Краткий конспект мастер-класса с закрытого выступления Андрея Дугина на интенсиве для CISO Код ИБ Профи
Андрей Дугин
Начальник отдела обеспечения информационной безопасности в МТС. В группе компаний МТС с 2003 года, успел поработать в пяти странах присутствия бизнеса компании, из них в двух – более чем по пять лет. Отвечает за экспертизу и аудиты безопасности информационных систем, безопасную интеграцию IP/MPLS-сетей любого масштаба и сложности. Руководит корпоративным и коммерческим SOC компании МТС. Имеет сертификат CCNP Security. Выступал на «Инфофоруме», NZNOG, PHDays
Между инцидентом, который обнаружен и обезврежен SOC и инцидентом, который обнаружен и обезврежен без SOC –предотвращённый ущерб
Сценарий 1. Обеспечение безопасности бизнес-процесса
Мониторинг работоспособности инфраструктуры и сервисов
Этап 0. Создание системы мониторинга
● Масштабируемая архитектура системы
● Поддерживаемые протоколы (SNMP, SSH, установка агентов etc)
● Уровни доступа к системе и объектам
● Правила работы с системой
Этап 1. Постановка на мониторинг
● Включение в процесс передачи в эксплуатацию
● Определение показателей (CPU, RAM, HDD etc)
● Метрики значений (зеленая, желтая, красная)
● Протокол мониторинга (SNMP, SSH, установка агентов, etc)
● Метод сбора информации (периодический опрос, асинхронное оповещение)
● SLA, график работы, метод извещения etc
Этап 2. Собственно мониторинг
● Обеспечение непрерывности мониторинга
● Контроль SLA
● Порядок внесения изменений в параметры точек мониторинга
● Управление обновлениями системы мониторинга и агентов
Этап 3. Снятие с мониторинга
● Включение в процесс вывода из эксплуатации
● Удаление точки мониторинга с введенными параметрами
Мы знаем, что злоумышленнику для атаки нужны: сетевой доступ к ресурсам компании, список этих самых ресурсов, информация о них и атрибуты доступа RDP/SSH/SNMP/DB/App. А у системы мониторинга именно это всё и есть.
Чтобы проконтролировать доступность из недоверенных сетей, нам нужно:
● Определить доверенные IP/подсети/FQDN/hostname
● Установить сканеры доступа в недоверенных сетях
● Генерировать инцидент ИБ в случае обнаружения доступа со сканера к NMS, сателлиту или управляемому устройству
● Генерировать инцидент ИБ в случае обнаружения доступа с любого недоверенного ресурса
● Закрывать обнаруженный доступ
Управление инцидентами ИБ: примеры нарушений:
● Подбор УЗ/паролей
● Вход с неперсонифицированной УЗ (admin, root, etc.)
● Попытки исполнения неавторизованных команд
● User1 входит с ПК User2
● Попытка входа в ОС от имени системной УЗ
● Запуск скрипта/команды мониторинга/управления от имени УЗ пользователя
Бизнес-процесс, этапы которого реализованы в информационных системах
Синергия SOC и Pentest для бизнеса компании
Обе стороны противостояния полезны для бизнеса, если их правильно использовать
Перед технологиями SOC стоят совершенно определённые задачи. Например: сбор и хранение информации о событиях ИБ, контроль полноты покрытия, реализация алгоритмов генерации инцидентов ИБ, автоматизация рутинных операций, сокращение количества ложных срабатываний, сокращение количества пропусков атак, сокращение времени реагирования и сокращение времени отражения атак.
Сбор и хранение информации о событиях ИБ - это основа для инцидентов ИБ, которая будет являться доказательной базой при расследованиях и даст вам возможность ретроспективного анализа. В вопросах контроля полноты покрытия SOC важно помнить, что невозможно защитить то, чего не видишь.
Реализация алгоритмов генерации инцидентов ИБ влечёт за собой автоматизацию анализа большого объема событий и создание инцидентов ИБ при наступлении события в определенных условиях.
Автоматизация рутинных операций и сокращение ложных срабатываний будут полезны для:
● SLA
● Освобождения времени для неавтоматизируемых задач
● Снижения уровня усталости сотрудников SOC
Сокращение количества пропусков атак означает более успешно защищённый бизнес компании и безопасность пользователей и бизнес-процессов. А сокращение времени обнаружения и реагирования и сокращение времени отражения атак, в свою очередь, опять же напоминают о SLA, скорость принятия решения и возможности предотвращения последствий.
Если эта тема Вам интересна, есть возможность ознакомиться с полной версией выступления здесь:
Сценарии использования SOC
Выступление Андрея Дугина Код ИБ Профи