10. Какие ресурсы необходимы? #CODEIB

17. Вопросы? #CODEIB

5. Инфраструктура АО «СО «ЕЭС» #CODEIB

16. Пример. Инструкция Оператора ПАК «СОКИБ» #CODEIB

8. Что должен делать Центр мониторинга событий ИБ? #CODEIB

14. Формализация деятельности Центра мониторинга событий ИБ? #CODEIB

3. Анализируете причины зависаний/сбоев сетевого оборудования и систем? #CODEIB

12. Какие процессы пришлось организовывать? #CODEIB

2. Вы смотрите логи в вашей инфраструктуре? #CODEIB

6. Система оперативного контроля информационной безопасности АО «СО «ЕЭС» СОКИБ является составной частью системы обеспечения информационной безопасности в АО «СО ЕЭС» и предназначена для централизованного сбора и анализа событий ИБ, регистрируемых средствами защиты информации, а также оперативного обнаружения и реагирования на события и инциденты ИБ. СОКИБ Источники событий Работники обрабатывающие события в СОКИБ

4. Ландшафт атак в 2017 - 2018г.г. Вредоносный код Фишинг IoT и DDoS - атаки Сетевые атаки #CODEIB

9. Центр мониторинга событий ИБ  Централизованный мониторинг в режиме 24х7х365  Высокий уровень экспертизы  Выстроенные процессы  Продвинутая аналитика, включающая Threat Intelligence и Threat Hunting  Изучение каждого события безопасности  Регистрация инцидентов  Алгоритмы реагирования на типовые инциденты #CODEIB

18. 11 ОКТЯБРЯ 2018 САМАРА #CODEIB СПАСИБО ЗА ВНИМАНИЕ! Андрей Степанов Начальник Отдела мониторинга событий ИБ АО «СО «ЕЭС» ТЕЛЕФОН : +7 ( 909 ) 343 - 11 - 25 EMAIL : StepanovAV@odusv.ru

7. 1 БОЛЕЕ 15.000 ХОСТОВ 2 ТЕРРИТОРИАЛЬНО - РАЗНЕСЕННАЯ ИНФРАСТРУКТУРА ~ 1 5 ТЫС. СОБЫТИЙ В C ЕКУНДУ 4 В КАЖДОМ РЕГИОНЕ СВОЙ ОТВЕТСТВЕННЫЙ ЗА ИНФРАСТРУКТУРУ 3 5 РАСПРЕДЕЛЕННЫЕ АТАКИ ОСТАЮТСЯ НЕЗАМЕЧЕННЫМИ Причины организации Центра мониторинга событий ИБ #CODEIB

1. Андрей Степанов Начальник Отдела мониторинга событий ИБ АО «СО «ЕЭС» ТЕЛЕФОН : +7 ( 909 ) 343 - 11 - 25 EMAIL : StepanovAV@odusv.ru ОРГАНИЗАЦИЯ ЦЕНТРА КРУГЛОСУТОЧНОГО МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ на примере Отдела мониторинга событий ИБ Акционерное общество «Системный оператор Единой энергетической системы» 1 1 ОКТЯБРЯ 2017 САМАРА #CODEIB

15. Формализация деятельности Центра мониторинга событий ИБ #CODEIB • Разработка и утверждение общих требований и правил мониторинга событий ИБ Регламент эксплуатации ПАК «СОКИБ» • Разработка и утверждение Перечня источников событий ИБ Перечень источников ПАК «СОКИБ» • Разработка и утверждение справочника по эксплуатации SIEM Руководств о по эксплуатации ПАК «СОКИБ» • Разработка инструкций для персонала Инструкция Администратора ПАК «СОКИБ» Инструкция Оператора ПАК «СОКИБ» • Разработка алгоритмов реагирования на типовые инциденты ИБ более 11 шт. инструкций • Разработка инструкций для системных администраторов по подключению источников событий ИБ более 30 шт. инструкций

11. Какие ресурсы необходимы и на что?  Распределенная система сбора и корреляции событий ( SIEM) . 57 ресиверов по всей территории РФ .  Подключенные источники событий . Участие системных администраторов  Настроенные правила корреляции и оповещений  Разработанные процессы мониторинга событий, реагирования и совершенствования правил корреляции  Справочная система с информацией об элементах инфраструктуры  Специалисты . Минимум 1 дежурный в смену ( 5 человек)  Обучение работников #CODEIB

13. Какие процессы пришлось организовывать?  Операции выполняемые дежурными в смену  Регистрация и обработка инцидентов  Ручной мониторинг событий ИБ  Анализ публикаций о новых уязвимостях и проверка их актуальности для инфраструктуры  Создание новых и актуализация действующих правил корреляции  Ретроспективный анализ события для новых актуальных угроз  Проверка отчетов об ИТ нарушениях и событий ЕСМ на наличие связанных событий ИБ  Реагирование на типовые инциденты  Ежеквартальное общение с администраторами в регионах через WebEX ( нововведения, обучение, разбор инцидентов) #CODEIB