Security Operations Center в полевых условиях

329 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

6. 6 Теоретический экскурс

14. 14 Расследование инцидента

1. Security Operations Center в полевых условиях Руслан Амиров Директор Центра мониторинга ИБ USSC - SOC

2. 1. Инцидент информационной безопасности 2. Теоретический экскурс 3. Расследование инцидента 4. Результаты расследования 5. Выводы 2 Структура доклада

9. 9 Варианты построения SOC Создание собственного SOC , самостоятельно организацией Аутсорсинг овый SOC сервис, предоставляемый сторонней компанией, обладающей необходимыми компетенциями и лицензиями, в рамках договора с организацией

17. Инцидент ликвидирован : из инфраструктуры Заказчика удалены программные закладки и средства удаленного администрирования Ограничен доступ к внешним сетям , проведен инструктаж персонала Заказчика по основам информационной безопасности при использовании корпоративных сервисов и сети Интернет Заказчик принял решение не обращаться в правоохранительные органы и не предавать инцидент огласке Фактический ущерб был сведен к нулю , Заказчику удалось избежать лишних затрат и репутационных потерь 17 Результаты

18. Использование профессиональных сервисов по обеспечению информационной безопасности, как по отдельности, так и в пакете услуг в рамках аутсоринга , позволяет снизить риски реализации угроз В данном конкретном случае своевременное обращение к специалистам позволило в кратчайшие сроки восстановить ИТ - инфраструктуру в состояние до взлома При выявлении инцидентов на раннем этапе можно значительно снизить потенциальный ущерб 18 Выводы

4. 4 Второй звонок Заказчика Заказчик пересылает сообщение от нарушителя в WhatsApp и в тот же момент звонит - > Нарушитель угрожает обрушить всю инфраструктуру и отрезать доступ к Интернет - банку даже после смены кодового слова На следующий день:

16. 16 Спам - рассылка или уязвимость Повышение привилегий Закрепление в инфраструктуре Получение реквизитов учетной записи с ограниченным доступом Расследование инцидента

7. 7 Криминальная составляющая инцидента Взломщик (хакер) Биржа Вымогатель Продает реквизиты доступа Структура преступного бизнеса в киберпространстве Заказчик Получает доступ к инфраструктуре Требует выкуп Продает реквизиты доступа

19. ВОПРОСЫ? СПАСИБО ЗА ВНИМАНИЕ! СПАСИБО ЗА ВНИМАНИЕ! Руслан Амиров Директор Центра мониторинга ИБ +7 (343) 379 - 98 - 34 (доб. 1203) ramirov@ussc.ru ВОПРОСЫ? Вопросы по USSC - SOC можете направлять сюда: soc @ussc.ru

5. В то время , пока мы получали обновленную информацию, офис - менеджер уже оформлял гостиницу для сотрудников УЦСБ , которые уже вылетели утром Заказчик находится вне УрФО Командированные сотрудники: • Специалист по Offensive Security • Специалист по сетевой безопасности • Специалист по прикладной безопасности Сотрудников Заказчик встретил на собственном авто 5 Второй звонок Заказчика

13. 13 SOC / центр ГосСОПКА на базе УЦСБ Время обслуживания определяется регламентом предоставления услуги Запуск базовых функций SOC / центра ГосСОПКА менее чем за 3 месяца <60 мин 3 месяца SOC/ ГосСОПКА за 8х5 с 9:30 до 18:30 в рабочие дни 10х5 с 8:00 до 19:00 в рабочие дни 24х7 круглосуточно Время реагирования на инцидент

15. Сотрудники в командировке на объекте Заказчика имеют на руках результаты анализа предварительной информации об инциденте Руководство осуществляется стратегическое (из SOC ) и по месту (руководитель работ) Введены ограничения для нарушителя – ограничение контура Уточнение первичной информации – ведется по 2 направлениям: • «безопасность изнутри» • «безопасность снаружи» Ведется глубокий анализ путей развития атаки Ликвидация последствий 15 Расследование инцидента 1 . 2. 3. 4. 5. 6.

12. 12 Услуги УЦСБ Аутсорсинг овый SOC Собственный SOC Предоставление услуг Центра мониторинга и реагирования на инциденты информационной безопасности (SOC) Взаимодействие с ГосСОПКА Взаимодействие с CERT/CSIRT/SOC Проектирование систем управления инцидентами ИБ (включая подключение к ГосСОПКА) Готовое решение под ключ ПАК «DATAPK - ГосСОПКА» Поставка программных и технических средств для системы управления информационной безопасностью (СУИБ): DATAPK, ePlat4m, SIEM, ViPNet Проведение тестирования на проникновение, в том числе с использованием методов социальной инженерии Расследование инцидентов информационной безопасности Security Awareness (повышение осведомленности работников) War Gaming ( проведение киберучений )

3. 3 Звонок Заказчика Время 19:30 (стандартный рабочий день в УЦСБ заканчивается в 18:30) Заказчик: «Случилась неприятность!» • Нарушитель получил доступ к ИТ - инфраструктуре и к конкретным ИТ - сервисам • Один из наиболее критичных сервисов скомпрометирован: хакер имеет доступ к Интернет - банку (ДБО) • У Заказчика производство, остановить работу которого нельзя • Оплаты подрядчикам тоже прекратить нельзя • Нарушитель требует 4 000 000 рублей в криптовалюте Заказчик: «Что делать?» УЦСБ: « SOC берет задачу в работу»

10. 10 Архитектура USSC - SOC Корпоративные информационные системы Промышленные системы SIEM - система Коллектор Incident investigation tools (Инструменты расследования инцидентов) Команда центра мониторинга и реагирования IRP - система (Система реагирования и управления инцидентами) Threat Intelligence (Проактивный поиск угроз) Специалисты Организации Организации USSC - SOC

11. 11 Организационно - штатная структура USSC - SOC Аналитики 1 - й линии Аналитики 2 - й линии Аналитики 3 - й линии Направление развития центра мониторинга Инженеры Аналитики Руководство SOC Направление мониторинга и реагирования на инциденты Направление систем обеспечения ИБ Инженеры Инженеры 3 - й линии Инженеры 2 - й линии

8. Security Operation Center Эффективное обнаружение и предотвращение атак, а также устранение причин возникновения инцидентов Помощь в расследовании инцидентов ИБ и сборе доказательной базы для суда Готовые сценарии мониторинга инцидентов Рекомендации по корректировке защитных мер, подготовка критериев, аналитическая работа Уменьшение времени реакции на инциденты Своевременное оповещение о возникновении угроз для бизнес - процессов Снижение риска проникновения в инфраструктуру Минимизация последствий, ущерба, затрат на локализацию и устранение инцидента Выявление, регистрация, учет инцидентов, подготовка отчетности Объективная картина состояния защищенности компании. Повышение уровня компании по устойчивости к атакам Security Operation Center (SOC) – Центр мониторинга и реагирования на инциденты информационной безопасности (центр ГосСОПКА)

Просмотры

  • 329 Всего просмотров
  • 216 Просмотров Веб-сайта
  • 113 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+