SlideShare una empresa de Scribd logo

Как правильно сделать SOC на базе SIEM

Denis Batrankov, CISSP
Denis Batrankov, CISSP

Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.

1 de 28
Descargar para leer sin conexión
Как сократить путь от SIEM * к SOC** The shortest way from SIEM to SOC Денис Батранков архитектор по безопасности HP Enterprise Security *SIEM - Security information and event management **SOC – Security Operation Center © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
О чем пойдет речь? SIEM это лишь очень хороший инструмент SOC это продукты*люди*процессы SOC на верхнем уровне зрелости включает более 140 процессов Аналитики в SOC больше 1-3 лет не выдерживают режима анализа логов При правильной настройке SIEM та же команда аналитиков обрабатывает в сотни раз большее число событий в сети Как достичь зрелого SOC HP помогло построить более сотни SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Что такое HP Enterprise Security 1400 безопасников из команд ArcSight, Fortify, TippingPoint 1500 безопасников из сервисного подразделения HP Enterprise Security Services Лидер рынка согласно квадратам Gartner (SIEM, Log Mgt, AppSec, Network Security) Одна команда, одно видение Лидер согласно квадрату Gartner Увеличивающаяся доля рынка 5 -й ATALLA DATA SECURITY среди самых крупных вендоров по безопасности © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Что такое SIEM На примере HP ArcSight HP ArcSight Многокомпонентная платформа для своевременного выявления атак и контроля требований безопасности • Сбор любых журналов с любых систем • Управление и хранение всех событий • Анализ событий в реальном времени • Идентификация необычного поведения на уровне пользователей • Реагировать своевременно, чтобы предотвратить потери © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Что такое SOC  Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга.  Бизнес требования реализуются сразу при разработке решения.  Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами.  Создает платформу для любого вида мониторинга и отчетности.  Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
SOC (и SIEM) требует стратегии Например • Безопасность • ISO 27002 Security Compliance • Соответствие требованиям • PCI-DSS • Операции ИТ • Процедуры и политики компании IT Operations © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Вопросы перед созданием SOC. Зачем? • Какие потребности у организации будут удовлетворены в SOC? • Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.) • Кто потребитель информации, которую собирает и рапортует SOC? • Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC? • Какие события безопасности должен «переваривать» SOC? © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Примеры использования SOC (от одного из заказчиков) Мониторинг распространения вредоносного кода Мониторинг устройств топ-менеджеров (VIP мониторинг) Мониторинг сереров Windows Мониторинг IPS Мониторинг Active Directory Контроль соответствия PCI: отчетность и оповещение Мониторинг утечек данных (DLP) Мониторинг привилегированных пользователей © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Основные бизнес драйверы к появлению SOC  Создание SOC стоит того, чтобы знать и предотвращать атаки  SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы  Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение  Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Стратегическое видение безопасного функционирования компании с использованием SOC ТЕХНОЛОГИИ ПРОЦЕССЫ Эскалация Firewall Intrusion Detection Router ЛЮДИ 5 Владельцы 2 сети и 1 систем Разбор Web инцидента Server Уровень 1 Уровень 2 6 Закрыт 4 инженер Proxy 3 Server ESM Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Задача – найти события, на которые надо реагировать Intrusion Сервера и Firewalls/ рабочие Сетевое Vulnerability Антивирусы Detection Приложения БД VPN станции оборудование Assessment Systems Физическая Identity Directory System Health Web инфраструктура Management Services Information Traffic Знакомые Миллионы уже угрозы разных событий Тысячи Известные уязвимости событий относящихся к безопасности Критичные для бизнеса Сотни ИТ ресурсы событий в результате корреляции На поверхности сразу Приоритезация на основе рисков критичные события © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
На какие события реагировать? Что ищем? (UseCase) Источники данных Критерий для реакции Действие Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Соединения от или к известным Показ активности на экране SOC Intelligence вредоносным сайтам Распространение вирусов Антивирус 3 одинаковых вируса на разных Начать контроль на экране SOC, хостах за 10 минут оповестить отвественных за рабочие станции Успешная атака на сервер IDS/IPS, информация об Атакованный сервер реально Оповестить серверную команду / уязвимости содержит данную уязвимость начать контроль за действиями сервера / вывести на экран SOC SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое Вывести на экран аналитика время Фишинг Threat Intelligence, Firewall, IDS, Connection to or from known Display in analyst active channel Proxy, Mail malicious host or domain Неавторизованный удаленный VPN, Applications Successful VPN authentication from a Display in analyst active channel / доступ non domain member Page network team Новая уязвимость на хосте в Vulnerability Новая уязвимость найдена на Email daily report to vulnerability ДМЗ публично доступной системе team Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Escalating watch lists (recon, exploit, Email daily suspicious user activity brute force, etc.) report to level 1 Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Moving average variation of X Display alerts in situational Server magnitude in specified time frame awareness dashboard Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Подбор правильного персонала в SOC Роли и должностные обязанности Обучение  Аналитики 1 и 2 уровня  Основы ИТ безопасности  Разборщик инцидентов  Обучение в процессе работы  Инженер SIEM  Обучение SIEM  Менеджер SOC  Logger Search & Reporting  Logger Admin & Operations  ESM Security Analyst  ESM Administrator  Connector Foundations  Connector Appliance  GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Оргструктура Security Operations Senior Manager Business Office SIRT – SOC Security Device Management группа разбора инцидентов Security Device Engineering Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) ArcSight Engineering Уровень-1 & Уровень-2 (Admin, Ops, Eng.) SOC 24x7x365 = 10 аналитиков, работающих в смену © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Аналитик это  Оппонент хакерам  Очень стрессоустойчивый человек  Знает сетевые технологии  Знает как выглядят исходные коды  Знает шестнадцатиричную систему счисления  Понимает как проходят атаки  Понимает как работает вредоносный код  Умеет делать выводы  Любит учиться  Любит ковыряться в продуктах  Не спит  Не болеет © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Программа тренировок аналитика © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Кто еще нужен для работы SOC?  Администраторы различных систем: серверов, баз данных, виртуализации, сети и т.д.  Группа разбора инцидентов  Администраторы системам безопасности  Юристы  Отдел кадров  Отдел PR  Руководители подразделений  Да и всем сотрудникам стоит оповещать SOC о том, что видят глазами: фишинговые письма, краденое оборудование, потери данных и т.д. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Процессы и процедуры SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Совершенствование процессов CMMI - Capability Maturity Model® Integration – методология совершенствования процессов в организациях © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Обобщение информации Сбор Анализ Использование Inductive Daily Intel Summary • Security news • Nodal analysis This is tactical intelligence for the primary • Geopolitical news • Technology news • Pattern analysis use of the SOC analysts to enable them to identify events of interest. • CERTs • Statistical analysis • Indications & warnings • Google alerts • Internal news • Inference Quarterly Threat Report • Investor news • Trained intuition This is strategic intelligence for the use of • Industry news managers and executives who are making long term technology decisions. • iDefense Deductive • DeepSight • Analogy • Secunia • FIRST • Fact collection Mechanisms • Visual analysis • Email • Intrusion detection • Time sequence • Dashboard • Network monitoring • Formal document • Weekly threat report • Traffic analysis • Briefing • Intrusion analysis © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Обработка событий людьми – cамый важный процесс SOC Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 Обозначения Неавторизованный админ A A A C1 C1  C1: Реакция в теч. 15 мин Неавторизованый пользователь A A I2 C2 C1  C2: Реакция в теч. 30 мин  C3: Реакция 2 часа Попытка неавторизованного A A A I3 C3  I2: Срочное расследование доступа  I3: Обычное расследование  T1: Критичный тикет Успешный DoS A A I2 C2 C1  T2: Срочный тикет Нарушение политики A A T3 T2 T1  T3: Обычный тикет  A: активный мониторинг Сканирование A A A I3 I2 Вредоносный код A A T3 T2 C2 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Как измерить эффективность работы SOC Weekly Analysis of Events per Analyst Week Raw Correlated Analysts Raw / Analyst Correlated / Analyst Week 1 38,697,210 97,922 10 3,869,721 9,792.20 Week 2 60,581,457 66,102 10 6,058,146 6,610.20 Raw Events / Analyst Week 4 55,585,228 19,116 10 5,558,523 1,911.60 25,000,000 Week 5 55,917,976 23,755 10 5,591,798 2,375.50 Week 6 54,044,928 18,340 10 5,404,493 1,834.00 20,000,000 Week 7 59,840,026 18,340 10 5,984,003 1,834.00 Week 8 72,364,038 33,866 10 7,236,404 3,386.60 15,000,000 Week 9 71,964,115 30,927 10 7,196,412 3,092.70 y = 589551x + 2E+06 Week 10 71,500,000 28,900 10 7,150,000 2,890.00 10,000,000 Week 11 59,600,000 19,300 10 5,960,000 1,930.00 Week 12 51,200,000 11,400 10 5,120,000 1,140.00 5,000,000 Week 13 67,600,000 17,600 10 6,760,000 1,760.00 Week 14 76,600,000 30,000 10 7,660,000 3,000.00 - Week 15 75,300,000 22,000 10 7,530,000 2,200.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Week 16 69,200,000 17,000 10 6,920,000 1,700.00 Week 17 97,800,000 17,800 10 9,780,000 1,780.00 Week 18 108,500,000 11,500 10 10,850,000 1,150.00 Correlated Events / Analyst Week 19 183,200,000 5,600 10 18,320,000 560.00 12,000.00 Week 20 182,400,000 5,100 10 18,240,000 510.00 10,000.00 Week 21 170,000,000 4,800 10 17,000,000 480.00 Week 22 182,400,000 7,600 10 18,240,000 760.00 8,000.00 Week 23 219,000,000 11,300 10 21,900,000 1,130.00 6,000.00 Week 24 168,800,000 8,100 10 16,880,000 810.00 Week 25 151,500,000 6,876 10 15,150,000 687.60 4,000.00 Week 26 170,500,000 7,813 10 17,050,000 781.30 y = -150.3x + 4274 2,000.00 Week 27 165,300,000 28,247 10 16,530,000 2,824.70 Week 28 161,500,000 4,569 10 16,150,000 456.90 - Week 29 186,700,000 6,164 10 18,670,000 616.40 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Week 30 173,600,000 5,632 10 17,360,000 563.20 (2,000.00) Average 112,454,999 20,195 11,245,500 2,020 Median 76,600,000 17,600 7,660,000 1,760 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 22
SOC отчитывается по определенным KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
SOC KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Зрелость процессов SOC 1: Хаотично Всегда по-разному 2: Повторяемо Можно повторить 3: Задано Повторяется и улучшается 4: Управляемо Измеряется и улучшается 5: Само-оптимизируемо Постоянно улучшается © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Оценка зрелости SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Построение SOC и одновременно снижение риска Разработка Разработка Реализация Взросление и Последний стратегии решения сетификация рывок SOC мирового Аудит класса Упражняемся SOC полностью работает • Staffing • Training SOC начал • Process / Procedure работу • Deploying Technology • Building content • Maturity Архитектура и операции задокументированы Легко принять Проект полностью готов 30 days 90 days 180 days 270 days 365 days Workshop & Roadmap © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Спасибо Денис Батранков, Архитектор по безопасности HP Enterprise Security © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Recomendados

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 

Recomendados

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
DNS как улика
DNS как уликаDNS как улика
DNS как уликаAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 

Más contenido relacionado

La actualidad más candente

IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 

La actualidad más candente (20)

IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 

Similar a Как правильно сделать SOC на базе SIEM

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построилиjet_information_security
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиКРОК
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиАндрей Кучеров
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...
Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...
Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...Expolink
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октfinopolis
 

Similar a Как правильно сделать SOC на базе SIEM (20)

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Решения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасностиРешения HP для обеспечения информационной безопасности
Решения HP для обеспечения информационной безопасности
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможности
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...
Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...
Microsoft. Сергей Шуичков. "Enterprise Mobility Suite - простые инструменты д...
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
Мировые тренды развития SOC
Мировые тренды развития SOCМировые тренды развития SOC
Мировые тренды развития SOC
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 

Más de Denis Batrankov, CISSP

Больше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияБольше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияDenis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
Как автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCКак автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCDenis Batrankov, CISSP
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасностьDenis Batrankov, CISSP
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 

Más de Denis Batrankov, CISSP (14)

Больше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияБольше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версия
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
 
Как автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCКак автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOC
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADA
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTM
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасность
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасности
 

Как правильно сделать SOC на базе SIEM

  • 1. Как сократить путь от SIEM * к SOC** The shortest way from SIEM to SOC Денис Батранков архитектор по безопасности HP Enterprise Security *SIEM - Security information and event management **SOC – Security Operation Center © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 2. О чем пойдет речь? SIEM это лишь очень хороший инструмент SOC это продукты*люди*процессы SOC на верхнем уровне зрелости включает более 140 процессов Аналитики в SOC больше 1-3 лет не выдерживают режима анализа логов При правильной настройке SIEM та же команда аналитиков обрабатывает в сотни раз большее число событий в сети Как достичь зрелого SOC HP помогло построить более сотни SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 3. Что такое HP Enterprise Security 1400 безопасников из команд ArcSight, Fortify, TippingPoint 1500 безопасников из сервисного подразделения HP Enterprise Security Services Лидер рынка согласно квадратам Gartner (SIEM, Log Mgt, AppSec, Network Security) Одна команда, одно видение Лидер согласно квадрату Gartner Увеличивающаяся доля рынка 5 -й ATALLA DATA SECURITY среди самых крупных вендоров по безопасности © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 4. Что такое SIEM На примере HP ArcSight HP ArcSight Многокомпонентная платформа для своевременного выявления атак и контроля требований безопасности • Сбор любых журналов с любых систем • Управление и хранение всех событий • Анализ событий в реальном времени • Идентификация необычного поведения на уровне пользователей • Реагировать своевременно, чтобы предотвратить потери © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 5. Что такое SOC  Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга.  Бизнес требования реализуются сразу при разработке решения.  Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами.  Создает платформу для любого вида мониторинга и отчетности.  Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 6. SOC (и SIEM) требует стратегии Например • Безопасность • ISO 27002 Security Compliance • Соответствие требованиям • PCI-DSS • Операции ИТ • Процедуры и политики компании IT Operations © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 7. Вопросы перед созданием SOC. Зачем? • Какие потребности у организации будут удовлетворены в SOC? • Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.) • Кто потребитель информации, которую собирает и рапортует SOC? • Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC? • Какие события безопасности должен «переваривать» SOC? © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 8. Примеры использования SOC (от одного из заказчиков) Мониторинг распространения вредоносного кода Мониторинг устройств топ-менеджеров (VIP мониторинг) Мониторинг сереров Windows Мониторинг IPS Мониторинг Active Directory Контроль соответствия PCI: отчетность и оповещение Мониторинг утечек данных (DLP) Мониторинг привилегированных пользователей © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 9. Основные бизнес драйверы к появлению SOC  Создание SOC стоит того, чтобы знать и предотвращать атаки  SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы  Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение  Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 10. Стратегическое видение безопасного функционирования компании с использованием SOC ТЕХНОЛОГИИ ПРОЦЕССЫ Эскалация Firewall Intrusion Detection Router ЛЮДИ 5 Владельцы 2 сети и 1 систем Разбор Web инцидента Server Уровень 1 Уровень 2 6 Закрыт 4 инженер Proxy 3 Server ESM Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 11. Задача – найти события, на которые надо реагировать Intrusion Сервера и Firewalls/ рабочие Сетевое Vulnerability Антивирусы Detection Приложения БД VPN станции оборудование Assessment Systems Физическая Identity Directory System Health Web инфраструктура Management Services Information Traffic Знакомые Миллионы уже угрозы разных событий Тысячи Известные уязвимости событий относящихся к безопасности Критичные для бизнеса Сотни ИТ ресурсы событий в результате корреляции На поверхности сразу Приоритезация на основе рисков критичные события © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 12. На какие события реагировать? Что ищем? (UseCase) Источники данных Критерий для реакции Действие Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Соединения от или к известным Показ активности на экране SOC Intelligence вредоносным сайтам Распространение вирусов Антивирус 3 одинаковых вируса на разных Начать контроль на экране SOC, хостах за 10 минут оповестить отвественных за рабочие станции Успешная атака на сервер IDS/IPS, информация об Атакованный сервер реально Оповестить серверную команду / уязвимости содержит данную уязвимость начать контроль за действиями сервера / вывести на экран SOC SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое Вывести на экран аналитика время Фишинг Threat Intelligence, Firewall, IDS, Connection to or from known Display in analyst active channel Proxy, Mail malicious host or domain Неавторизованный удаленный VPN, Applications Successful VPN authentication from a Display in analyst active channel / доступ non domain member Page network team Новая уязвимость на хосте в Vulnerability Новая уязвимость найдена на Email daily report to vulnerability ДМЗ публично доступной системе team Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Escalating watch lists (recon, exploit, Email daily suspicious user activity brute force, etc.) report to level 1 Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Moving average variation of X Display alerts in situational Server magnitude in specified time frame awareness dashboard Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel Server © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 13. Подбор правильного персонала в SOC Роли и должностные обязанности Обучение  Аналитики 1 и 2 уровня  Основы ИТ безопасности  Разборщик инцидентов  Обучение в процессе работы  Инженер SIEM  Обучение SIEM  Менеджер SOC  Logger Search & Reporting  Logger Admin & Operations  ESM Security Analyst  ESM Administrator  Connector Foundations  Connector Appliance  GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 14. Оргструктура Security Operations Senior Manager Business Office SIRT – SOC Security Device Management группа разбора инцидентов Security Device Engineering Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) ArcSight Engineering Уровень-1 & Уровень-2 (Admin, Ops, Eng.) SOC 24x7x365 = 10 аналитиков, работающих в смену © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 15. Аналитик это  Оппонент хакерам  Очень стрессоустойчивый человек  Знает сетевые технологии  Знает как выглядят исходные коды  Знает шестнадцатиричную систему счисления  Понимает как проходят атаки  Понимает как работает вредоносный код  Умеет делать выводы  Любит учиться  Любит ковыряться в продуктах  Не спит  Не болеет © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 16. Программа тренировок аналитика © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 17. Кто еще нужен для работы SOC?  Администраторы различных систем: серверов, баз данных, виртуализации, сети и т.д.  Группа разбора инцидентов  Администраторы системам безопасности  Юристы  Отдел кадров  Отдел PR  Руководители подразделений  Да и всем сотрудникам стоит оповещать SOC о том, что видят глазами: фишинговые письма, краденое оборудование, потери данных и т.д. © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 18. Процессы и процедуры SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 19. Совершенствование процессов CMMI - Capability Maturity Model® Integration – методология совершенствования процессов в организациях © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 20. Обобщение информации Сбор Анализ Использование Inductive Daily Intel Summary • Security news • Nodal analysis This is tactical intelligence for the primary • Geopolitical news • Technology news • Pattern analysis use of the SOC analysts to enable them to identify events of interest. • CERTs • Statistical analysis • Indications & warnings • Google alerts • Internal news • Inference Quarterly Threat Report • Investor news • Trained intuition This is strategic intelligence for the use of • Industry news managers and executives who are making long term technology decisions. • iDefense Deductive • DeepSight • Analogy • Secunia • FIRST • Fact collection Mechanisms • Visual analysis • Email • Intrusion detection • Time sequence • Dashboard • Network monitoring • Formal document • Weekly threat report • Traffic analysis • Briefing • Intrusion analysis © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 21. Обработка событий людьми – cамый важный процесс SOC Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 Обозначения Неавторизованный админ A A A C1 C1  C1: Реакция в теч. 15 мин Неавторизованый пользователь A A I2 C2 C1  C2: Реакция в теч. 30 мин  C3: Реакция 2 часа Попытка неавторизованного A A A I3 C3  I2: Срочное расследование доступа  I3: Обычное расследование  T1: Критичный тикет Успешный DoS A A I2 C2 C1  T2: Срочный тикет Нарушение политики A A T3 T2 T1  T3: Обычный тикет  A: активный мониторинг Сканирование A A A I3 I2 Вредоносный код A A T3 T2 C2 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 22. Как измерить эффективность работы SOC Weekly Analysis of Events per Analyst Week Raw Correlated Analysts Raw / Analyst Correlated / Analyst Week 1 38,697,210 97,922 10 3,869,721 9,792.20 Week 2 60,581,457 66,102 10 6,058,146 6,610.20 Raw Events / Analyst Week 4 55,585,228 19,116 10 5,558,523 1,911.60 25,000,000 Week 5 55,917,976 23,755 10 5,591,798 2,375.50 Week 6 54,044,928 18,340 10 5,404,493 1,834.00 20,000,000 Week 7 59,840,026 18,340 10 5,984,003 1,834.00 Week 8 72,364,038 33,866 10 7,236,404 3,386.60 15,000,000 Week 9 71,964,115 30,927 10 7,196,412 3,092.70 y = 589551x + 2E+06 Week 10 71,500,000 28,900 10 7,150,000 2,890.00 10,000,000 Week 11 59,600,000 19,300 10 5,960,000 1,930.00 Week 12 51,200,000 11,400 10 5,120,000 1,140.00 5,000,000 Week 13 67,600,000 17,600 10 6,760,000 1,760.00 Week 14 76,600,000 30,000 10 7,660,000 3,000.00 - Week 15 75,300,000 22,000 10 7,530,000 2,200.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Week 16 69,200,000 17,000 10 6,920,000 1,700.00 Week 17 97,800,000 17,800 10 9,780,000 1,780.00 Week 18 108,500,000 11,500 10 10,850,000 1,150.00 Correlated Events / Analyst Week 19 183,200,000 5,600 10 18,320,000 560.00 12,000.00 Week 20 182,400,000 5,100 10 18,240,000 510.00 10,000.00 Week 21 170,000,000 4,800 10 17,000,000 480.00 Week 22 182,400,000 7,600 10 18,240,000 760.00 8,000.00 Week 23 219,000,000 11,300 10 21,900,000 1,130.00 6,000.00 Week 24 168,800,000 8,100 10 16,880,000 810.00 Week 25 151,500,000 6,876 10 15,150,000 687.60 4,000.00 Week 26 170,500,000 7,813 10 17,050,000 781.30 y = -150.3x + 4274 2,000.00 Week 27 165,300,000 28,247 10 16,530,000 2,824.70 Week 28 161,500,000 4,569 10 16,150,000 456.90 - Week 29 186,700,000 6,164 10 18,670,000 616.40 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Week 30 173,600,000 5,632 10 17,360,000 563.20 (2,000.00) Average 112,454,999 20,195 11,245,500 2,020 Median 76,600,000 17,600 7,660,000 1,760 © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 22
  • 23. SOC отчитывается по определенным KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 24. SOC KPI © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 25. Зрелость процессов SOC 1: Хаотично Всегда по-разному 2: Повторяемо Можно повторить 3: Задано Повторяется и улучшается 4: Управляемо Измеряется и улучшается 5: Само-оптимизируемо Постоянно улучшается © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 26. Оценка зрелости SOC © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 27. Построение SOC и одновременно снижение риска Разработка Разработка Реализация Взросление и Последний стратегии решения сетификация рывок SOC мирового Аудит класса Упражняемся SOC полностью работает • Staffing • Training SOC начал • Process / Procedure работу • Deploying Technology • Building content • Maturity Архитектура и операции задокументированы Легко принять Проект полностью готов 30 days 90 days 180 days 270 days 365 days Workshop & Roadmap © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  • 28. Спасибо Денис Батранков, Архитектор по безопасности HP Enterprise Security © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.