Подключение к SOC: как подготовиться?

Библиотека безопасника / Код ИБ Онлайн

48 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

1. Подключение к SOC: как подготовиться

Максим Коршунов [email protected]

2. Группа Orange: возможности глобального лидера

• 273 + млн клиентов

• €41,1 млрд выручка в 2017 году

• 450 000 км подводных кабелей

• €600 млн ежегодных инвестиций в магистральную инфраструктуру

• 345 000+ точек подключения Уникальное покрытие по всему миру

Крупнейшая в мире бесшовная сеть передачи голоса и данных с предоставлением сквозных услуг связи. Сотрудники в 220 странах и территориях

Оператор связи для населения в 29 странах

Нет присутствия Orange Business Services

3. Orange в России

• B2B - подразделение группы Orange: провайдер цифровых сервисов с экспертизой в области телекоммуникаций

• Единственный международный оператор связи с собственной инфраструктурой

• Присутствуем в 220 странах и территориях

• Сильные местные компетенции: центр инноваций и центр мониторинга киберугроз (SOC)

• Cоздаем инновации для крупного бизнеса: 8 из 10 крупнейших российских компаний Forbes - 2000 Top - 10 – наши клиенты*

800+ сотрудников: BSI – 78, OINIS&IT ¬– 82, Sales – 133, CS&O – 350

В России с 1958 года (SITA):

• 31 отделение

• 13 офисов продаж

• 1500 корпоративных клиентов

* according to Top - 2000 Forbes 2018 rating

4. Проблемы подразделений безопасности

• Нехватка специалистов (51% компаний испытывают дефицит ИБ специалистов)

• Отсутствие средств идентификации актуальных угроз

• Отсутствие понимания методов реагирования на угрозы

• Выполнение требований законодательства

• Высокая стоимость владения оборудованием и ПО

5. Решение – Security Operations Center

Проблемы

• Нехватка специалистов (51% компаний испытывают дефицит ИБ специалистов)

• Отсутствие средств идентификации актуальных угроз

• Отсутствие понимания методов реагирования на угрозы

• Выполнение требований законодательства

• Высокая стоимость владения оборудованием и ПО

SOC

• Привлечение экспертизы

• Каталог сценариев детектирования

• Реагирование на инциденты согласно рекомендациям экспертов

• Лицензируемая деятельность

• Готовая инфраструктура в составе решения

Выгода

• Снижение затрат на персонал и рисков с ним связанных

• Возможность идентификации актуальных угроз среди «белого шума»

• Предотвращение или снижение потерь в случае реализации угрозы

• Соответствие требованиям ФЗ

• Снижение капитальных затрат на оборудование

6. Функции SOC

Подключение

• Сбор событий*

• Настройка систем контроля

• Разработка сценариев атак

Выявление

• Выявление угроз

• Анализ угроз

• Контроль ресурсов

Реагирование

• Разработка рекомендаций по реагированию

• Разработка рекомендаций по модернизации

Отчетность

• Отчет по событиям и инцидентам

• Планы по модернизации

* Сбор событий – сбор записей из электронных журналов различных устройств, о всевозможных активностях связанных с этими устройствами. Например: разблокировка компьютера, обращение к сетевому ресурсу, запуск файла.

7. Пример взаимодействия

Вредоносное ПО и взаимодействие с C&C, трафик не был заблокирован FW на периметре сети

Сценарий:

• Вредоносное ПО закрепилось на хосте, запустилось из-под профиля пользователя (не было прав администратора на этой машине), установил C&C сессию с интернет - хостом и прошел незамеченным для межсетевого экрана на периметре сети

• Аналитики CyberSOC проводят первичную аналитику и предоставляют данные для сдерживания инцидента

• ИТ/ИБ команда после информирования CSOC заблокировала доступ на FW ( изоляция хоста ) и провела интервью с пользователем

• Аналитики CyberSOC проводят более детальный анализ логов и инцидента, идентифицирует вредоносный процесс и готовит дополнительные рекомендации по реагированию

• ИТ/ИБ выполнила очистку хоста и команда вернула начальные правила МЭ.

Логи из AD, FW + TI фиды Открытие Инцидента (предполагаемый) Проверка C&C в Orange Mega Query Tool ИБ Менеджер Информирование и изоляция хоста от Интернет Проверка Security Log хоста (процесс, ID, имя, местоположение исходника) ИБ Менеджер Остановка активного процесса, удаление исходника Закрытие инцидента Аналитик CSOC ИТ команда Аналитик CSOC

8-9. Сравнение СОКов

Свой SOC

• Полный контроль

• Высокое понимание информационных потоков

• Высокая гибкость в настройке

• Скорость развертывания: от полугода (обычно 2 - 3 года)

• Режим работы (обычно): 5 х 8

• Высокие возможности по реагированию

• Средняя скорость масштабирования

• Средний уровень компетенций

• Форма наибольших затрат: CAPEX

• Непредсказуемые затраты

• Отсутствуют гарантии (финансовые и т.п.)

• Средняя зависимость от каналов связи

• Хранение данных о безопасности: локально

• Права на технологии и процессы принадлежат заказчику

• Низкий уровень независимой экспертизы / взгляд со стороны

• Выделенный персонал заказчика: Да

SOC as a Service

• Частичный контроль

• Низкое понимание информационных потоков или оно отсутствует

• Средняя гибкость в настройке

• Скорость развертывания: 2-4 месяца

• Режим работы (обычно): 24 х 7

• Средние / Высокие (MDR) возможности по реагированию

• Высокая скорость масштабирования

• Высокий уровень компетенций

• Форма наибольших затрат: OPEX

• Предсказуемые затраты

• Возможны гарантии (финансовые и т.п.)

• Высокая зависимость от каналов связи

• Хранение данных о безопасности: за пределами организации / гибридно

• Права на технологии и процессы принадлежат провайдеру

• Высокий уровень независимой экспертизы / взгляд со стороны

• Выделенный персонал заказчика: Тоже да, но меньше

10. Что клиенты ждут от SOC

Миф

• СОК защитит от компьютерных атак

• СОК мониторит все (всю инфраструктуру)

• Основа СОК – это SIEM

• Для начала можно взять СОК из коробки / «как у всех» / «как обычно », а потом подстраивать

• У меня толковые админы – дайте инструкции и все сделаем быстро

• У меня толковые админы – вся инфраструктура описана

• Бесплатный пилот, почему бы и нет

• Уже проводили пилот, все готово для еще одного

Реальность

• СОК позволяет вовремя отреагировать на угрозу

• Мониторить все очень дорого. Часть угроз стоит закрыть превентивными мерами защиты

• SIEM лишь инструмент, главное процессы

• СОК из коробки либо не принесет пользы, либо не взлетит вовсе, поэтому всегда кастомизация

• Админы решают свой поток задач, что-то дополнительное всегда с низким приоритетом

• Данные устарели, причину см. выше

• Без необходимой вовлеченности и выделения ресурсов = waste time

• Одинаковых СОКов не бывает. Многое на пилоте надо пересматривать / переделывать

11. Бесплатный пилот ≠ 0 рублей

Типовой пилот = 3 месяца

Ответственный за взаимодействие на пилоте (обычно сотрудник отдела ИБ) = 0,5 FTE

Руководитель по ИБ = 0, 2 FTE

Администратор (-ы) для настройки источников = 0, 3 FTE

Администратор (-ы) для настройки источников = 0, 2 FTE

Администратор (-ы) для настройки источников = 0, 1 FTE

* - а также железо для реализации коллекторов сбора логов и транспортных серверов

** - FTE (Full-Time Equivalent ) - эквивалент полной занятости

12. Частые ошибки и проблемы

• Отсутствие понимания собственной инфраструктуры (что и где находится, как используется, кто ответственный, что разрешено/запрещено)

• Отсутствие понимания актуальных угроз

• Отсутствие политик ИБ и процессов управления ИБ

• Отсутствие средств защиты

• Отсутствие реагирования/обратной связи

• Видимость сока оставляет желать лучшего – большое количество FP / FN

• Работа по типовым сценариям создает лишь ощущение безопасности

• Длительный период реагирование или его отсутствие делают СОК бесполезной тратой денег

13. С чего начать? Quick start

Вопросы первого порядка

• Есть ли у меня актуальная схема сети?

• Внедрены ли у меня политики безопасности?

• Знаю ли я актуальные для моей инфраструктуры угрозы?

• Есть ли у меня люди для реагирования и полномочия ставить им задачи?

• Есть ли у меня средства защиты для реагирования?

• Знаю ли я всех ответственных за инфраструктуру?

Вопросы второго порядка

• Сколько это будет мне стоить?

• Что начать мониторить в первую очередь (периметр, публичные сервисы, DMZ, внутреннюю сеть, удаленных пользователей)? Определить этапы - начать с малого и набирать обороты

• Есть ли / будет ли у меня бюджет на подключение SOC?

• Для мониторинга надо собирать логи. А как? Сформировать концепцию схемы сбора логов

14. Готовы ли вы к SOC?

Checklist

Musthave – без чего не стоит обращаться к СОК

• Актуальные и достаточные данные о собственной инфраструктуре (что и где находится, как используется, кто ответственный, что разрешено/запрещено, понимание что контролируешь сам/на что сможешь повлиять)

• Наличие базовых СЗИ ( FW, IDS / IPS, AV etc.)

• Наличие внедренных политик ИБ

• Понимание актуальных угроз

• Поддержка на уровне руководства

• Бюджет

• Определены и наделены полномочиями люди ответственные за реагирование

• Определены ответственные за инфраструктуру

Желательно иметь – позволит повысить ценность SOC уже на старте

• Наличие модели угроз

• Процесс реагирования на инциденты

• План по развитию ИБ

• Концепция схемы сбора логов

Не является преимуществом – скорее всего, потребуется переделывать

• Реализованная схема сбора логов / Заранее настроены источники событий

• Уже внедренная SIEM

15. Спасибо!

#Stayathome

Максим Коршунов [email protected]

OrangeTM Business Service

Просмотры

  • 48 Всего просмотров
  • 31 Просмотров Веб-сайта
  • 17 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+