1. Коммерческий СОК – структура,
процессы, собранные грабли
Дрюков Владимир
Solar JSOC
2. solarsecurity.ru +7 (499) 755-07-70
На одном слайде про Solar JSOC
2
39
крупных коммерческих
клиентов
55
специалистов по ИБ
в штате
4
года
оказания услуг
99,4%
общая доступность
сервиса
10 мин
Время реакции
на инцидент
30 мин
Время анализа/
противодействия
Первый коммерческий центр сервисов ИБ-аутсорсинга в России
Географически распределен по двум городам: Москва и Нижний Новгород
Основные сервисы – мониторинг и реагирование на инциденты, оценка
защищенности, противодействие кибератакам
4. solarsecurity.ru +7 (499) 755-07-70
Инструменты JSOC
4
Системы ИБ – всегда с собой:
SIEM – HPE ArcSight
Vulnerability Scanner – Qualys, Loki или то, что у клиента
TI – opensource, россыпь вендоров, собственные исследования
Forensic tools – customize opensource, собственные наработки,
немного коммерческих продуктов и sandbox
Клиентские системы – как повезет:
WAF+antiDDOS
Sandbox,
Firewall Management
FW/NGFW, IPS, Proxy, AV
Инфраструктурные сервисы + cервера/АРМ + приклад
5. solarsecurity.ru +7 (499) 755-07-70
Инструменты JSOC
5
Внутренняя кухня:
Service Desk + KB – customized kayako
CMDB – ArcSight Asset Model + Kayako
Security Intelligence – Security Dashboard
Немного общей инфраструктуры:
It monitoring
Integrity control
VDI + контроль админов
Куча палок, веревок и интеграционных шин
Много разнообразной безопасности
6. solarsecurity.ru +7 (499) 755-07-70
Структура команды Solar JSOC
6
Группа инцидентов ИБ
Руководитель JSOC
Группа эксплуатации СЗИ
Группа развития
( 2 архитектора,
ведущий аналитик
2 пресейл-аналитика)
Инженеры реагирования и
противодействия – 12*5
(НН, 3 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 12 человек)
2-ая линия
администрирования – 12*5
(Москва+НН, 6 человек)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва+НН, 7 человек)
Группа управления
(сервис-менеджеры, 6
человек)
Администраторы ИБ - эксперты
(Москва, 2 человека)
Группа
расследования
(pentest/forensic/reverse -
5 человек)
8. solarsecurity.ru +7 (499) 755-07-70
Проблемы из ITIL
8
Кадры - подбор, обучение и адаптация – оставим до вечера среды
Контроль работы операторов:
Нет ли закрытых как fp боевых инцидентов
Качество разбора и анализа
Запретить выбирать кейсы попроще
Подстраховать первую линию в ночное время
Only for commercial – как не оповестить не того заказчика
9. solarsecurity.ru +7 (499) 755-07-70
Case review – ручное управление
качеством разбора
9
Выборочная проверка кейсов первой линии 2-й и 3-й
• Приоритетная обработка критичных fp
• Критичные хосты и учетки
• TI
Система лайков и дизлайков
• Неточность/ошибка в разборе
• Неполное информирование клиента
• Нарушение SLA
• И еще два десятка критериев
Ежемесячные обязательные групповые встречи по итогам
Плюшевый кнут и жесткий пряник – по итогам :)
10. solarsecurity.ru +7 (499) 755-07-70
Пузырьковое всплытие инцидентов
10
Сложное ранжирование критичности инцидента
• Критичность инцидента
• Критичность хоста
• Критичность УЗ
• Критичность Заказчика
«Время жизни» инцидента разбито на 3 промежутка: «Зеленая
зона», «Желтая зона», «Красная зона»
При переходе инцидента из одной зоны в другую общий Score
увеличивается по коэффициентам
Инженер обязан взять инцидент с самым высоким Score, а не
приоритетом
11. solarsecurity.ru +7 (499) 755-07-70
Автоматизация работы с кейсами и SLA
11
Проброс доступа оператора в конкретную core Заказчика
Отделение оператора от электронной почты
Работа с кейсом только в SD
Автоматически подставляемые профили оповещения
Внутренние заглушки на соответствие клиента, тема и текста
уведомления
Предсказание «успеет ли» отталкиваясь от загрузки смены,
планового времени решения и потока входящих и дежурный
аналитик 24*7
12. solarsecurity.ru +7 (499) 755-07-70
Контент и управление
12
Контролировать инфраструктуру, которая не описана в ИТ
При подключении источника – автоматом запустить базовые
сценарии
Health check-и работы сценариев и контента
Only for commercial - синхронизировать конфигурацию в
распределенной среде
13. solarsecurity.ru +7 (499) 755-07-70
JSOC – Asset Management vs CMDB
13
Несколько бизнес-интервью на старте – инфраструктура в «крупную
клетку»
Выгрузка информации, откуда есть:
Виртуализация + AD
SCCM + Firewall Management
Сканеры
Модель актива – для ИБ
Основные сетевые признаки
Критичность с точки зрения бизнес-процессов, монетизации,
компрометации
Пополнение – on demand
Неизвестный ip в инциденте
Статистика с fw, сканера и прочих инфраструктурных сервисов
14. solarsecurity.ru +7 (499) 755-07-70
Архитектура контента
14
Workflow
Сценарии
«Базовые»
и «Профилирующие»
правила
Переработанные парсеры
для коннекторов
Оповещения, создание кейсов,
обработка информации
Необходимые отчеты и инструменты
для анализа инцидентов
Генерация событий по
соответствующим критериям
«Обогащение» информации
Очистка «мусора»
Добавление нашей категоризации
Профилирование активностей
Добавление «пропущенной»
информации
Исправление проблем
с парсингом
15. solarsecurity.ru +7 (499) 755-07-70
Контент - синхронизация
15
Общие унифицированные правила – разливка с master node
Custom листы с исключениями
Custom профили и списки
Custom Assets
Специализированные правила под клиента – в индивидуальных
папках
Проверка успешности репликации и «живости сценариев»
Автотесты + manual тесты при мажорных синхронизациях
Впереди – backlog, scrum, waterfall
16. solarsecurity.ru +7 (499) 755-07-70
Серебрянная пуля Threat Intelligence
16
Состав TI:
Feeds от вендоров
Сработки СЗИ
APT Reporting
Информационные обмены
Собственные исследования
Проблемы с TI:
Очень много записей (10+ млн)
Очень много «странного» (половина Рунета, ip хостингов)
Network TI killer – Skype
А еще все процессы ходят в Интернет от antivirus.exe
17. solarsecurity.ru +7 (499) 755-07-70
Threat Intelligence как инструмент
выявления атаки
17
27%
18%
22%
14%
12%
7%
Источник данных
Feeds APT Reporting
Информационные обмены Собственные базы
Расследование инцидентов Информация от пользователей
18. solarsecurity.ru +7 (499) 755-07-70
Подход JSOC
18
Приоретизация фидов:
Репутация поставщика
Очистка «мусора»
TTL
Актуальность для клиента
Аккуратная корреляция и анализ истории обращений
Идентификация процесса-инициатора – работа с endpoint
Сопоставление source port с таблицей процессов
Детальная работа с логами антивирусного ПО для поиска
реального процесса
19. solarsecurity.ru +7 (499) 755-07-70
Советы «собратьям по оружию»
19
Не игнорируйте заблокированные инциденты:
Заблокированная активность – признак действий хакера
Не получилось сразу – будет искать другой путь
«Найти и обезвредить»
Понимайте, что вы защищаете:
Идентифицируйте активы
Поймите последние фазы реализации и контроли
Следите максимально внимательно
Копите знания об атаках:
Обмен с коллегами
CERT-ы и ведомства
Платные подписки