SlideShare uma empresa Scribd logo

Сколько надо SOC?

Sergey Soldatov
Sergey Soldatov

SOC Forum 2022

Tecnologia
1 de 48
Baixar para ler offline
- SOC свешайте! - Сколько вешать в граммах? Сергей Солдатов Руководитель SOC Название навеяно этой рекламой https://youtu.be/aIZi2q1zyhE
Аналитика SOC и DFIR https://securelist.com/the-nature-of-cyber-incidents/107119/ https://securelist.com/managed-detection-and-response-in-2021/106540/
Аналитика SOC и DFIR https://www.brighttalk.com/webcast/18657/556471 https://www.brighttalk.com/webcast/18972/547327
О чем поговорим? • [Иногда] есть языковая проблема межу CISO и ЛПР • Решение – красивые картинки • Картинки – это: • Метрики операционной ИБ • Метрики атакующих • Взятые из той же операционной ИБ • Аналитические отчеты: • Сравнение своих метрик с лидерами • Старт, когда своих метрик пока не наработали
Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
Проблемы Бизнеса • Сколько Безопасности достаточно? • От чего защищаться? • Сколько и чего для этого нужно? • CapEx • OpEx • Как измерять успех?
Метрики • Доказать свою нужность • Оценить операционную эффективность и результативность • Оценить загрузку команды • Найти проблемы и пути решения • Выявить тенденции и предсказать будущее • Как долго не замечают? • Что в итоге хотят? • Кого ломают? • Как ломают? • Чем пользуются? • Как обнаруживают? Сопоставить свои возможности с реальным ландшафтом угроз!
9 Атакующие
10 Атакующие
Кого ломают? • Мой регион? • Моя отрасль? • Посмотреть тенденции…
Как ломают? • Защита и мониторинг этих векторов? • Я могу обнаружить такую активность?
Как обнаруживают? (1/2) • Я могу обнаружить такую активность? • Мониторинг конечной точки? • Мониторинг сети? • Что такое «подозрительная активность»? • Что такое «инцидент»? • Как ошибаются аналитики?
Как обнаруживают? (2/2) • Можно сравнить себя с коллегами по цеху
Как долго не замечают? (1/2) • Каков мой MTTD? • Какова эффективность обнаружения при входе с этого вектора? • Какова вероятность ошибки аналитика?
Как долго не замечают? (2/2) • Каков мой MTTD при таком типе атаки? • Мой MTTD меньше продолжительности самой быстрой атаки?
Как долго расследуют и восстанавливают? • У меня есть столько ресурсов, сколько надо на худший сценарий? • А лучше х2
Чего в итоге хотят? • Как в моей сети атакующий будет достигать этой цели? • Какие контроли ИБ на своем пути он встретит? • Где и как я смогу это увидеть?
Чем пользуются? • Как я обнаруживаю использования LOLBins? • Как я обнаруживаю использования специализированных инструментов?
20 Защитники
21 Защитники
Операционная эффективность • Почему не обнаруживают с 1 алерта? • Последующие алерты приходят в период реагирования? • Как это связано с критичностью инцидента?
Операционная эффективность • Почему есть инциденты Низкой и Средней критичности, отработанных неэффективно после первого алерта? • Какие типы инцидентов отрабатываются неэффективно? • Какие типы инцидентов вообще есть?
Инциденты высокой критичности Тип Комментарий APT Управляемая человеком RT Анализ защищенности/Red teaming Артефакты APT/RT Артефакты работы человека MW c ущербом ВПО с большим влиянием (эпидемия шифровальщика и т.п.) Публично доступные уязвимости Могут быть успешно атакованы с периметра DOS с ущербом [Распределенный] отказ в обслуживании с большим влиянием Инсайдер с ущербом Атака с участием инсайдера с большим влиянием Успешная социалка с ущербом Успешная социальная инженерия с большим влиянием • Работают люди • Фактический или потенциальный большой ущерб • Обычно нужны DFIR
Инциденты средней критичности Тип Комментарий MW «Обычное» ВПО Майнеры Обнаружение майнеров Успешная социалка без ущерба Социалка успешна, но ущерба не было DOS без ущерба [Распределенный] отказ в обслуживании без влияния Уязвимость Уязвимость, не подходящая для инцидента высокой критичности Инсайдер без ущерба Инцидент с инсайдером без ущерба Рекогносцировка Сканирование и любая инвентаризация без развития • Нет видимых признаков работы людей • Те же типы, но нет большого ущерба • Можно эффективно отработать автоматом
Инциденты низкой критичности Тип Комментарий PUP Потенциально нежелательное ПО (не подходит для Высокой и Средней критичности) Не активное MW Артефакты ВПО, но оно не активно Некорректное использование без последствий Любые некорректные действия, без последствий (Если заметен умысел классифицируется, как Инсайдер) • Potentially unwanted program • То, что не может классифицировано как Высокого и Среднего уровня • Нет фактического ущерба, потенциальный – допустим или нематериален • Можно эффективно отработать автоматом
Кого как атакуют?
Ожидаемое количество инцидентов Инцидентов на 10 000 ПК
Сколько времени уйдет на понимание? • А вы сколько думали? • Вас устраивает такое время? • Декомпозируем на этапы и поймем где можно ускориться… • Какая автоматизация нужна? …сбор релевантных событий/алертов и оформление
Достаточность команды? • Объем работы: алерты, инциденты и время их обработки • Возможности команды: аналитиков «в онлайне»
Косвенно о достаточности команды • Длина очереди • Как долго алерты стоят в очереди
Ошибки аналитиков • Выборочная перепроверка • Приоритезация • Подробный разбор, документирование • Отслеживание тенденций Критичность Комментарий (упрощенно) Низкая Ошибки оформления, не дописал Средняя Не дорасследовал (не все релевантные события найдены) Высокая Неправильная интерпретация происходящего
Конверсия и Вклад • Отличный инструмент приоритезации… • Перепроверки аналитиков • Переработки логики обнаружения • Автоматизации • …
34 Зачем всё это?
Голубые vs. Красные Чёрные Используемые TTP Время до цели Потенциальная цель, мотивация
Голубые vs. Чёрные Используемые TTP Есть сценарии предотвращения Есть телеметрия Есть правила обнаружения Есть работа с FP и ошибками Время до цели Время обнаружения Время реагирования Потенциальная цель, мотивация Есть данные TI Есть ресурсы расследовать своевременно
Время до цели vs. MTTD+MTTR Обнаружили и изолировали Время до цели Период наблюдения Время
Объем работы vs. Доступность команды Доступность команды Объем работы Период наблюдения Часы
Объем работы vs. Доступность команды
Результативность – это понятно! А как же эффективность?
Дополнительно • Конверсия и Вклад по каждому правилу обнаружения • Конверсия и Вклад по каждому аналитику • Время расследования по каждому типу инцидента • Длина очереди по каждому аналитику • Статистика ошибок аналитиков • Эффективность систем обнаружения • Те же Вклад и Конверсия • И т.п. * * Мы не ставим задачу раскрыть полностью тему Метрик SOC
42 Откуда брать метрики?
Исходные данные для аналитики* • Таймлайн алерта • Время создания событий алерта • Время создания алерта • Время взятия алерта в работу • Время закрытия алерта как FP или импорта в кейс • Таймлайн кейса • Время создания, публикации • Время приостановки, возобновления • Время эскалаций • Время смены статусов • Время доступности аналитиков • Количество алертов, кейсов, инцидентов • Количество сырых событий • Количество объектов мониторинга • Количество тенантов/клиентов • Ожидания • Алертов с объекта мониторинга • Конверсия Алерта в Инцидент • Объектов мониторинга на одного аналитика * Приведен неполный список, но с этого можно начать
Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
Данные аналитики Управление инцидентами Скорость обнаружения Скорость реагирования MTTD MTTR Покрытие телеметрией Трудоемкость обнаружения и триажа (SOC) Трудоемкость расследования и восстановления Покрытие правилами Тенденции Природа инцидента Мотивация атакующих Ошибки FP - Inr - Tech Ошибки аналитиков
Выводы • CMM* – отличный инструмент оценки, но простые термины MTTD и MTTR понятнее • Аналитика DFIR – разносторонняя демонстрация фактических возможностей атакующих • Постоянное вычисление метрик SOC дает объективное представление возможностей защитников • Профилирование работы аналитиков – базис для объективной оценки производительности команды • Возможности атакующих покажут требования к защитникам • Объем работ – требования к производительности команды * https://www.soc-cmm.com/
Спасибо за внимание!

Recomendados

SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Expolink
 

Recomendados

SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Expolink
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTExpolink
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системКРОК
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028Diana Frolova
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC InsideSolar Security
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdftrenders
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностьюАльбина Минуллина
 
Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security OperationsSergey Soldatov
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноSergey Soldatov
 

Mais conteúdo relacionado

Semelhante a Сколько надо SOC?

Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTExpolink
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системКРОК
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028Diana Frolova
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdftrenders
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокSQALab
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 

Semelhante a Сколько надо SOC? (20)

Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
 
Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных систем
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Андрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибокАндрей Уразов - Методы раннего обнаружения ошибок
Андрей Уразов - Методы раннего обнаружения ошибок
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 

Mais de Sergey Soldatov

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security OperationsSergey Soldatov
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноSergey Soldatov
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!Sergey Soldatov
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationSergey Soldatov
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureSergey Soldatov
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозыSergey Soldatov
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5Sergey Soldatov
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!Sergey Soldatov
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииSergey Soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensourceSergey Soldatov
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDMSergey Soldatov
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovSergey Soldatov
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 

Mais de Sergey Soldatov (20)

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security Operations
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратно
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformation
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Вопросы к DLP
Вопросы к DLPВопросы к DLP
Вопросы к DLP
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографии
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 

Сколько надо SOC?

  • 1. - SOC свешайте! - Сколько вешать в граммах? Сергей Солдатов Руководитель SOC Название навеяно этой рекламой https://youtu.be/aIZi2q1zyhE
  • 2. Аналитика SOC и DFIR https://securelist.com/the-nature-of-cyber-incidents/107119/ https://securelist.com/managed-detection-and-response-in-2021/106540/
  • 3. Аналитика SOC и DFIR https://www.brighttalk.com/webcast/18657/556471 https://www.brighttalk.com/webcast/18972/547327
  • 4. О чем поговорим? • [Иногда] есть языковая проблема межу CISO и ЛПР • Решение – красивые картинки • Картинки – это: • Метрики операционной ИБ • Метрики атакующих • Взятые из той же операционной ИБ • Аналитические отчеты: • Сравнение своих метрик с лидерами • Старт, когда своих метрик пока не наработали
  • 5. Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
  • 6. Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
  • 7. Проблемы Бизнеса • Сколько Безопасности достаточно? • От чего защищаться? • Сколько и чего для этого нужно? • CapEx • OpEx • Как измерять успех?
  • 8. Метрики • Доказать свою нужность • Оценить операционную эффективность и результативность • Оценить загрузку команды • Найти проблемы и пути решения • Выявить тенденции и предсказать будущее • Как долго не замечают? • Что в итоге хотят? • Кого ломают? • Как ломают? • Чем пользуются? • Как обнаруживают? Сопоставить свои возможности с реальным ландшафтом угроз!
  • 11. Кого ломают? • Мой регион? • Моя отрасль? • Посмотреть тенденции…
  • 12. Как ломают? • Защита и мониторинг этих векторов? • Я могу обнаружить такую активность?
  • 13. Как обнаруживают? (1/2) • Я могу обнаружить такую активность? • Мониторинг конечной точки? • Мониторинг сети? • Что такое «подозрительная активность»? • Что такое «инцидент»? • Как ошибаются аналитики?
  • 14. Как обнаруживают? (2/2) • Можно сравнить себя с коллегами по цеху
  • 15. Как долго не замечают? (1/2) • Каков мой MTTD? • Какова эффективность обнаружения при входе с этого вектора? • Какова вероятность ошибки аналитика?
  • 16. Как долго не замечают? (2/2) • Каков мой MTTD при таком типе атаки? • Мой MTTD меньше продолжительности самой быстрой атаки?
  • 17. Как долго расследуют и восстанавливают? • У меня есть столько ресурсов, сколько надо на худший сценарий? • А лучше х2
  • 18. Чего в итоге хотят? • Как в моей сети атакующий будет достигать этой цели? • Какие контроли ИБ на своем пути он встретит? • Где и как я смогу это увидеть?
  • 19. Чем пользуются? • Как я обнаруживаю использования LOLBins? • Как я обнаруживаю использования специализированных инструментов?
  • 22. Операционная эффективность • Почему не обнаруживают с 1 алерта? • Последующие алерты приходят в период реагирования? • Как это связано с критичностью инцидента?
  • 23. Операционная эффективность • Почему есть инциденты Низкой и Средней критичности, отработанных неэффективно после первого алерта? • Какие типы инцидентов отрабатываются неэффективно? • Какие типы инцидентов вообще есть?
  • 24. Инциденты высокой критичности Тип Комментарий APT Управляемая человеком RT Анализ защищенности/Red teaming Артефакты APT/RT Артефакты работы человека MW c ущербом ВПО с большим влиянием (эпидемия шифровальщика и т.п.) Публично доступные уязвимости Могут быть успешно атакованы с периметра DOS с ущербом [Распределенный] отказ в обслуживании с большим влиянием Инсайдер с ущербом Атака с участием инсайдера с большим влиянием Успешная социалка с ущербом Успешная социальная инженерия с большим влиянием • Работают люди • Фактический или потенциальный большой ущерб • Обычно нужны DFIR
  • 25. Инциденты средней критичности Тип Комментарий MW «Обычное» ВПО Майнеры Обнаружение майнеров Успешная социалка без ущерба Социалка успешна, но ущерба не было DOS без ущерба [Распределенный] отказ в обслуживании без влияния Уязвимость Уязвимость, не подходящая для инцидента высокой критичности Инсайдер без ущерба Инцидент с инсайдером без ущерба Рекогносцировка Сканирование и любая инвентаризация без развития • Нет видимых признаков работы людей • Те же типы, но нет большого ущерба • Можно эффективно отработать автоматом
  • 26. Инциденты низкой критичности Тип Комментарий PUP Потенциально нежелательное ПО (не подходит для Высокой и Средней критичности) Не активное MW Артефакты ВПО, но оно не активно Некорректное использование без последствий Любые некорректные действия, без последствий (Если заметен умысел классифицируется, как Инсайдер) • Potentially unwanted program • То, что не может классифицировано как Высокого и Среднего уровня • Нет фактического ущерба, потенциальный – допустим или нематериален • Можно эффективно отработать автоматом
  • 29. Сколько времени уйдет на понимание? • А вы сколько думали? • Вас устраивает такое время? • Декомпозируем на этапы и поймем где можно ускориться… • Какая автоматизация нужна? …сбор релевантных событий/алертов и оформление
  • 30. Достаточность команды? • Объем работы: алерты, инциденты и время их обработки • Возможности команды: аналитиков «в онлайне»
  • 31. Косвенно о достаточности команды • Длина очереди • Как долго алерты стоят в очереди
  • 32. Ошибки аналитиков • Выборочная перепроверка • Приоритезация • Подробный разбор, документирование • Отслеживание тенденций Критичность Комментарий (упрощенно) Низкая Ошибки оформления, не дописал Средняя Не дорасследовал (не все релевантные события найдены) Высокая Неправильная интерпретация происходящего
  • 33. Конверсия и Вклад • Отличный инструмент приоритезации… • Перепроверки аналитиков • Переработки логики обнаружения • Автоматизации • …
  • 35. Голубые vs. Красные Чёрные Используемые TTP Время до цели Потенциальная цель, мотивация
  • 36. Голубые vs. Чёрные Используемые TTP Есть сценарии предотвращения Есть телеметрия Есть правила обнаружения Есть работа с FP и ошибками Время до цели Время обнаружения Время реагирования Потенциальная цель, мотивация Есть данные TI Есть ресурсы расследовать своевременно
  • 37. Время до цели vs. MTTD+MTTR Обнаружили и изолировали Время до цели Период наблюдения Время
  • 38. Объем работы vs. Доступность команды Доступность команды Объем работы Период наблюдения Часы
  • 39. Объем работы vs. Доступность команды
  • 40. Результативность – это понятно! А как же эффективность?
  • 41. Дополнительно • Конверсия и Вклад по каждому правилу обнаружения • Конверсия и Вклад по каждому аналитику • Время расследования по каждому типу инцидента • Длина очереди по каждому аналитику • Статистика ошибок аналитиков • Эффективность систем обнаружения • Те же Вклад и Конверсия • И т.п. * * Мы не ставим задачу раскрыть полностью тему Метрик SOC
  • 43. Исходные данные для аналитики* • Таймлайн алерта • Время создания событий алерта • Время создания алерта • Время взятия алерта в работу • Время закрытия алерта как FP или импорта в кейс • Таймлайн кейса • Время создания, публикации • Время приостановки, возобновления • Время эскалаций • Время смены статусов • Время доступности аналитиков • Количество алертов, кейсов, инцидентов • Количество сырых событий • Количество объектов мониторинга • Количество тенантов/клиентов • Ожидания • Алертов с объекта мониторинга • Конверсия Алерта в Инцидент • Объектов мониторинга на одного аналитика * Приведен неполный список, но с этого можно начать
  • 44. Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
  • 45. Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
  • 46. Данные аналитики Управление инцидентами Скорость обнаружения Скорость реагирования MTTD MTTR Покрытие телеметрией Трудоемкость обнаружения и триажа (SOC) Трудоемкость расследования и восстановления Покрытие правилами Тенденции Природа инцидента Мотивация атакующих Ошибки FP - Inr - Tech Ошибки аналитиков
  • 47. Выводы • CMM* – отличный инструмент оценки, но простые термины MTTD и MTTR понятнее • Аналитика DFIR – разносторонняя демонстрация фактических возможностей атакующих • Постоянное вычисление метрик SOC дает объективное представление возможностей защитников • Профилирование работы аналитиков – базис для объективной оценки производительности команды • Возможности атакующих покажут требования к защитникам • Объем работ – требования к производительности команды * https://www.soc-cmm.com/