SOC: внутрь процессов.

284 просмотры
0 Лайки
0 0
- Расскажем на что обратить внимание при построении SOC
- Поделимся типовыми проблемами в операционной части
- Подскажем как наладить работу дежурных аналитиков

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

19. OWASP Cyber Defense Matrix

20. Enterprise security market segments

35. Internal CERT

21. OWASP Cyber Defense Matrix Pre - event Structural awareness Post - event Situational awareness

10. Создание SOC

12. Если провести аналогию

18. Как использовать Фреймворк

22. Рекомендуемые соотношения

30. Процессы в SOC

36. Отчетность

40. Команда SOC

26. Из чего состоит SOC? Technologies People Processes

3. Полезная информация н аш опыт

32. Month#1 Столько может длиться пилот Prepare Build Test Ops Run Month#2 Month#3 Month#4 Month#5 Month#6

48. #StaySafe Спасибо! Юрий Бармотин yury.barmotin@orange.com

23. Навыки SOC работает во всех непрерывных функциях

1. SOC: внутрь процессов Юрий Бармотин yury.barmotin@orange.com

4. Настоятельно рекомендуется Заблуждения Советы

25. С чего начинался наш SOC Secure Internet Gateway Endpoint Security Firewalls DLP IPS Malware Detection Web Security Email Security

2. 1. Создание 2. Процессы 3. Команда Наша agenda на сегодня

9. Нужно учитывать Опыт в информационной безопасности Мониторинг инцидентов Организация сменной работы плюс 1 - 2 года

24. Таблетки от всего не бывает + Приказы ФСТЭК 17/21/235/239 + СТО БР ИББС/ГОСТ 57580 + ГОСТ Р ИСО/МЭК 27001

11. Cloud computing risks Data breaches Insufficient identity, credential and access management Insecure interfaces and APIs System vulnerabilities Account hijacking Malicious insiders Advanced Persistent Threats Data loss Insufficient due diligence Abuse and nefarious use of Cloud Services Denial of service Shared technology vulnerabilities Physical security Access controls Logging and monitoring Host hardening Patching Vulnerability scanning SDLC Penetration testing Risk modeling SSO RBAC Audit logs Data encryption Data governance Backups (data and systems) Top Threats to Cloud Computing – Cloud Security Alliance Defense in Depth proposed by Databricks on Azure provide following controls to mitigate risks

17. Примеры Управление активами, оценка рисков, стратегия управления рисками Управление доступом и учетными данными, повышение осведомленности и другие виды обучения сотрудников по ИБ, меры по защите данных бизнес процессов , техническое обслуживание систем Работа с аномалиями и событиями ИБ, осуществление мониторинга ИБ Процедуры по реагированию на инциденты ИБ, коммуникации, улучшения, анализ инцидентов ИБ, устранение инцидентов Планы восстановления, улучшения, коммуникации

15. 1. Оценить текущее положение ИБ; 2. Описать целевое состояние ИБ; 3. Выявить и расставить приоритеты возможных улучшений в непрерывном процессе улучшения и развития; 4. Оценка прогресса по достижению целевого состояния; 5. Информирование внутренних и внешних заинтересованных сторон о рисках кибербезопасности. Cybersecurity framework v.1.1.

41. Команда Internet Umbrella L1 Аналитики 2x2 08.00 - 20.00 Клиенты L 3 Эксперты 5 x 8 0 9 .00 - 18 .00

8. 200 2 Connectivity Encryption С чего все начиналось? 200 1 Managed Firewall 200 1 Flexible Identity (Secure Authentication) 20 10 Internet Umbrella AD/AG 20 13 Internet Umbrella Arbor 20 18 Security Awareness 20 18 Internal SOC 20 17 Internet Umbrella Site Guardian 20 15 Mobile Device Premium 20 19 CyberSOC

13. ИБ Мониторинг. Для чего он нужен? 95% 5 % 30% 7 0 % Traditional threats SPAM DDoS Rootkits Viruses ... Traditional solutions Antiviruses Firewall IDS/IPS/WAF SIEM ... Threats Risks Advanced threats Spear P hishing Trojans Social Networking Attacks ... Evolving solutions Data collection & behavior analysis Threat hunting Threat intelligence ...

14.  85 различных инструментов ИБ  45 вендоров  83% заказчиков не видят уязвимостей в системах безопасности Типичная картина *IBM

27. Как создавался SOC? 201 8 201 9 SIEM R&D Sandbox Design Vuln. mgmt Run Use case catalog Internal IaaS/LAN security monitoring 2020 Operations t rainings Operations Compliance Process definition IRP Infra. SIEM Sandbox Vuln. mgmt IRP Infra. SIEM Sandbox Vuln. mgmt IRP Infra.

7. 4 CyberSOC : корреляция событий, реагирование на инциденты 24 x7x365 8 SOC : управление устройствами безопасности 24x7x365 3 CERT : реагирование и расследование инцидентов ИБ 24x7x365 3 scrubbing centers : защита от DDoS атак 24 x7x365 Belgium France India Egypt Mauritius United States Canada Singapore Malaysia Russia Poland Форензика Реагирование на инциденты ИБ Независимы й CERT Академия кибербезопасности Глобальное присутствие по направлению ИБ

42. Core к оманда SOC L1 Аналитики L2 Аналитики L3 Эксперты 2 4 x 7 5x8 09.00 - 18:00 5x8 09.00 - 18:00 Клиенты

45. Orange SOC L1 L 2 L 3 ИБ Менеджер Клиент внешний/внутренний Группа реагирования ИБ менеджер ИБ руководитель Кто с кем взаимодействует? и нциденты отчеты и улучшения

46. Минимальный состав SOC L1 Аналитики L2 Аналитики L3 Аналитики Группа реагирования (внутренний SOC) 5 сотрудников 2 сотрудника Группа обслуживания Проектная группа Консалтинг External partner skill center

39.  Единые процессы взаимодействия внешнего и внутреннего SOC  Периодическое сканирование с контролем исполнения в SOC  Разделяйте аналитику и обслуживание  Можно не реагировать на оповещения SOC  Политику обработки инцидентов можно не вводить  Разделите зоны ответственности между клиентом и SOC  Договоритесь о сроках пилота  Внедрите сроки обратной связи Процессы в SOC : советы и заблуждения

34. Процесс работы над инцидентами Оповещение ИБ команды SOC Сбор информации Предоставление рекомендаций Команда ИБ Принятие инцидента в работу Команда ИТ Закрытие инцидента Принятие инцидента в работу Анализ инцидента Оповещение ИТ команды Проверка устранения Устранение инцидента Результаты устранения Результаты устранения Проверка устранения

16. Ядро Фреймворка состоит из пяти параллельных и непрерывных функций :  И дентификация – управление рисками кибербезопасности для систем, людей, активов, данных и возможностей  Защита – разработка и внедрение защиты для критичных сервисов  Обнаружение – разработка мер по выявлению инцидентов информационной безопасности  Реагирование – принятие мер при обнаружении инцидентов информационной безопасности  Восстановление – разработка и поддержка планов восстановления услуг и планов обеспечения непрерывности При совместном рассмотрении эти функции обеспечивают высокоуровневый стратегический взгляд на жизненный цикл управления рисками кибербезопасности в организации . Риски и как с ними быть?

5. Группа Orange: возможности глобального лидера 273 + млн клиентов € 41,1 млрд выручка в 2017 году 450 000 км подводных кабелей € 600 млн ежегодных инвестиций в магистральную инфраструктуру 345 000+ точек подключения у никальное покрытие по всему миру Оператор связи для населения в 29 странах Крупнейшая в мире бесшовная сеть передачи голоса и данных с предоставлением сквозных услуг связи. Сотрудники в 220 странах и территориях Нет присутствия Orange Business Services

43. Кто чем занимается? L1 Аналитики L3 Аналитики Работа с инцидентами в IR Составление отчетов Взаимодействие с клиентами по инцидентам Работа с инцидентами в IR Проведение углубленного анализа инцидентов L2 Аналитики Разработка use cases , настройка включений Аудиты/тесты на защищенность Имплементация новых функций Группа реагирования Оперативное реагирование Устранение инцидентов Координация действий при инциденте Security team IT team Pentesters Solution expert s Technical architects Security experts

28.  Обновленная инфраструктура Логическая схема  Выделенные сетевой сегмент  Выделенный сетевой периметр под каждого клиента  SIEM IBM Qradar в multitenant режиме  Check Point Sandblast  Сканнер уязвимостей Tenable  Лицензионная «чистота» ГОССОПКА Клиенты Команда SOC Платформа SOC Внутренние IT системы

33. Процесс работы над инцидентами Событие ИБ SOC L1 Регистрация события Квалификация события Первичный анализ события Событие ИБ SOC L2 Детальный анализ события Событие ИБ Клиент Признаки инцидента? Оповещение ИБ команды Тюнинг мониторинга Признаки инцидента? Сбор информации Предоставление рекомендаций Закрытие инцидента Принятие инцидента в работу Анализ инцидента Устранение инцидента Результаты устранения

47.  Стремиться нужно к выделенному центру  Профильное образование команды  Одна IR P  Обучение смежным направлениям  Построить команду не занимает много времени  Можно начать с Fast start и собрать неполную команду, потом добрать людей  У команды много свободного времени, можно добавить других функций  Введите дежурство L2 экспертов на постоянной основе  Введите процесс передачи смены  Во внутреннем SOC можно и нужно вводить сроки обратной связи  Для проектной части используйте Agile - методологии Команда SOC : советы и заблуждения

31. Типовой ввод в эксплуатацию  Настройка схемы сбора логов  Подключение всех источников событий  Модернизация схемы сбора событий ИБ  Включение каталога use - case в соответствие с заданием  Работа с use - case s переданными в эксплуатацию  Уведомление об инцидентах Prepare Build Run  Консультация заказчика  Организация единой схемы сбора событий ИБ  Определение перечня источников событий  Согласование способа передачи событий ИБ  Подготовка инфраструктуры  Подготовка инструкций для конфигурации источников событий

6. В России с 1958 года (SITA) Orange в России  B2B - подразделение группы Orange : провайдер цифровых сервисов с экспертизой в области телекоммуникаций  Единственный международный оператор связи с собственной инфраструктурой  Присутствуем в 220 странах и территориях  Сильные местные компетенции: центр инноваций и центр мониторинга киберугроз ( SOC)  С оздаем инновации для крупного бизнеса : 8 из 10 крупнейших российских компаний Forbes - 2000 Top - 10 – наши клиенты* 800+ сотрудников BSI OINIS&IT Sales CS&O 350 133 82 78  31 отделение  1 3 офисов продаж  1500 корпоративных клиентов * according to Top - 2000 Forbes 2018 rating

44. Проектная группа Кто чем занимается? Ведение PoCs Обсуждение текущих активностей с клиентами Доработка новых функций услуги Отчетность и взаимодействие с руководством PM Professional services SM SOC team Консалтинг Проработка управляемых ИБ сервисов и аутсорсинга для клиентов Организация пилотов и PoC Разработка проекта под клиента Professional services Presales Technical architect Поддержка инфраструктуры Взаимодействие с вендорами Поддержка платформ виртуализации IaaS Планирование MW & patch management Admins (network, cloud, infrastructure platforms, R&D Разработка сценариев детектирования и реагирования Реализация средств автоматизации Внедрение новых функций Professional services Technical architect Solution experts Группа эксплуатации

29.  Анализ рисков и анализ защищенности инфраструктуры  Фреймворки  Конференции и учения  Ранее обучение команды поддержки  Выделенная команда  Внешний консалтинг  SOC является решением всех проблем ИБ  SOC является готовым коробочным решением  Нужно заниматься мониторингом всего  Внешний консалтинг построит под ключ SOC  Цели и ключевые метрики успешности  П остоянное взаимодействие и поддержка руководства.  Загрузка участников рабочей группы.  Выделенный PM .  Б азовый уровень защищенности инфраструктуры  Повышение осведомленности сотрудников, периодическое обучение Создание SOC : советы и заблуждения

37. Колл - центр Анализ угроз Разработка инструментария Настройка и обслуживание сенсоров Расследование действий инсайдеров Распространение знаний о способах проведения атак Распространение знаний о способах противодействия атакам Колл - центр Координация деятельности по реагированию Оценка технических решений Разработка правил корреляции Анализ вредоносного ПО и НДВ Мониторинг и приоритезация событий Сбор и анализ бюллетеней безопасности Реализация мер защиты Контроль периметра сети Консультирование по вопросам ИБ Повышение осведомлённости Выявление и анализ уязвимостей Управление средствами защиты периметра Анализ инцидентов Удаленное реагирование на инциденты Управление инфраструктурой SOC Тестирование на проникновение Подготовка бюллетеней безопасности Публикация бюллетеней безопасности Реагирование на инциденты с выездом на объект Forensic /Расследо вание инцидентов Разработка сценариев реагирования Функций много...

38. Колл - центр Анализ угроз Разработка инструментария Настройка и обслуживание сенсоров Расследование действий инсайдеров Распространение знаний о способах проведения атак Распространение знаний о способах противодействия атакам Колл - центр Координация деятельности по реагированию Оценка технических решений Разработка правил корреляции Анализ вредоносного ПО и НДВ Мониторинг и приоритезация событий Сбор и анализ бюллетеней безопасности Реализация мер защиты Контроль периметра сети Консультирование по вопросам ИБ Повышение осведомлённости Выявление и анализ уязвимостей Управление средствами защиты периметра Анализ инцидентов Удаленное реагирование на инциденты Управление инфраструктурой SOC Тестирование на проникновение Подготовка бюллетеней безопасности Публикация бюллетеней безопасности Реагирование на инциденты с выездом на объект Forensic Расследование инцидентов Разработка сценариев реагирования Функций много... как можно делать всё Orange Russia Orange Cyberdefense Партнеры

Просмотры

  • 284 Всего просмотров
  • 183 Просмотров Веб-сайта
  • 101 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+