2. 1
КИБЕРБЕЗОПАСНОСТЬ, are you sure?
ПОЯВЛЕНИЕ НОВЫХ
ТЕХНОЛОГИЙ И
БИЗНЕС МОДЕЛЕЙ
Использование мобильных
устройств / BYOD
Облачные технологии
Обширная IT инфраструктура
Internet of Things
etc.
ПОЯВЛЕНИЕ НОВЫХ
КИБЕРУГРОЗ
Инсайдеры
Script-kiddies
Организованная преступность
Конкуренты / хактивисты
Таргетированные атаки
НОРМАТИВНЫЕ
ТРЕБОВАНИЯ
В ЧАСТИ ИБ
Требования регуляторов:
ФСТЭК, ФСБ, ЦБ
Требования стандартов:
PCI/DSS, ISO 27001
ПОЯВЛЕНИЕ, ВЫЯВЛЕНИЕ И
ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ
ЗАРАЖЕНИЕ ВРЕДОНОСНЫМ КОДОМ
КОМПРОМЕТАЦИЯ ДАННЫХ
ФИНАНСОВЫЕ ПОТЕРИ
DDOS-АТАКИ
ПРОВЕРКИ РЕГУЛЯТОРОВ
3. 2
ПОЧЕМУ КИБЕР-БЕЗОПАСНОСТЬ
ОТ РОСТЕЛЕКОМ?
БОЛЕЕ 5 ЛЕТ НА СТРАЖЕ
- Инфраструктуры систем «Электронного правительства»
- Клиентов «Национальной облачной платформы Ростелеком»
25 ЧЕЛОВЕК В КОМАНДЕ SOC. Непрерывное развитие и рост.
ИНФРАСТРУКТУРА РАСПРЕДЕЛЕНА ОТ КАЛИНИНГРАДА
ДО ВЛАДИВОСТОКА → возможность сбора собственных feed и
наполнение базы ioc
С ЦЕЛЬЮ УСКОРЕНИЯ «ЭВОЛЮЦИИ" SOC РОСТЕЛЕКОМ
- Ориентируемся на мировой опыт
- Привлекаем консультантов с признанным в мире опытом
4. 3
НЕМНОГО ЦИФР
В ТЕЧЕНИЕ 1/2 года
ФИКСИРУЕТСЯ ИНЦИДЕНТОВ ИБ : ~ 22 000 шт.
ИЗ НИХ ПОДТВЕРЖДЕННЫХ: ~ 20%
СРЕДНИЙ ОБЪЕМ СОБЫТИЙ,
ПОСТУПАЮЩИХ В SIEM в секунду:
~ 12 000 eps
СРЕДНЕСУТОЧНЫЙ ОБЪЕМ СОБЫТИЙ ИБ,
ОБРАБАТЫВАЕМЫЙ В SIEM:
~ 2.5 млрд.
5. 4
КАК ВСЕ УСТРОЕНО
ФИЗИЧЕСКАЯ
ИНФРАСТРУКТУРА
БАЗЫ ДАННЫХ
ПОЧТА
ПРИЛОЖЕНИЯ
СЕТЕВОЕ
ОБОРУДОВАНИЕ
Источники событий
WAF FW/NG-FW
VPN
IPS
SIEM
ГРУППА
МОНИТОРИНГА
ГРУППА
РЕАГИРОВАНИЯ
СЕРВИС-МЕНЕДЖЕР
ГРУППА
АДМИНИСТРИРОВАНИЯ
СЗИ
ЗАКАЗЧИК
Endpoint
Sec
Anti-DDoS
Sec
scanners
ГРУППА
АВТОМАТИЗАЦИИ
6. 5
КАК ВСЕ РАБОТАЕТ
СБОР СОБЫТИЙ
FW
IPS/IDS
WAF
VPN
АНАЛИЗ СОБЫТИЙ
мониторинг поступающих событий безопасности в режиме 24х7х365;
обработка входящих данных и выделение инцидентов;
уведомление Заказчика об инциденте;
сбор необходимых данных для реагирования и расследования инцидента;
мониторинг работоспособности подключенных услуг по обеспечению информационной
безопасности;
РЕАКЦИЯ
НА ОБНАРУЖЕННЫЕ
ИНЦИДЕНТЫ
аналитика по инцидентам на основании информации, поступившей из различных
источников
определение информационных активов, пострадавших в результате инцидентов ИБ
принятие оперативных мер для устранения инцидента (в команде с IT-службой)
анализ причин возникновения инцидента
принятие мер для устранения причин возникновения инцидента
Anti-DDoS
Vulnerability scanners
Endpoint
Сетевое оборудование