Работа с инцидентами и операционная модель SOC.

2377 просмотры
0 Лайки
0 0
- Сравнение вариантов операционной модели SOC в зависимости от целей компании
- Команда SOC и команда реагирования: роли и задачи
- Процесс управление инцидентами
- Примеры работы с инцидентами

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

5. Варианты операционной модели SOC

17. Процесс управления инцидентами

11. Команда SOC . Роли и задачи

1. Операционная модель SOC и работа с инцидентами Андрей Прошин a ndrey.proshin@orange.com

20. Orange Restricted Спасибо! Андрей Прошин Andrey.proshin@orange.com

18. Процесс управления инцидентами Orange Restricted Общий процесс работы над инцидентом  Информация об инциденте может поступить из разных источников (SIEM, сообщение пользователя , внешний провайдер)  Необходимо установить SLA ( TTD, TTC, TTR)  Часть процессов можно автоматизировать с помощью IRP / SOAR

8. Операционная модель SOC Гарантии отказоустойчивой инфраструктуры - + Внешняя экспертиза - + Совместное управление Собственный SOC SOC as a Service Финансы capex opex on premise о блако выделе нный shared Хостинг Аналитик Orange Restricted

4. Глобальная сеть SOC и CERT команд Собственные исследования в рамках Threat Intelligence Гибкие решения в области управляемых услуг безопасности ( MSSP/MDR) 2,100 ИБ экспертов по всему миру 30 лет защиты критической инфраструктуры 720 международных клиентов Наша экспертиза Группа Orange : кибербезопасность Orange Restricted

12. Функции ИБ команды Готовность к новым угрозам и снижению киберриска Понимание в аших ключевых активов, их рисков и подготовка стратегии ИБ Защита вашей компании современными технологиями ИБ Обнаружение Кибератак путем 24 x7 мониторинга событий ИБ Реагирование На кибератаки и снижение потенциального ущерба Orange Restricted

13. Функции ИБ команды Готовность к новым угрозам и снижению киберриска Понимание в аших ключевых активов, их рисков и подготовка стратегии ИБ Защита вашей компании современными технологиями ИБ Обнаружение Кибератак путем 24 x7 мониторинга событий ИБ Реагирование На кибератаки и снижение потенциального ущерба Orange Restricted Security Operations Center

2. Группа Orange : возможности глобального лидера 273 + млн клиентов € 41,1 млрд выручка в 2017 году 450 000 км подводных кабелей € 600 млн ежегодных инвестиций в магистральную инфраструктуру 345 000+ точек подключения Уникальное покрытие по всему миру Оператор связи для населения в 29 странах Крупнейшая в мире бесшовная сеть передачи голоса и данных с предоставлением сквозных услуг связи. Сотрудники в 220 странах и территориях Нет присутствия Orange Business Services Orange Restricted

14. Выявление Функции SOC  Сбор событий*  Настройка систем контроля  Разработка сценариев атак  Выявление угроз  Анализ угроз  Контроль ресурсов  Разработка рекомендаций по реагированию  Разработка рекомендаций по модернизации  Отчет по событиям и инцидентам  Планы по модернизации Взаимодействие Реагирование Отчетность * - Сбор событий – сбор записей из электронных журналов различных устройств, о всевозможных активностях связанных с этими устройствами. Например: разблокировка компьютера, обращение к сетевому ресурсу, запуск файла. Orange Restricted

7. Оценить текущие возможности Технологические платформы Экспертиза Зрелость ИБ Важно оценить текущие возможности вашей компании для создания / модернизации SOC проекта  Предпочтения по вендорам  Наличие систем, которые могут закрыть часть требований к SOC  Необходимость интеграции с существующими ИТ / ИБ системами  Навыки и экспертиза  Количество людей  Процессы  Понимание рисков и угроз  Безопасность как сервис Также:  24 x7 или 8x5  Требуемый уровень SLA (время обнаружения и реагирования) Orange Restricted

3. В России с 1958 года (SITA) Orange в России  B2B - подразделение группы Orange : провайдер цифровых сервисов с экспертизой в области телекоммуникаций  Единственный международный оператор связи с собственной инфраструктурой  Присутствуем в 220 странах и территориях  Сильные местные компетенции: центр инноваций и центр мониторинга киберугроз ( SOC)  C оздаем инновации для крупного бизнеса : 8 из 10 крупнейших российских компаний Forbes - 2000 Top - 10 – наши клиенты* 800+ сотрудников BSI OINIS&IT Sales CS&O 350 133 82 78  31 отделение  1 3 офисов продаж  1500 корпоративных клиентов * according to Top - 2000 Forbes 2018 rating

15. Как работает SOC Заказчик ИБ команда R&D / Lab Выявление и реагирование SIEM система Корреляция Хранение C бор событий L1 – 24/7 L2 – 8/5 L3 – 8/5 Эксперт Аналитик Консультант Директор департамента ИБ Security Manager Взаимодействие  Мониторинг  Квалификация инцидентов  Подготовка плана противодействия  Разработка каталога use case  Снижение False Positive  Работа со сложными инцидентами  Отчетность  Pen test эксперт  SIEM эксперт  Security Expert Отчетность Дополнительные исследования Orange Restricted

19. Пример взаимодействия Вредоносное ПО и взаимодействие с C&C , трафик не был заблокирован FW на периметре сети Сценарий:  Вредоносное ПО закрепилось на хосте, запустилось из - под профиля пользователя (не было прав администратора на этой машине), установил C&C сессию с интернет - хостом и прошел незамеченным для межсетевого экрана на периметре сети  Аналитики CyberSOC проводят первичную аналитику и предоставляют данные для сдерживания инцидента  ИТ/ИБ команда после информирования CSOC заблокировала доступ на FW ( изоляция хоста ) и провела интервью с пользователем  Аналитики CyberSOC проводят более детальный анализ логов и инцидента, идентифицирует вредоносный процесс и готовит дополнительные рекомендации по реагированию  ИТ/ИБ выполнила очистку хоста и команда вернула начальные правила МЭ. Логи из AD, FW + TI фиды Открытие Инцидента (предполагаемый) Проверка C&C в Orange Mega Query Tool ИБ Менеджер Информирование и изоляция хоста от Интернет Проверка Security Log хоста (процесс, ID, имя, местоположение исходника) ИБ Менеджер Остановка активного процесса, удаление исходника Закрытие инцидента Аналитик CSOC ИТ команда Аналитик CSOC Orange Restricted

6. Поддержка Management Team Проект подразумевает большие финансовые затраты, вовлечение разных команд и специалистов, создание нового опыта / процесса по работе с инцидентами ИБ Определенный уровень зрелости ИБ  Модель угроз  С истема защиты периметра  З ащита рабочих станций  Ц ентрализованное логирование Постановка и утверждение целей Цели создания SOC должны быть четко определены и согласованы ну уровне руководства компании С чего начать Orange Restricted

9. Сравнение SOC Параметр Собственный SOC SOC as a Service Контроль Полный Частичный Понимание информационных потоков Высокое Низкое или отсутствует Гибкость в настройке Высокая Средняя Скорость развертывания От полугода (обычно 2 - 3 года) 2 - 4 месяца Режим работы (обычно) 5 х 8 24 х 7 Возможности по реагированию Высокие Средние / Высокие (MDR ) Скорость масштабирования Средняя Высокая Уровень компетенций Средний Высокий Форма наибольших затрат CAPEX OPEX Предсказуемость затрат Непредсказуемые Предсказуемые Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Высокая Хранение данных о безопасности Локально За пределами организации / гибридно Права на технологии и процессы Принадлежат заказчику Принадлежат провайдеру Уровень независимой экспертизы / взгляд со стороны Низкий Высокий Выделенный персонал заказчика Да Тоже да, но меньше Orange Restricted

10. Сравнение СОКов Параметр Собственный SOC SOC as a Service Контроль Полный Частичный Понимание информационных потоков Высокое Низкое или отсутствует Гибкость в настройке Высокая Средняя Скорость развертывания От полугода (обычно 2 - 3 года) 2 - 4 месяца Режим работы (обычно) 5 х 8 24 х 7 Возможности по реагированию Высокие Средние / Высокие (MDR ) Скорость масштабирования Средняя Высокая Уровень компетенций Средний Высокий Форма наибольших затрат CAPEX OPEX Предсказуемость затрат Непредсказуемые Предсказуемые Гарантии (финансовые и т.п.) Отсутствуют Возможны Зависимость от каналов связи Средняя Высокая Хранение данных о безопасности Локально За пределами организации / гибридно Права на технологии и процессы Принадлежат заказчику Принадлежат провайдеру Уровень независимой экспертизы / взгляд со стороны Низкий Высокий Выделенный персонал заказчика Да Тоже да, но меньше Orange Restricted

16. Команды SOC и роли Orange Restricted L1: Оператор SOC  Первичная оценка и квалификация инцидента . Регистрация карточки инцидента  При выявлении подозрительных файлов использование «песочницы» для эмуляции и анализа файла .  Обновление/дополнение базы знаний .  Разработка рекомендаций/плана по реагированию на инцидент ИБ в соответствии с playbook .  Взаимодействие с группой реагирования L 2 : Аналитик SOC  Детальный анализ инцидента ИБ по всем доступным источникам информации (SIEM, TI, Sandbox , Vulnerability Scanner )  Предоставление плана по реагированию на инциденты, не описанные в playbook .  Выявление ложных срабатываний источников событий .  Обновление/дополнение правил корреляции/ use - case / playbook .  Помощь в расследование - взаимодействие с Группой реагирования для сбора дополнительной информации об инциденте ИБ . L 3 : Эксперт SOC  Поддержка L 2 для анализа инцидентов  Подключение новых источников событий  Threat hunting Группа Реагирования  Выполнение рекомендаций SOC для локализации и нейтрализации инцидента  Предоставление дополнительной информации для SOC в плане анализа инцидента  Уведомление сотрудников SOC о проведенных работах Группа поддержки инфраструктуры SOC  Мониторинг доступности и работоспособности всех технологических компонентов  Управление патчами  Управление производительностью систем  Резервное копирование и восстановление

Просмотры

  • 2377 Всего просмотров
  • 1624 Просмотров Веб-сайта
  • 753 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+