Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
27 октября 2017
Cisco Infosec Representative
Cisco Security Ninja Blue Belt
Cisco Security Advocate
Особенности построения...
Disclaimer
За 30 минут нельзя рассказать о
том, как построить
национальный центр
мониторинга киберугроз
Упомянутые в презе...
Зачем нужен центр мониторинга?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных втор...
SOC vs CDC
SOC
• Обслуживает одну
компанию
• Обеспечивает
мониторинг в реальном
времени
• Одна служба ИБ
• Тесная интеграц...
Международный
CDC
Корпоративный
SOC
Корпоративный
SOC
Частный SOC
Частный SOC
Частный SOC
Частный SOC
Связь SOC и CDC
Част...
Национальный CDC Отраслевой CDC Провайдеры ИБ Контракторы
Реагирование на инциденты ИБ
Управление услугами
Анализ киберугр...
Что такое национальные и отраслевые
средства защиты?
Например, система управления Интернет-
трафиком (в России, в Китае и ...
Стратегия
сервисов
Программа – управление, коммуникации, команда и управление стейкхолдерами
Разработка корневых
процессов...
Какие сервисы могут быть?
Управление сервисом
- Business Service
Management
- IT Service Management
Аналитика безопасности...
…но это еще не все
Управление сервисом
- Security Service Provider
Management
- Cloud Security Services
Management
- Vendo...
Пример описания сервиса
Источники
Другие команды
Cyber Intelligence
Service
Cyber Analytics
Service
Управление активами
Ис...
Типичные сервисы CDC
• Реагирование на инциденты
национального масштаба
• Threat Intelligence для
национальной безопасност...
Возможны и иные сервисы
планирует оказывать услуги расследования
инцидентов для российских банков с помощью
собственной ла...
Возможны и иные сервисы
• Защищенный DNS-сервис для
государственных органов
Великобритании
• Web Check – защита
государств...
Почему нет мониторинга?
15
• SDC – это не продукт, а сбалансированное применение 4-х
элементов – людей, процессов, техноло...
На что обратить внимание?
Разработка
команды
- На все сервисы
- Набор
- План развития
- Тренинги и
повышение
квалификации
...
Аналитика ИБ в
реальном
времени
Аналитика
ретроспектив-
ная
Система
управления
кейсами и
инцидентами
Платформа
Threat
Inte...
Архитектура технологического стека CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow ...
От защиты на уровне отдельных
госорганов к защите на уровне государства
ОблакоГибридный вариантУправление CPE
IPS WEB EMAI...
Что такое Hosted Security?
Уровень оркестрации
Уровень сервисов
Инфраструктура
• Предоставляется на базе
инфраструктуры
го...
Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отч...
Основа CDC (как и SOC) – это не
только SIEM
NTA
EDR
SIEM
UEBA
/
CASB
Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отч...
Пример Cisco: мобильный SOC
Состав мобильного SOC (в части ИБ)
• Cisco ASA 5545-X
• Cisco NGIPS (FirePOWER 7150)
• Cisco Stealthwatch
• Cisco S300V We...
Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отч...
Threat Intelligence обогащает события
безопасности
- знание (включая процесс его получения) об
угрозах и нарушителях, обес...
Threat Intelligence от ГосСОПКИ
Threat Intelligence от ФинЦЕРТ
Коммерческие решения vs open source
позволяют собирать индикаторы
компрометации из различных
коммерческих и бесплатных, за...
Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отч...
Системы записей Стандартизация Регистрация
Ответвители (tap)
Полномочия и круг
задач
Коммуникации
Почему многие SOC провал...
Руководства и рекомендации
Особенности распространения
информации
• Два вида информации – открытая (для
всех, но не вся) и закрытая (для
ограниченног...
Стандартизация обмена информацией
об угрозах
• TLP – «раскрашивает» угрозу в
зависимости от уровня
публичности/конфиденциа...
Как классифицируются индикаторы
компрометации (TLP)?
Цвет Значение
Red Recipients may not share TLP: RED information with ...
ГосСОПКА использует TLP
Типичный технологический стек CDC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отч...
IRP – один из ключевых элементов
технологического стека CDC
Сколько инцидентов должен
обрабатывать CDC?
• Австралийский NCSC –
720 инцидентов в
госорганах в год
• Британский NCSC – 1...
THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,...
Кто расследует инциденты в NCSC?
Национальная
безопасность
• Схема CIR (Cyber Incident
Response)
• Внешние компании,
аккре...
На ком стоит CREST?
• Некоммерческая организация с штаб-
квартирой в Великобритании
• Существует с 2006-го года
• Аккредит...
Почему NCSC использует внешние
компании?
Потребность в
специалистах по
кибербезопасности в
12 раз выше, чем в
ИТ-специалис...
Сколько людей нужно в CDC?
• В Microsoft Cyber Defense
Operations Center работает
50 человек, в Cisco CSIRT –
103, в Росте...
Структура CDC
Руководитель
CDC
Управление
инцидентами
Реагирование
Реагирование
Расследование
Аналитика,
исследования,
раз...
Структура Cisco CSIRT
NetFlow System Logs
Разведка и
исследования
5
Аналитики APT
15
Следователи
25/26
Аналитики
User
Attr...
NATO NCIRC
Уровень 1
• Координация и поддержка
• Приоритезация
• 4 человека
Уровень 2
• Операционное и
техническое управле...
24х7 или 5х8?
Бизнес-часы
Бизнес-часы с
дополнительной
нагрузкой
24x7
Внутренняя команда
Контракторы
Провайдеры услуг
Гибр...
Регулярные киберучения для повышения квалификации
Identity Services Engine
Flow Collector FC
SMCStealthWatch Management In...
Типовой состав киберучений в Cisco
• Вредоносный код
• Спам
• Утечка информации
• Фишинг
• Доступ к ненужным для
работы са...
Ключевые особенности при
построении национального CDC
Квалифициро-
ванные ресурсы
Хорошие
инвестиции в
технологии
Построен...
Инженеры службы
Cisco по ИБ
поделились своим
опытом выстраивания
Cisco SOC и
процессов
реагирования на
инциденты в книгах
...
Спасибо!
alukatsk@cisco.com
Próxima SlideShare
Cargando en…5
×

Особенности построения национальных центров мониторинга киберугроз

Презентация по особенностям построения национальных центров мониторинга (CDC)

  • Sé el primero en comentar

Особенности построения национальных центров мониторинга киберугроз

  1. 1. 27 октября 2017 Cisco Infosec Representative Cisco Security Ninja Blue Belt Cisco Security Advocate Особенности построения национальных центров мониторинга киберугроз Алексей Лукацкий
  2. 2. Disclaimer За 30 минут нельзя рассказать о том, как построить национальный центр мониторинга киберугроз Упомянутые в презентации процессы, сервисы, решения, технологии и подходы опираются на опыт компании Cisco, построившей несколько десятков центров мониторинга, и предоставляющей услуги аутсорсинга ИБ 100+ заказчикам
  3. 3. Зачем нужен центр мониторинга? Bitglass 205 Trustwave 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200 Verizon 240
  4. 4. SOC vs CDC SOC • Обслуживает одну компанию • Обеспечивает мониторинг в реальном времени • Одна служба ИБ • Тесная интеграция с эксплуатацией СрЗИ CDC • Обслуживает государство (множество госорганов) • Координация усилий множества служб ИБ • Зачастую отсутствие доступа к СрЗИ
  5. 5. Международный CDC Корпоративный SOC Корпоративный SOC Частный SOC Частный SOC Частный SOC Частный SOC Связь SOC и CDC Частный SOC Национальный CDC Отраслевой SOC/CERT Корпоративный SOC Государственный SOC Частный SOC Международный CDC
  6. 6. Национальный CDC Отраслевой CDC Провайдеры ИБ Контракторы Реагирование на инциденты ИБ Управление услугами Анализ киберугроз Cyber Threat Intelligence Экзотический / национальный инцидент Поддержка реагирования Координация восстановления Аналитика безопасности Управление данными безопасности Расследование инцидентов Анализ вредоносного кода Управление отраслевыми средствами защиты Управление средствами защиты Управление услугами Управление услугами Управление услугами Отраслевой инцидент Управление национальными СрЗИ Общий инцидент Управление платформой Platform Dev & Engineering Управление контентом Операции ОперацииPlatform Dev & Engineering Управление контентом Восстановление Восстановление Управление средствами защиты Пример разделения полномочий § Услуги объединяются между национальным, отраслевыми CDC и корпоративными SOCами § Дополнительная поддержка от внешних организаций
  7. 7. Что такое национальные и отраслевые средства защиты? Например, система управления Интернет- трафиком (в России, в Китае и др.) или удостоверяющие центры Национальные СрЗИ 🛠 Например, национальная система антифрода в платежных системах Отраслевые СрЗИ
  8. 8. Стратегия сервисов Программа – управление, коммуникации, команда и управление стейкхолдерами Разработка корневых процессов Фаза 1: CDC Архитектура Переход Внутренний переход Расширение технологий Улучшение сервисов Дизайн сервисов План запуска Фаза 2: Строительство CDC Технологический стек Фаза 3: CDC Улучшение План улучшение Улучшение процессов Бизнес- кейс Тесты / Бенчмарк CDC Работает! План создания CDC Трансформация Строительство CDC (помещение) Фаза 0: CDC Концепция Эталон Архитектура Спецификации Функционирование
  9. 9. Какие сервисы могут быть? Управление сервисом - Business Service Management - IT Service Management Аналитика безопасности - Security Data Management - Security Analytics Платформы и контент - Platform Engineering - Platform Operations - Content Management Реагирование на инциденты - Cyber Security Monitoring - Cyber Security Investigation and Escalation - Cyber Threat Hunting - Cyber Security Incident Remediation Threat Intelligence - Threat Research and Modelling - Malware Analysis - Communications & Coordination - Reports and Briefings
  10. 10. …но это еще не все Управление сервисом - Security Service Provider Management - Cloud Security Services Management - Vendor Management Управление соответствием - Разработка политик и стандартов - Оценка соответствия Обучение и тестирование - Training Development - Training Delivery - Red team and other testing services Управление СЗИ - IAM - Контроль границ - System and data integrity protections - Криптография - Application security - Другие Управление уязвимостями - Vulnerability Intelligence - Vulnerability Scanning - Vulnerability Escalation - Vulnerability Remediation
  11. 11. Пример описания сервиса Источники Другие команды Cyber Intelligence Service Cyber Analytics Service Управление активами Исходныеданные Security telemetry Sources Alerts, incident reports and incident tickets Intelligence Analysis results Anomaly and suspicious activity reports Digital forensics results Asset information Reporting requirements Breach notifications Компоненты Cyber Security Monitoring Cyber Security Investigation and Escalation Cyber Security Incident Remediation Coordination Выходныеданные Кейсы Тикеты Выводы Метрики Отчеты Семплы файлов и данных Обновления базы знаний Playbooks Потребители IT-команда Другие команды Управление инцидентами предприятия Другие CDC сервисы и команды Юристы Управление персоналом Преимущества: Мониторинг ИБ, расследование и реагирование минимизируют недоступность оказания ИТ- сервисов и снижают ущерб и уменьшают влияние компрометации системы за счет идентификации, исследования, эскалации и координации реагирования на потенциальные инциденты в кратчайшие сроки и с высокой точностью. Описание сервиса: Этот сервис обеспечивает координацию мониторинга ИБ, расследования и реагирования на инциденты в государстве. Небольшие гибкие команды аналитиков отвечают за предоставление полного спектра услуг, а также поддержку связанных задач, используя платформу управления кейсами ИБ. Параметры уровня сервиса: покрытие сервиса, время, качество
  12. 12. Типичные сервисы CDC • Реагирование на инциденты национального масштаба • Threat Intelligence для национальной безопасности • Национальная аналитика • Исследования • Тренинги, киберучения, обучение
  13. 13. Возможны и иные сервисы планирует оказывать услуги расследования инцидентов для российских банков с помощью собственной лаборатории ФинЦЕРТ " обеспечивает установку в сетях избранных госорганов системы обнаружения атак для оперативного мониторинга ГосСОПКА предоставляет защищенный доступ госорганов к Интернет RSNet
  14. 14. Возможны и иные сервисы • Защищенный DNS-сервис для государственных органов Великобритании • Web Check – защита государственных Web-сайтов • Борьба с фишинговыми и вредоносными ресурсами (совместно с Netcraft) • Mail Check - защита электронной почты от спуфинга NCSC
  15. 15. Почему нет мониторинга? 15 • SDC – это не продукт, а сбалансированное применение 4-х элементов – людей, процессов, технологий и политик • Обеспечение кибербезопасности требует вовлечения различных подразделений, а не является прерогативой только службы ИБ • Именно сложность координации осложняет мониторинг в реальном времени, присущий корпоративным SOC Люди Процессы Политики Технологии
  16. 16. На что обратить внимание? Разработка команды - На все сервисы - Набор - План развития - Тренинги и повышение квалификации - Передача знаний - Программа удержание персонала Разработка процессов - Governance - Политики - Технологические стандарты - Процессы CDC - Процедуры CDC - Интеграция процессов Разработка технологического стека - Тактические улучшения - Аналитика ИБ - Управление кейсами - База знаний - Расследование - Платф.обучения - Интеграция Ротация кадров в корпоративных SOC - 80-90% (в государственных еще выше)
  17. 17. Аналитика ИБ в реальном времени Аналитика ретроспектив- ная Система управления кейсами и инцидентами Платформа Threat Intelligence Платформа расследования Решения по нейтрализации угроз Системы коммуникаций и взаимодействия Платформы управления сервисами и знаниями Основы технологического стека CDC
  18. 18. Архитектура технологического стека CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  19. 19. От защиты на уровне отдельных госорганов к защите на уровне государства ОблакоГибридный вариантУправление CPE IPS WEB EMAIL MALWARE CONTEXT W W W NGFW VPN IPS WEB EMAIL MALWARE CONTEXT SWITCHING NAT DHCP AP VOICE ROUTING W W W SWITCHING AP VOICE SWITCHING AP VOICEROUTING NAT DHCP NGFW VPN NGFW VPN IPS WEB EMAIL MALWARE CONTEXT W W W NAT DHCP ROUTING NGFW VPN IPS WEB EMAIL MALWARE CONTEXT SWITCHING NAT DHCP AP VOICE ROUTING W W W Госорган защищает себя сам
  20. 20. Что такое Hosted Security? Уровень оркестрации Уровень сервисов Инфраструктура • Предоставляется на базе инфраструктуры государственного оператора связи • Решения по оркестрации • Интерфейсы оркестратора для настройки устройств • Все пользовательские данные находятся в облаке SP • Решения в виртуальном исполнении уже доступны VMware ESXi или KVM Cisco UCS Хранение NGFSv WSGv ESGv Tenant 1 RouterV WSGv ESGv Tenant 2 FWv RouterV Tenant 3 Политики Аналитика Отчетность Оркестрация, биллинг и отчетность SP • Provisioning API • Reporting API • Billing API Платформы безопасности WSGv+Shared EDR EDRv EDRv ESGv+Shared EDR Песочница NGFWv RouterV Tenant 4 WSGv+Public EDR ESGv+Public EDR
  21. 21. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  22. 22. Основа CDC (как и SOC) – это не только SIEM NTA EDR SIEM UEBA / CASB
  23. 23. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  24. 24. Пример Cisco: мобильный SOC
  25. 25. Состав мобильного SOC (в части ИБ) • Cisco ASA 5545-X • Cisco NGIPS (FirePOWER 7150) • Cisco Stealthwatch • Cisco S300V Web Security Appliance • Cisco AMP for Content / Network • Cisco Netflow Generation Appliance 3340 • CSIRT PDNS и Cisco Umbrella • Splunk • BGP Black Hole/Quarantine • Функции DLP • Сбор Syslog • Qualys • RedSeal
  26. 26. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  27. 27. Threat Intelligence обогащает события безопасности - знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п. Threat Intelligence CDCFree / Open Source Государство ISAC Коммерчес- кие Частные Внутренние
  28. 28. Threat Intelligence от ГосСОПКИ
  29. 29. Threat Intelligence от ФинЦЕРТ
  30. 30. Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
  31. 31. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  32. 32. Системы записей Стандартизация Регистрация Ответвители (tap) Полномочия и круг задач Коммуникации Почему многие SOC проваливаются?
  33. 33. Руководства и рекомендации
  34. 34. Особенности распространения информации • Два вида информации – открытая (для всех, но не вся) и закрытая (для ограниченного круга лиц) • Доступ к закрытой информации требует прохождения особой процедуры подключения через CDC • Процедура подключения может быть прозрачной и формализованной или не очень Обмен информацией 📡
  35. 35. Стандартизация обмена информацией об угрозах • TLP – «раскрашивает» угрозу в зависимости от уровня публичности/конфиденциальности • STIX / TAXII – обмен информацией об угрозах / акторах • OpenIOC – стандарт описания индикаторов компрометации • YARA - стандарт описания индикаторов компрометации Множество стандартов 🔌
  36. 36. Как классифицируются индикаторы компрометации (TLP)? Цвет Значение Red Recipients may not share TLP: RED information with any parties outside of the specific exchange, meeting, or conversation in which it is originally disclosed. Amber Recipients may only share TLP: AMBER information with members of their own organisation who need to know, and only as widely as necessary to act on that information.. Green Recipients may share TLP: GREEN information with peers and partner organisations within their sector or community, but not via publicly accessible channels. White TLP: WHITE information may be distributed without restriction, subject to copyright controls.
  37. 37. ГосСОПКА использует TLP
  38. 38. Типичный технологический стек CDC Системы коммуникация и взаимодействияУправление платформой Расследование, Workflow и отчетность Управление данными ОбогащениеHosted Security Сервисы Enrichment Providers Управление кейсами Malware Intel Providers Threat Intel Providers Платформа TI Threat Intelligence КоммуникацииWiki Репликация данных IT Service Mgmt Управление CPE Security Analytics Управление данными Анализ ВПО Портал CRM Финансы Отчеты и визуализа- ция HRM Оценка соответствия Сканирование дыр Hosted Infrastructure Security Call Center CMDB Средства защиты Телеметрия и другие источники Госорганы Другие системы Физические средства Удаленная аналитика Cyber Security Controls Киберсредства Другие источники Другие системы Платформа SOC Сервисы корпорат. Третьи фирмы Другие платформы Легенда: Односторонняя Двусторонняя интеграция
  39. 39. IRP – один из ключевых элементов технологического стека CDC
  40. 40. Сколько инцидентов должен обрабатывать CDC? • Австралийский NCSC – 720 инцидентов в госорганах в год • Британский NCSC – 1131 инцидент в госорганах в год • Голландский NCSC – 600 инцидентов в год Около 1000 инцидентов в год
  41. 41. THE INTERNET CISCO ASSETS THREATS PER QUARTER THREAT DEFENCE 1,558,649,099 39,778,560 19,862,979 770,399,963 25,802,498 3,364,087 20,529 1,978 INCIDENTS MANAGED (QTR) DNS-RPZ BGP Blackhole WSA ESA ANTIVIRUS HIPS ENDPOINT AMP CSIRT Prevention 2,417,877,715 = TOTAL THREATS PREVENTED(QTR) Detection Сколько инцидентов поступает в Cisco CSIRT?
  42. 42. Кто расследует инциденты в NCSC? Национальная безопасность • Схема CIR (Cyber Incident Response) • Внешние компании, аккредитованные NCSC и CPNI Академические, промышленные, муниципальные структуры • Схема CSIR (Cyber Security Incident Response) • Внешние компании, аккредитованные CREST (Council of Registered Ethical Security Testers)
  43. 43. На ком стоит CREST? • Некоммерческая организация с штаб- квартирой в Великобритании • Существует с 2006-го года • Аккредитует компании, специализирующиеся на пентестах, эмуляции атак, Threat Intelligence, реагировании на инциденты • Аккредитует компании на разные регионы (EMEA, Америка, Азия и Австралия) • Cisco, Deloitte, KPMG, Mandiant, PwC, Rapid7, Trustwave и др. CREST
  44. 44. Почему NCSC использует внешние компании? Потребность в специалистах по кибербезопасности в 12 раз выше, чем в ИТ-специалистах Нехватка специалистов по кибербезопасности в России составляет около 55-60 тысяч человек при ежегодной подготовке 25500 человек Компании с недостатком специалистов, тратят на борьбу с последствиями атак в среднем в 5 раз больше ? Мировая нехватка специалистов по кибербезопасности составит к 2020-му году 1 миллион человек Security Team
  45. 45. Сколько людей нужно в CDC? • В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек
  46. 46. Структура CDC Руководитель CDC Управление инцидентами Реагирование Реагирование Расследование Аналитика, исследования, разведка Аналитики угроз Инженеры- аналитики Исследователи Платформы Разработчики платформы Инженеры платформы Операторы платформы Провайдеры Мониторинг и реагирование Cyber Threat Intelligence Аналитики безопасности Управление платформой Менеджеры сервисов
  47. 47. Структура Cisco CSIRT NetFlow System Logs Разведка и исследования 5 Аналитики APT 15 Следователи 25/26 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры6/26
  48. 48. NATO NCIRC Уровень 1 • Координация и поддержка • Приоритезация • 4 человека Уровень 2 • Операционное и техническое управление • Управление событиями безопасности • Онлайн расследование инцидентов • Анализ вредоносного кода • Системы поддержки принятия решений • Репозиторий информации • IA • Dynamic Risk Assessment • Оценка и управления рисками • 80 человек Уровень 3 • Администрирование локальных системы и средств защиты • Расширенные защитные системы • Анализ защищенности • IDS и IPS • Управление логами • Захват всех пакетов • Расследование на местах • 250 человек
  49. 49. 24х7 или 5х8? Бизнес-часы Бизнес-часы с дополнительной нагрузкой 24x7 Внутренняя команда Контракторы Провайдеры услуг Гибридная модель
  50. 50. Регулярные киберучения для повышения квалификации Identity Services Engine Flow Collector FC SMCStealthWatch Management Internet IXIA Breaking Point Open Source Attack Tools Inside Host NetFlow AVC TrustSec Wireless Security ASA NGFW Cisco Talos Web Security Appliance Email Security Appliance Stealthwatch Sourcefire IPS Splunk Cisco Prime Fire SIGHT Data Analytics N1KV ASAv Virtual Security
  51. 51. Типовой состав киберучений в Cisco • Вредоносный код • Спам • Утечка информации • Фишинг • Доступ к ненужным для работы сайтам • Сканирование • Проникновение извне • Подмена устройств • Реализация APT • Кража идентификационных данных • Фальшивые точки беспроводного доступа • Атаки на виртуализированные инфраструктуры, включая и центры обработки данных • Атаки на мобильные устройства • Техники обхода средств защиты • DDoS-атаки • Взаимодействие с C&C- серверами • И другие.
  52. 52. Ключевые особенности при построении национального CDC Квалифициро- ванные ресурсы Хорошие инвестиции в технологии Построение федеративной модели Достижение высокой видимости и точности Эффективные коммуникации и взаимодействие
  53. 53. Инженеры службы Cisco по ИБ поделились своим опытом выстраивания Cisco SOC и процессов реагирования на инциденты в книгах В заключение 53
  54. 54. Спасибо! alukatsk@cisco.com

×