3. solarsecurity.ru +7 (499) 750-07-70
Про Solar Security
3
Основные факты
Компания Solar Security разработчик ПО и провайдер
сервисов ИБ
Компания Solar Security основана компанией
«Инфосистемы Джет» – интегратором № 1 по
информационной безопасности на коммерческом рынке
Solar Security – это команда с двадцатилетним опытом
разработки продуктов и собственная исследовательская
лаборатория по анализу и прогнозированию инцидентов
информационной безопасности
4. Security as a Service =
= JSOC
Только представьте себе на минуту…
5. Позиционирование JSOC
• Подключение к сервисам ИБ здесь и сейчас, вместо проектирования,
внедрения, обучения и эксплуатации собственных систем
• Агрегация компетенций, партнерских связей и лучших технологий в
едином поставщике
Представление об аутсорсинге ИБ
• Мы первые в России развили идеи аутсорсинга SOC до первых
коммерческих подключений к центру мониторинга инцидентов
• В-первую очередь интересно предлагать емкие аналитические темы
• Мы гарантируем выполнение SLA по реагированию и разбору
инцидентов
Позиционирование Solar Security и JSOC
6. Опыт MSSP заграницей*
• Базовый мониторинг логов и хранение событий
(Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN)
• Предоставление Software as a Service (Web-, Email- security,
antiDDoS, MDM) в аренду с базовым мониторингом
Сервисы, доступные за рубежом
• Анализ хакерской активности в окружении конкретных
компаний-клиентов (APT detection)
• SIEM as a Service (не путать с SOC!)
• Практически не встречается – SOC as a Service
Малодоступные услуги западных MSSP
*Gartner, MSSP report, декабрь 2014
7. Почему аутсорсинг стал
интересен в России
От SIEM к SOC – Дорогу осилит смотрящий?
• Когда-то мы внедрили более 35 SIEM
• «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5
– 1.5 человека
• Примерно 80% компаний так и не построили SOC
• У 20% компаний через год обнаружились сложности с доступом в консоль SIEM
из-за забытых логинов и паролей
• Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и
дозакупки оборудования и ПО
Мы по-настоящему гордимся теми клиентами,
которые смогли построить SOC сами!
8. Зрелость SOC в России
Уровень зрелости SOC по
индустриям
Количество выполненных
проектов по SIEM с 2010 года
9. Почему это стало важным
Переход на APT – Кто еще не стал жертвой киберпреступности?
• «Рынок антивирусов умер» (с) вице-президент Symantec, 2014
• Взлет рынка «песочниц» для автоматического анализа ПО
• Смещение акцентов на атаки против инфраструктуры конкретной компании
10. Неудобные вопросы, но всё же…
Мониторинг
инцидентов
Вы потратили 200K$ на SIEM,
а сколько критичных
инцидентов в месяц вы
выявляете и разбираете?
Говорят, что опытный
специалист по SIEM – на вес
золота. Сможете ли вы
удержать сотрудника в
компании после года его
стажировок и практики?
Администрирование
систем ИБ
У вас около 15 решений в
области ИБ, а штат
сотрудников – не более 5
человек. Они успевают хотя
бы обновлять версии систем
безопасности, не говоря уже
о тонкой настройке правил?
Как быстро вы обычно
регистрируете сбой в
системах ИБ? Как вы думаете,
обо всех ли сбоях становится
вам известно?
Анализ кода
приложений
Правда ли, что безопасность
мало вовлечена в процесс
разработки кода, а
инциденты взлома
приложений приходится
разбирать пачками?
Не так то просто найти
специалиста ИБ, сильного в
программировании? Да,
впрочем, и наоборот тоже
12. Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять
таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств
защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за
инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
13. У нас есть, что предложить…
• Мониторинг инцидентов
• Противодействие киберпреступности
• Контроль защищенности
• Эксплуатация систем ИБ
• Анализ кода приложений
• Защита web-приложений
• Анти-DDoS
Предлагаем
SECaaS
15. Команда JSOC
Группа разбора инцидентов
Руководитель
департамента JSOC
(Дрюков В.)
Группа администрирования
Группа развития JSOC
(пресейл-аналитик,архитектор,
ведущий аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
16. JSOC: Мониторинг инцидентов –
если SIEM нет
Как это выглядит:
1. Оборудование и лицензии – арендная схема
2. Мониторинг и анализ инцидентов – силами JSOC
3. Подключение – установка сервера коннекторов и
настройка источников
Преимущества:
• Нет стартовых капитальных вложений
• Быстрый запуск услуги – до 1,5 месяцев
• Перекрестное информирование схожих по инфраструктуре клиентов об
обнаруженных атаках нулевого дня
• Агрегация информации об угрозах в одном центре мониторинга
17. JSOC: Мониторинг инцидентов –
если ArcSight уже есть
Как это выглядит:
1. Оборудование и лицензии – в собственности
клиента
2. Правила SIEM обогащаются сценариями JSOC
3. Команда JSOC анализирует все инциденты в SIEM
Преимущества:
• Обновление SIEM, тюнинг источников под задачи
• Более 1500 корреляционных правил, объединенных в 174 таргетированных
сценариев инцидентов ИБ
• Мониторинг и разбор инцидентов в режиме 24х7 при полном соблюдении
гарантированного уровня SLA
18. JSOC – Противодействие
киберпреступности
Как это выглядит:
1. Мы сообщим о том, что ваши учетные записи
были взломаны и выложены в Интернет.
Проведем анализ последствий такой
компрометации
2. Оперативный поиск zero-day троянов,
обнаруженных через JSOC, Group-IB, Kaspersky
3. Круглосуточное выявление обращений к
вредоносным ресурсам и входящих
подключений с опасных ресурсов
Преимущества:
• Наиболее релевантная российскому рынку информация об атаках, основанная на
информации бот-сетей и сенсорах, установленных в компаниях
• Информирование об атаке, когда она случилась у других, а не у вас
• Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в
различных сегментах российского рынка
19. JSOC – Эксплуатация систем ИБ
Как это выглядит:
Обеспечение работоспособности систем ИБ:
– Мониторинг «здоровья» систем,
восстановление работоспособности;
– Обновление версий, администрирование и
профилактика
Эксплуатация систем ИБ:
– Администрирование, разработка и
оптимизация политик;
– Оповещение о новых угрозах и обновление
сигнатур
Преимущества:
• Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной
смены специалистов JSOC;
• Применение лучших практик и высокой экспертизы команды JSOC для обеспечения
вашей безопасности;
20. JSOC – безопасность
внешних сервисов
Как это выглядит:
Защита от DDoS
– Мониторинг атак и переключение трафика на
очистку в облако Kaspersky
– Для клиентов Ростелекома услуга по очистке
трафика и защита канала с помощью Arbor
Web application firewall
– Предоставление WAF в аренду с полным
администрированием из JSOC
– Подключение к JSOC имеющегося WAF (Imperva,
F5) и эксплуатация/рекомендации настроек
Преимущества:
• Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и
конфиденциальность
• Минимальное вовлечение специалистов клиента и оперативная настройка политик и
сигнатур WAF при обнаружении новых угроз
21. JSOC - Контроль
защищенности
Как это выглядит:
• Инвентаризация систем
• Инструментальный анализ уязвимостей
• Адаптация отчетов о сканировании
• Формирование конечных рекомендаций для ИТ-
специалистов по устранению критичных
уязвимостей
• Сопровождение устранения уязвимостей
• Регулярная оценка защищённости от zero-day
Преимущества:
• Получение реальной картины уязвимостей инфраструктуры с учетом всех
особенностей архитектуры
• Технический и организационный контроль процесса закрытия уязвимостей ИТ-
службами
• Возможность высвободить время собственных специалистов от рутинных задач
обработки отчетов сканирования
22. JSOC – Анализ кода
Как это выглядит:
• Проверка исходного кода Java, PHP, C# и
более десятка других языков по запросу
• Анализ безопасности мобильных
приложений iOS, Android по бинарному
файлу
• Встраивание проверки безопасности кода в
процесс разработки ПО в компании
Преимущества:
• Результаты анализа предоставляются в формате конкретных рекомендаций по устранению
уязвимостей кода приложений с оценкой трудоемкости исправлений;
• Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия
уязвимостей без изменения кода;
• Возможность анализа приложений, разработанных на любых языках программирования:
как современных, так и устаревших