лечение Восстановление
Оценка по стадии kill chain Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов • Чем раньше SOC может обнаружить угрозу, тем он эффективнее • Для оценки «раньше» применяется концепция Kill Chain
Оценка воронки событий "Сырые" события Некоррелированные Коррелированные Инциденты Критические Важна оценка в динамике
• Время между созданием и закрытием заявки (ticket) в SOC • Процент инцидентов обнаруживаемых и нейтрализуемых автоматически, без участия специалистов SOC • Соотношение открытых и «закрытых» заявок • Соотношение инцидентов и заявок • Число повторных инцидентов • Соотношение методов коммуникаций с SOC (e-mail / звонков / портал) • Число false positives (несуществующих инцидентов) Другие примеры метрик для operations
• Число изменений средств защиты по результатам расследований инцидентов • Соотношение инцидентов по их критичности • Цена/длительность разрешения инцидента • Число новых заявок Другие примеры метрик для operations
• Задача: оценить время реагирования на звонок об инциденте • Поощрение за снижение времени реагирования • Сотрудники могут класть трубку сразу после звонка! • Поощрение за число разрешенных инцидентов • Сотрудники будут самостоятельно пытаться закрыть инцидент, не эскалируя его правильному специалисту • Увеличение длительности звонков и ожидания клиентов на линии • Меньше доступных специалистов – ниже удовлетворенностьна звонок + длительность звонка Не забывайте про подводные камни
• Среднее время работы над заявкой (эффективность аналитика) • Время работы над инцидентами разных типов и разной критичности • Число отслеживаемых SOCом средств защиты (логов) от их общего числа • Число отслеживаемых SOCом критических систем • Зрелость SOC Измерение center
Измерение уровней зрелости SOC с течением времени Для оценки уровня зрелости можно использовать соответствующие модели зрелости: • Модель зрелости COBIT • Уровни зрелости SEI
Три компонента SOC Люди • Структура • Обучение и осведомленность • Знания и опыт Процессы • Систематизация инцидентов • Отчеты об инцидентах • Анализ инцидентов • Закрытие инцидента • Пост-инцидентная обработка • Обнаружение уязвимостей • Устранение уязвимостей Технологии • Готовность сетевой инфраструктуры • Сбор, корреляция и анализ событий • Мониторинг ИБ • Контроль ИБ • Управление логами • Оценка уязвимостей • Отслеживание уязвимостей • Threat Intelligence
Оценка SOC с точки зрения бизнеса Поддержка бизнес-целей Поддержка бизнес-изменений Управление рисками Оптимизация опыта пользователей «Покажите мне деньги» Непрерывные улучшения • Зачем SOC бизнесу? Зачем ему тратить на него деньги? • «Покажите мне деньги» • Сколько мы сохранили денег клиентам? • Сколько мы не потеряли от простоя от атак? • Насколько мы ускорили наши бизнес-процессы?
• Потери от вредоносов/спама/утечек/фишинга • Сэкономленное время сотрудников • Затраты на Интернет-трафик для удаленных офисов/мобильных работников • Затраты на серверные мощности для хранения e-mail (соотношение 4 к 1) Оценка системы защиты e-mail с точки зрения бизнеса
• Пример: 1347 инцидентов в прошлом году против 856 в этом • Снижение числа злоумышленников (что может быть и не связно с деятельностью службы ИБ) • Снижение числа регистрируемых инцидентов или закрывание глаз на часть из них • Изменения трактовки термина «инцидент» вследствие внедрения какого-либо из стандартов управления инцидентами (ITU-T E.409, ISO 18044, RFC 2350 или NIST SP 800-61) • Улучшилась система защиты • Стали пропускать инциденты Надо осознавать причины появления тех или иных результатов
Разные аудитории требуют разных метрик • Что ценно для бизнеса? • Как мы это измеряем?C level • Как мы способствуем бизнесу? • Как мы можем это измерить? • Где лучше использовать ресурсы? • Какой бюджет мне для этого необходим? Директор • Насколько эффективно работают мои аналитики? • Сколько заявок аналитики обрабатывают?Менеджер
Свой SOC или чужой? Показатели ИБ • число отраженных инцидентов в их числе или в предотвращен ных потерях, устраненных уязвимостей и т.п Показатели SOC • число сотрудников, оперативность реагирования и т.п. Интересно внешнему SOC Интересно внутреннему SOC
• Не бывает плохих или хороших метрик – бывают полезные и не очень! • Поймите, что такое SOC и зачем он нужен вашему бизнесу (а не вам) • SOC – это вершина вашей ИБ или один из процессов? • Поймите, зачем вы хотите оценивать SOC • Вы оцениваете чей SOC - свой или аутсорсинговый? • Кому вы будете презентовать результаты оценки? В качестве резюме
Спасибо! alukatsk@cisco.com

Recommended

Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 

Recommended

Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как уликаAleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy
 

More Related Content

What's hot

Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 

What's hot (20)

Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических систем
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 

Viewers also liked

Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Национальная система киберобороны Министерства Обороны США
Национальная система киберобороны Министерства Обороны СШАНациональная система киберобороны Министерства Обороны США
Национальная система киберобороны Министерства Обороны СШАAleksey Lukatskiy
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымAleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
ИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 

Viewers also liked (20)

Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Национальная система киберобороны Министерства Обороны США
Национальная система киберобороны Министерства Обороны СШАНациональная система киберобороны Министерства Обороны США
Национальная система киберобороны Министерства Обороны США
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным данным
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
ИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле Agile
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 

Similar to Некоторые примеры метрик для измерения эффективности SOC

Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdftrenders
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 

Similar to Некоторые примеры метрик для измерения эффективности SOC (20)

Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 

Некоторые примеры метрик для измерения эффективности SOC

  • 1. Бизнес-консультант по безопасности Обзор метрик, используемых для оценки эффективности SOC Алексей Лукацкий 16 ноября 2016 г.
  • 4. Базовые Предотвращение Firewall Anti-Virus Host IPS Web proxy Anti-Spam Network IPS Обнаружение Network IDS NetFlow anomaly Advanced Malware Behavioral anomaly Сбор NetFlow Event logs Web proxy logs Web firewall Нейтрализация IP blackhole account disablement scalable load balancer device monitoring Анализ NetFlow analysis SIEM analysis Malware analysis Измерение Security
  • 5. • % обнаруженного спама от общего числа писем • % писем с вредоносными программами или фишингом от общего числа писем • % необнаруженного спама/вредоносных программ/фишинга • % ложного обнаружения спама/вредоносных программ/фишинга • Число предотвращенных утечек информации • Число вирусов/спама/утечек в исходящей почте • Число зашифрованных сообщений Оценка системы защиты e-mail
  • 6. • Число авторизованных изменений в неделю • Число актуальных изменений, сделанных за неделю • Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений • Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным • Число срочных изменений • Число необъяснимых изменений Оценка системы анализа конфигураций
  • 7. Считать можно все! Метрика Частота измерения Единица измерения Удачная аутентификация квартал секунда Неудачная аутентификация квартал секунда Время регистрации в системе квартал Минут в день Добавление/удаление учетной записи квартал Долларов за событие Инцидент, произошедший из-за некорректной настройки системы контроля доступа квартал инцидент
  • 8. Считать можно все! Метрика Частота измерения Единица измерения Число лэптопов с внедренной подсистемой шифрования важных и конфиденциальных документов квартал процент Число систем с установленными последними патчами месяц процент Число систем с автоматическим антивирусным обновлением полугодие процент Число систем с разрешенными уязвимыми протоколами полугодие процент Атаки по типу квартал процент
  • 9. • Обнаруженных вирусов в файлах • Обнаруженных вирусов в почте • Неудачный пароль при входе в систему • Попытка проникновения/атаки • Обнаруженный/отраженный спам • Доступ к вредоносным сайтам • Неудачное имя при входе в систему • Обнаруженных вирусов на сайтах Что обычно считают?
  • 10. • Внутренняя попытка НСД • Нарушение со стороны администратора • Удачное проникновение • Раскрытие информации • Пропущенный спам • Ложное обнаружение спама Что обычно считают?
  • 11. • Утилизация ЦПУ инфраструктурных решений и средств защиты • Утилизация полосы пропускания • Соотношение атак по их критичности • Географическая привязка атак • Топ10 «чего-нибудь» (атак, жертв, сигнатур, стран…) Что еще можно измерять?
  • 12. • Оценка наличия и соответствия защитных мер, поддерживаемых SOC, требованиям стандарта CSC20 (ANZ35 и др.) • Позволяет оценить текущий статус защиты и разрыв от идеального • Показывает фокус на будущее Тепловые карты
  • 13. Можно ли объединить все в одну метрику? Задача: повысить индекс до максимальных 400 Градация уровней Пример расчета 1 2 3 4 5 Значение Уровень Вес Рейтинг Число уязвимостей на ПК (в среднем) 100 75 50 25 0 34 4 25 100 Число инцидентов ИБ >5 5 3-4 1-2 0 5 2 25 50 Число непропатченных ПК 100% 75% 50% 25% 0% 65% 3 25 75 Объем спама >95% 95% 90% 80% <80% 24% 4 25 100 Совокупный рейтинг 325
  • 14. Типичные сервисы SOC Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
  • 15. …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
  • 16. Измерение процессов ИБ, а не только технических средств ИБ Процент заблокированного спама Процент прошедшего спама через антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности
  • 17. • % пользователей, прошедших тренинг по использованию и защите электронной почты • % пользователей, сообщивших о пропущенном спаме/вредоносной программе/фишинге • Рейтинг успешности повышения осведомленности в области использования и защиты электронной почты • % внутренних нарушителей, отправивших спам/вредоносную программу/конфиденциальную информацию Оценка процесса защиты e-mail
  • 18. • Измерение эффективности операций, определяющихся их скоростью, временем или числом • Операции должны быть быстрее • Операции должны быть короче • Операций должно быть меньше Измерение Operations
  • 19. Временные параметры Support business outcomes Enable business change Manage risk in line with business needs Optimize customer experience Show value for moneyContinually improve • Time-to-Detect (TTD) • Time-to-Contain (TTC) • Time-to-Remediate (TTR) • Time-to-Response (TTR) TTD TTC TTR Первая активность Обнаружение Лечение Восстановление
  • 20. Оценка по стадии kill chain Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов • Чем раньше SOC может обнаружить угрозу, тем он эффективнее • Для оценки «раньше» применяется концепция Kill Chain
  • 21. Оценка воронки событий "Сырые" события Некоррелированные Коррелированные Инциденты Критические Важна оценка в динамике
  • 22. • Время между созданием и закрытием заявки (ticket) в SOC • Процент инцидентов обнаруживаемых и нейтрализуемых автоматически, без участия специалистов SOC • Соотношение открытых и «закрытых» заявок • Соотношение инцидентов и заявок • Число повторных инцидентов • Соотношение методов коммуникаций с SOC (e-mail / звонков / портал) • Число false positives (несуществующих инцидентов) Другие примеры метрик для operations
  • 23. • Число изменений средств защиты по результатам расследований инцидентов • Соотношение инцидентов по их критичности • Цена/длительность разрешения инцидента • Число новых заявок Другие примеры метрик для operations
  • 24. • Задача: оценить время реагирования на звонок об инциденте • Поощрение за снижение времени реагирования • Сотрудники могут класть трубку сразу после звонка! • Поощрение за число разрешенных инцидентов • Сотрудники будут самостоятельно пытаться закрыть инцидент, не эскалируя его правильному специалисту • Увеличение длительности звонков и ожидания клиентов на линии • Меньше доступных специалистов – ниже удовлетворенностьна звонок + длительность звонка Не забывайте про подводные камни
  • 25. • Среднее время работы над заявкой (эффективность аналитика) • Время работы над инцидентами разных типов и разной критичности • Число отслеживаемых SOCом средств защиты (логов) от их общего числа • Число отслеживаемых SOCом критических систем • Зрелость SOC Измерение center
  • 26. Измерение уровней зрелости SOC с течением времени Для оценки уровня зрелости можно использовать соответствующие модели зрелости: • Модель зрелости COBIT • Уровни зрелости SEI
  • 27. Три компонента SOC Люди • Структура • Обучение и осведомленность • Знания и опыт Процессы • Систематизация инцидентов • Отчеты об инцидентах • Анализ инцидентов • Закрытие инцидента • Пост-инцидентная обработка • Обнаружение уязвимостей • Устранение уязвимостей Технологии • Готовность сетевой инфраструктуры • Сбор, корреляция и анализ событий • Мониторинг ИБ • Контроль ИБ • Управление логами • Оценка уязвимостей • Отслеживание уязвимостей • Threat Intelligence
  • 28. Оценка SOC с точки зрения бизнеса Поддержка бизнес-целей Поддержка бизнес-изменений Управление рисками Оптимизация опыта пользователей «Покажите мне деньги» Непрерывные улучшения • Зачем SOC бизнесу? Зачем ему тратить на него деньги? • «Покажите мне деньги» • Сколько мы сохранили денег клиентам? • Сколько мы не потеряли от простоя от атак? • Насколько мы ускорили наши бизнес-процессы?
  • 29. • Потери от вредоносов/спама/утечек/фишинга • Сэкономленное время сотрудников • Затраты на Интернет-трафик для удаленных офисов/мобильных работников • Затраты на серверные мощности для хранения e-mail (соотношение 4 к 1) Оценка системы защиты e-mail с точки зрения бизнеса
  • 30. • Пример: 1347 инцидентов в прошлом году против 856 в этом • Снижение числа злоумышленников (что может быть и не связно с деятельностью службы ИБ) • Снижение числа регистрируемых инцидентов или закрывание глаз на часть из них • Изменения трактовки термина «инцидент» вследствие внедрения какого-либо из стандартов управления инцидентами (ITU-T E.409, ISO 18044, RFC 2350 или NIST SP 800-61) • Улучшилась система защиты • Стали пропускать инциденты Надо осознавать причины появления тех или иных результатов
  • 31. Разные аудитории требуют разных метрик • Что ценно для бизнеса? • Как мы это измеряем?C level • Как мы способствуем бизнесу? • Как мы можем это измерить? • Где лучше использовать ресурсы? • Какой бюджет мне для этого необходим? Директор • Насколько эффективно работают мои аналитики? • Сколько заявок аналитики обрабатывают?Менеджер
  • 32. Свой SOC или чужой? Показатели ИБ • число отраженных инцидентов в их числе или в предотвращен ных потерях, устраненных уязвимостей и т.п Показатели SOC • число сотрудников, оперативность реагирования и т.п. Интересно внешнему SOC Интересно внутреннему SOC
  • 33. • Не бывает плохих или хороших метрик – бывают полезные и не очень! • Поймите, что такое SOC и зачем он нужен вашему бизнесу (а не вам) • SOC – это вершина вашей ИБ или один из процессов? • Поймите, зачем вы хотите оценивать SOC • Вы оцениваете чей SOC - свой или аутсорсинговый? • Кому вы будете презентовать результаты оценки? В качестве резюме