SlideShare una empresa de Scribd logo

Как построить SOC?

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.

Tecnología
1 de 54
Descargar para leer sin conexión
Как создать свой SOC? Поэтапный план с ценами, оргштатной структурой и инструментарием Алексей Лукацкий 10 октября 2018 Бизнес-консультант по кибербезопасности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Disclaimer За 30 минут нельзя рассказать о том, как построить центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начнем с вопросов 1 2 3 4 5 У вас есть адекватный бюджет для построения и управления SOC? У вас достаточно квалифицированных специалистов для построения и управления SOC? Как вы планируете сохранить ваших сотрудников SOC? У вас есть защищенное место для SOC? У вас есть программа обучения, позволяющая поддерживать уровень компетенций сотрудников SOC? 6 Вы знаете из каких блоков состоит SOC?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Классическая триада только мешает :-( Люди Процессы Технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Великолепная семерка Команда Технологии Сервисы Окружение Intelligence Стратегия Миссия / цели
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: SOC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство SOC Технологический стек Фаза 3: SOC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк SOC Работает! План создания SOC Трансформация Строительство SOC (помещение) Фаза 0: SOC Концепция Эталон Архитектура Спецификации Функционирование
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Миссия / цели
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на приказы ФСТЭК / ЦБ / ФСБ • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для ГосСОПКИ • У всех есть и мне нужен
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ваш SOC – это баланс между бизнесом, технологиями, рисками и финансами Бизнес-требования Централизация Децентрализация Единый глобальный SOC Разные центры (SOC/NOC) Снижение стоимости Простота управления Множество SOCов Единый центр (SOC/NOC) Высокая стоимость Сложность управления Технические требования Стандарт Кастомизация Простая платформа Простота масштабирования Средние детали по угрозам Низкая стоимость внедрения Комплексная платформа Сложность масштабирования Глубокие детали по угрозам Высокая стоимости внедрения Толерантность к рискам Аутсорсинг Инсорсинг 30-90 дней на внедрение Некритично для бизнеса Низкая стоимость внедрения Внешняя сертификация Долгое внедрение Критично для бизнеса Высокая стоимости внедрения Регулярные аудиты Финансы Низкая стоимость Высокая стоимость
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисная стратегия SOC Драйвера, ожидания заказчика, ключевые принципы и ожидаемый результат Видение стратегии Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты Резюме по сервисам Описание ключевых процессов, необходимых для реализации сервисов SOC Ключевые процессы Описание структуры команды SOC и всех ролей Организационная стратегия Описание технологического стека SOC Технологическая стратегия
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Контроль и подотчетность Полные Частичные Гибкость в настройке под свои нужды Высокая Стандартные сервисы и стандартный SLA Знание локального окружения Высокое Низкое или отсутствует Скорость развертывания От полугода (обычно 2-3 года) 2 месяца Режим работы Обычно 5 х 8 Обычно 24 х 7 Возможности по реагированию Максимальные Средние Масштабирование Среднее Высокое Уровень компетенций Средний Высокий Форма затрат CapEx OpEx Предсказуемость затрат Непредсказуемый Предсказуемый
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Очень высокая Хранение событий безопасности Локально За пределами организации Права на технологии и процессы Принадлежат заказчику Принадлежат аутсорсеру Выход за пределы своей организации Невозможен Возможно использовать данные по другим заказчикам Видимость «бревен в своем глазу» Низкая Высокая Выделенный персонал Да Нет
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Гибридная модель
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисы
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Основа документов SOC Use Сase Playbook Runbook 1 2 3 Use Case – набор тригеров / правил для обнаружения угроз и инцидентов Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них Runbook – последовательность шагов при использовании конкретной технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Но это не все • Разбор сложных инцидентов • Обновление базы знаний Hunting • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Лидер SOC • Анализ процессов • Анализ базы инцидентов • Анализ отклонений • Обратная связь с пользователями Анализ качества • Техническая поддержка, патчи • Реализация новых функций • Резервирование • Контроль состояния Управление • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний Анализ • Мониторинг событий • Обнаружение и эскалация инцидентов Обнаружение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда NG SOC • Архитектор SOC • Специалист по Use Cases (правилам) • Программисты Engineering • Управление средствами ИБ • Аналитики • Investigator • 1st Responder • SIEM/NTA/EDR/UEBA • SOC Lead Ядро SOC • … по продуктам • … по SIEM • … по уязвимостям • … по compliance SME • Incident Handler • Incident Responder • Forensic Expert CSIRT • Контроль качества • Администратор SOC • Безопасность Поддержка • Data Scientist • Hunters • Threat Intelligence CTA/CTI • Сканирование сети • Тестирование приложений • Red Team AVMT
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Численность команды SOC Руководитель SOC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов • В Microsoft Cyber Defense Operations Center работает 50 человек • В Cisco CSIRT – 103 • В РТК-Solar – 100+ и еще идет набор • Сбербанк озвучивает цифру в 400 человек • У ЛК – 14 человек
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №1. Для 9 человек (не Москва)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №2. Для 13 человек (Москва)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Когда надо увеличивать численность SOC? Compliance ГосСОПКА, ФЗ-187, 382-П Временное покрытие От 8х5 к 24х7 Слияния и поглощения Новые площадки и люди Рост сложности Новые технологии, новые задачи
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура технологического стека SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управлени е данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция Подход Cisco к построению SOC. Технологическая архитектура
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционный SOC vs NG SOC Традиционный SOC • В среднем 150 дней • В течение часов • В течение дней • В течение часов • В течение дней • В течение недель SOC нового поколения • Непрерывно • В реальном времени • Менее часа • За минуты • В течение часов • В течение дней Возможности • Обнаружение угроз • Классификация угроз • Анализ инцидентов и составление плана реагирования • Локализация угрозы • Восстановление от угрозы • Время на возврат к исходному состоянию
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для SecOps (ядро SOC) Технология Стоимость, $ Важность SIEM 200.000 Network Traffic Analysis (Flow) 140.000 Network PCAP 0 Network IDS / IPS 15.000 EDR 35.000 Хранение и парсинг логов 0 Wi-Fi IDS и мониторинг 3.000 Обманные системы 50.000 UEBA 75.000 CASB 45.000 Высокая Средняя Низкая * - зависит от стоящих задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для CSIRT / CTI Технология Стоимость, $ Важность ПО для Endpoint Forensics (включая мобильные устройства) 0 ПО для Network Forensics (включая облака) 0 Железо для Forensics 100.000 Реверсинг вредоносного ПО (включая дебаггеры) 0 Песочница 50.000 ПО для анализа памяти 0 Фиды Threat Intelligence 20.000 Платформа Threat Intelligence 35.000 Анализ DNS / IP / AS 30.000 Высокая Средняя Низкая * - зависит от стоящих задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для администрирования SOC Технология Стоимость, $ Важность Управление тикетами 35.000 Wiki 0 Аналитика и отчетность 15.000 УПАТС 0 Защита коммуникаций 5.000 Система управления инцидентами 25.000 Шредер 1.000 Высокая Средняя Низкая * - зависит от стоящих задач
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что обратить внимание при расчете цены? Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год Продукт Многие решения могут быть некоммерческими, а open source. Стоит учитывать стоимость железа для них Владение Некоторые технологии (например, NTA или хранилище логов или система тикетов) могут быть уже приобретены и находиться во владении других отделов Аутсорсинг Технология может быть либо куплена в собственность, либо взята в аутсорсинг. Возможны и иные схемы (лизинг, аренда…) Поддержка Некоторые технологии продаются больше чем на 1 год, что может быть дешевле Open Source Поддержка open source бесплатна, но может понадобиться доработка, а также специалисты иной квалификации + инфляция
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько вариантов расчета Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 536.000 123.000 153.200 161.350 Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 112.000 26.000 31.200 37.440 Вариант №1. На базе коммерческих решений Вариант №2. Коммерческие решения + open source Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 16.000 3.200 3.840 4.600 Вариант №3. На базе open source + сервера под него
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забывайте про сопутствующие затраты Половина затрат
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Окружение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Технологии не помогут при отсутствии правильного помещения После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевые компоненты помещения для SOC ОсвещениеАкустика ДругоеЭстетика • Шумопоглощение • Эхо • Реверберация • Шумы от вентиляторов, чайников, проекторов • Комната отдыха • Кактусы на мониторах и картины на стенах • Настольные игры • Эргономика рабочего места • Запахи • Кондиционирование • Влаго- и теплообразование • Теплообмен • Давление в кухне • Блики на мониторах • Наличие окон • Освещенность • Теплота, яркость освещения
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обратите внимание • ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование центров управления. Часть 1. Принципы проектирования • ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование центров управления. Часть 2. Принципы организации комплексов управления • ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование центров управления. Часть 3. Расположение зала управления • ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование центров управления. Часть 4. Расположение и размеры рабочих мест • ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование центров управления. Часть 5. Дисплеи и элементы управления • ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование центров управления. Часть 6. Требования к окружающей среде • ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование центров управления. Часть 7. Принципы верификации и валидации
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Intelligence
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Уровни Threat Intelligence Стратегический Операционный Тактический Технический Улучшают возможности SOC/NOC и других специалистов по ИБ реагировать, обнаруживать или предотвращать кибератаки Улучшают возможности CIO/CISO/CTO в использовании ИТ/ИБ в защите и реагировании Улучшают принятие решения относительно киберрисков на уровне CRO, CEO, Правления и др. Описывают индикаторы для вредоносной активности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Разведка
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: время и деньги
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проект сервисной стратегии Разработка проекта сервисной стратегии для SOC, а также его организационной структуры, Use Case, Playbook, Runbook и т.п. Старт проекта Определение области проекта Планирование проекта Финиш Разработаны стратегические документы для SOC Опрос Стратегический workshop Пересмотр сервисной стратегии Проект организационной структуры Хронология проектирования SOC Финал сервисной стратегии Пересмотр организационной структуры Финал организационной структуры Проектирование SOC занимает в среднем 6 недель Оценка и бенчмаркинг SOC занимают в среднем 20 недель
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public А потом начинается строительство SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: SOC нам обойдется (пример расчета)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Дополнительная информация 53
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Спасибо! alukatsk@cisco.com

Recomendados

Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Strategy considerations for building a security operations center
Strategy considerations for building a security operations centerStrategy considerations for building a security operations center
Strategy considerations for building a security operations centerCMR WORLD TECH
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation CenterS.E. CTS CERT-GOV-MD
 
Effective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehEffective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehReZa AdineH
 
SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?Jonathan Sinclair
 
Bulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalBulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalMahmoud Yassin
 
SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1Priyanka Aash
 

Recomendados

Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Strategy considerations for building a security operations center
Strategy considerations for building a security operations centerStrategy considerations for building a security operations center
Strategy considerations for building a security operations centerCMR WORLD TECH
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation CenterS.E. CTS CERT-GOV-MD
 
Effective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehEffective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehReZa AdineH
 
SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?Jonathan Sinclair
 
Bulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalBulding Soc In Changing Threat Landscapefinal
Bulding Soc In Changing Threat LandscapefinalMahmoud Yassin
 
SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1Priyanka Aash
 
DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)Shah Sheikh
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmPriyanka Aash
 
Leveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageLeveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageErik Van Buggenhout
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
Cyber security maturity model- IT/ITES
Cyber security maturity model- IT/ITES Cyber security maturity model- IT/ITES
Cyber security maturity model- IT/ITES Priyanka Aash
 
State of the ATT&CK
State of the ATT&CKState of the ATT&CK
State of the ATT&CKMITRE ATT&CK
 
SIEM and Threat Hunting
SIEM and Threat HuntingSIEM and Threat Hunting
SIEM and Threat Huntingn|u - The Open Security Community
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEMJohn Hubbard
 
SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SHRIYARAI4
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkChaitanya Bhatt
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتReZa AdineH
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CKOne Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CKMITRE ATT&CK
 
Crowdstrike .pptx
Crowdstrike .pptxCrowdstrike .pptx
Crowdstrike .pptxuthayakumar174828
 
Security architecture frameworks
Security architecture frameworksSecurity architecture frameworks
Security architecture frameworksJohn Arnold
 
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to RealityPriyanka Aash
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon
 
Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Ben Rothke
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghOWASP Delhi
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 

Más contenido relacionado

La actualidad más candente

DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)Shah Sheikh
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmPriyanka Aash
 
Leveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageLeveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageErik Van Buggenhout
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
Cyber security maturity model- IT/ITES
Cyber security maturity model- IT/ITES Cyber security maturity model- IT/ITES
Cyber security maturity model- IT/ITES Priyanka Aash
 
State of the ATT&CK
State of the ATT&CKState of the ATT&CK
State of the ATT&CKMITRE ATT&CK
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEMJohn Hubbard
 
SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SHRIYARAI4
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkChaitanya Bhatt
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتReZa AdineH
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CKOne Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CKMITRE ATT&CK
 
Security architecture frameworks
Security architecture frameworksSecurity architecture frameworks
Security architecture frameworksJohn Arnold
 
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to RealityPriyanka Aash
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon
 
Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Ben Rothke
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghOWASP Delhi
 

La actualidad más candente (20)

DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity Chasm
 
Leveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageLeveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common Language
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
 
Cyber security maturity model- IT/ITES
Cyber security maturity model- IT/ITES Cyber security maturity model- IT/ITES
Cyber security maturity model- IT/ITES
 
State of the ATT&CK
State of the ATT&CKState of the ATT&CK
State of the ATT&CK
 
SIEM and Threat Hunting
SIEM and Threat HuntingSIEM and Threat Hunting
SIEM and Threat Hunting
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEM
 
SIEM : Security Information and Event Management
SIEM : Security Information and Event Management SIEM : Security Information and Event Management
SIEM : Security Information and Event Management
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling Framework
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CKOne Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
One Leg to Stand on: Adventures in Adversary Tracking with ATT&CK
 
Crowdstrike .pptx
Crowdstrike .pptxCrowdstrike .pptx
Crowdstrike .pptx
 
Security architecture frameworks
Security architecture frameworksSecurity architecture frameworks
Security architecture frameworks
 
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
(SACON) Jim Hietala - Zero Trust Architecture: From Hype to Reality
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
 
Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep Singh
 

Similar a Как построить SOC?

13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)Aleksey Lukatskiy
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 

Similar a Как построить SOC? (20)

От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 

Más de Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 

Как построить SOC?

  • 1. Как создать свой SOC? Поэтапный план с ценами, оргштатной структурой и инструментарием Алексей Лукацкий 10 октября 2018 Бизнес-консультант по кибербезопасности
  • 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Disclaimer За 30 минут нельзя рассказать о том, как построить центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
  • 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начнем с вопросов 1 2 3 4 5 У вас есть адекватный бюджет для построения и управления SOC? У вас достаточно квалифицированных специалистов для построения и управления SOC? Как вы планируете сохранить ваших сотрудников SOC? У вас есть защищенное место для SOC? У вас есть программа обучения, позволяющая поддерживать уровень компетенций сотрудников SOC? 6 Вы знаете из каких блоков состоит SOC?
  • 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Классическая триада только мешает :-( Люди Процессы Технологии
  • 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Великолепная семерка Команда Технологии Сервисы Окружение Intelligence Стратегия Миссия / цели
  • 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: SOC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство SOC Технологический стек Фаза 3: SOC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк SOC Работает! План создания SOC Трансформация Строительство SOC (помещение) Фаза 0: SOC Концепция Эталон Архитектура Спецификации Функционирование
  • 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Миссия / цели
  • 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какой SOC вы хотите? Compliance • Ориентация на приказы ФСТЭК / ЦБ / ФСБ • «Заблокировал и забыл» • Нет Use Case и Playbook • Отсутствие интеграции с ИТ и бизнесом • Отсутствие процессов Бизнес • Ориентация на инциденты, а не события • Защита критичных активов • Ориентация на людей и процессы в SOC, а не технологии • ИБ с точки зрения бизнеса • Контроль качества Мода • SIEM – ядро SOC • SOC нужен для ГосСОПКИ • У всех есть и мне нужен
  • 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Стратегия
  • 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ваш SOC – это баланс между бизнесом, технологиями, рисками и финансами Бизнес-требования Централизация Децентрализация Единый глобальный SOC Разные центры (SOC/NOC) Снижение стоимости Простота управления Множество SOCов Единый центр (SOC/NOC) Высокая стоимость Сложность управления Технические требования Стандарт Кастомизация Простая платформа Простота масштабирования Средние детали по угрозам Низкая стоимость внедрения Комплексная платформа Сложность масштабирования Глубокие детали по угрозам Высокая стоимости внедрения Толерантность к рискам Аутсорсинг Инсорсинг 30-90 дней на внедрение Некритично для бизнеса Низкая стоимость внедрения Внешняя сертификация Долгое внедрение Критично для бизнеса Высокая стоимости внедрения Регулярные аудиты Финансы Низкая стоимость Высокая стоимость
  • 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисная стратегия SOC Драйвера, ожидания заказчика, ключевые принципы и ожидаемый результат Видение стратегии Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты Резюме по сервисам Описание ключевых процессов, необходимых для реализации сервисов SOC Ключевые процессы Описание структуры команды SOC и всех ролей Организационная стратегия Описание технологического стека SOC Технологическая стратегия
  • 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Контроль и подотчетность Полные Частичные Гибкость в настройке под свои нужды Высокая Стандартные сервисы и стандартный SLA Знание локального окружения Высокое Низкое или отсутствует Скорость развертывания От полугода (обычно 2-3 года) 2 месяца Режим работы Обычно 5 х 8 Обычно 24 х 7 Возможности по реагированию Максимальные Средние Масштабирование Среднее Высокое Уровень компетенций Средний Высокий Форма затрат CapEx OpEx Предсказуемость затрат Непредсказуемый Предсказуемый
  • 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Свой SOC или чужой? Параметр Свой SOC Чужой SOC Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Очень высокая Хранение событий безопасности Локально За пределами организации Права на технологии и процессы Принадлежат заказчику Принадлежат аутсорсеру Выход за пределы своей организации Невозможен Возможно использовать данные по другим заказчикам Видимость «бревен в своем глазу» Низкая Высокая Выделенный персонал Да Нет
  • 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Гибридная модель
  • 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сервисы
  • 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
  • 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
  • 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Основа документов SOC Use Сase Playbook Runbook 1 2 3 Use Case – набор тригеров / правил для обнаружения угроз и инцидентов Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них Runbook – последовательность шагов при использовании конкретной технологии
  • 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда
  • 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC
  • 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Но это не все • Разбор сложных инцидентов • Обновление базы знаний Hunting • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Лидер SOC • Анализ процессов • Анализ базы инцидентов • Анализ отклонений • Обратная связь с пользователями Анализ качества • Техническая поддержка, патчи • Реализация новых функций • Резервирование • Контроль состояния Управление • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний Анализ • Мониторинг событий • Обнаружение и эскалация инцидентов Обнаружение
  • 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Команда NG SOC • Архитектор SOC • Специалист по Use Cases (правилам) • Программисты Engineering • Управление средствами ИБ • Аналитики • Investigator • 1st Responder • SIEM/NTA/EDR/UEBA • SOC Lead Ядро SOC • … по продуктам • … по SIEM • … по уязвимостям • … по compliance SME • Incident Handler • Incident Responder • Forensic Expert CSIRT • Контроль качества • Администратор SOC • Безопасность Поддержка • Data Scientist • Hunters • Threat Intelligence CTA/CTI • Сканирование сети • Тестирование приложений • Red Team AVMT
  • 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Численность команды SOC Руководитель SOC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов • В Microsoft Cyber Defense Operations Center работает 50 человек • В Cisco CSIRT – 103 • В РТК-Solar – 100+ и еще идет набор • Сбербанк озвучивает цифру в 400 человек • У ЛК – 14 человек
  • 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
  • 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №1. Для 9 человек (не Москва)
  • 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Зарплата команды SOC Вариант №2. Для 13 человек (Москва)
  • 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
  • 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
  • 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
  • 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Когда надо увеличивать численность SOC? Compliance ГосСОПКА, ФЗ-187, 382-П Временное покрытие От 8х5 к 24х7 Слияния и поглощения Новые площадки и люди Рост сложности Новые технологии, новые задачи
  • 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии
  • 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура технологического стека SOC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управлени е данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответстви я Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источник и Другие системы Платформа SOC Сервисы корпорат . Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция Подход Cisco к построению SOC. Технологическая архитектура
  • 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционный SOC vs NG SOC Традиционный SOC • В среднем 150 дней • В течение часов • В течение дней • В течение часов • В течение дней • В течение недель SOC нового поколения • Непрерывно • В реальном времени • Менее часа • За минуты • В течение часов • В течение дней Возможности • Обнаружение угроз • Классификация угроз • Анализ инцидентов и составление плана реагирования • Локализация угрозы • Восстановление от угрозы • Время на возврат к исходному состоянию
  • 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для SecOps (ядро SOC) Технология Стоимость, $ Важность SIEM 200.000 Network Traffic Analysis (Flow) 140.000 Network PCAP 0 Network IDS / IPS 15.000 EDR 35.000 Хранение и парсинг логов 0 Wi-Fi IDS и мониторинг 3.000 Обманные системы 50.000 UEBA 75.000 CASB 45.000 Высокая Средняя Низкая * - зависит от стоящих задач
  • 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для CSIRT / CTI Технология Стоимость, $ Важность ПО для Endpoint Forensics (включая мобильные устройства) 0 ПО для Network Forensics (включая облака) 0 Железо для Forensics 100.000 Реверсинг вредоносного ПО (включая дебаггеры) 0 Песочница 50.000 ПО для анализа памяти 0 Фиды Threat Intelligence 20.000 Платформа Threat Intelligence 35.000 Анализ DNS / IP / AS 30.000 Высокая Средняя Низкая * - зависит от стоящих задач
  • 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Технологии для администрирования SOC Технология Стоимость, $ Важность Управление тикетами 35.000 Wiki 0 Аналитика и отчетность 15.000 УПАТС 0 Защита коммуникаций 5.000 Система управления инцидентами 25.000 Шредер 1.000 Высокая Средняя Низкая * - зависит от стоящих задач
  • 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что обратить внимание при расчете цены? Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год Продукт Многие решения могут быть некоммерческими, а open source. Стоит учитывать стоимость железа для них Владение Некоторые технологии (например, NTA или хранилище логов или система тикетов) могут быть уже приобретены и находиться во владении других отделов Аутсорсинг Технология может быть либо куплена в собственность, либо взята в аутсорсинг. Возможны и иные схемы (лизинг, аренда…) Поддержка Некоторые технологии продаются больше чем на 1 год, что может быть дешевле Open Source Поддержка open source бесплатна, но может понадобиться доработка, а также специалисты иной квалификации + инфляция
  • 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько вариантов расчета Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 536.000 123.000 153.200 161.350 Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 112.000 26.000 31.200 37.440 Вариант №1. На базе коммерческих решений Вариант №2. Коммерческие решения + open source Технология Продукт Свой / аутсорсинг Кто-то уже владеет? Ожидаемая цена Годовая поддержка на 1 год Годовая поддержка на 2-й год Годовая поддержка на 3-й год 16.000 3.200 3.840 4.600 Вариант №3. На базе open source + сервера под него
  • 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Не забывайте про сопутствующие затраты Половина затрат
  • 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Окружение
  • 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Технологии не помогут при отсутствии правильного помещения После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
  • 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  • 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевые компоненты помещения для SOC ОсвещениеАкустика ДругоеЭстетика • Шумопоглощение • Эхо • Реверберация • Шумы от вентиляторов, чайников, проекторов • Комната отдыха • Кактусы на мониторах и картины на стенах • Настольные игры • Эргономика рабочего места • Запахи • Кондиционирование • Влаго- и теплообразование • Теплообмен • Давление в кухне • Блики на мониторах • Наличие окон • Освещенность • Теплота, яркость освещения
  • 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обратите внимание • ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование центров управления. Часть 1. Принципы проектирования • ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование центров управления. Часть 2. Принципы организации комплексов управления • ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование центров управления. Часть 3. Расположение зала управления • ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование центров управления. Часть 4. Расположение и размеры рабочих мест • ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование центров управления. Часть 5. Дисплеи и элементы управления • ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование центров управления. Часть 6. Требования к окружающей среде • ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование центров управления. Часть 7. Принципы верификации и валидации
  • 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Intelligence
  • 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Уровни Threat Intelligence Стратегический Операционный Тактический Технический Улучшают возможности SOC/NOC и других специалистов по ИБ реагировать, обнаруживать или предотвращать кибератаки Улучшают возможности CIO/CISO/CTO в использовании ИТ/ИБ в защите и реагировании Улучшают принятие решения относительно киберрисков на уровне CRO, CEO, Правления и др. Описывают индикаторы для вредоносной активности
  • 47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Разведка
  • 48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: время и деньги
  • 49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проект сервисной стратегии Разработка проекта сервисной стратегии для SOC, а также его организационной структуры, Use Case, Playbook, Runbook и т.п. Старт проекта Определение области проекта Планирование проекта Финиш Разработаны стратегические документы для SOC Опрос Стратегический workshop Пересмотр сервисной стратегии Проект организационной структуры Хронология проектирования SOC Финал сервисной стратегии Пересмотр организационной структуры Финал организационной структуры Проектирование SOC занимает в среднем 6 недель Оценка и бенчмаркинг SOC занимают в среднем 20 недель
  • 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public А потом начинается строительство SOC
  • 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Итого: SOC нам обойдется (пример расчета)
  • 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вопросы?
  • 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Дополнительная информация 53
  • 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Спасибо! alukatsk@cisco.com