SlideShare une entreprise Scribd logo

Эффективные и проблемные SOC-процессы

Positive Hack Days
Positive Hack Days

В рамках секции: Эволюция SOC — 2017: план развития

Technologie
1  sur  20
Коммерческий СОК – структура, процессы, собранные грабли Дрюков Владимир Solar JSOC
solarsecurity.ru +7 (499) 755-07-70 На одном слайде про Solar JSOC 2 39 крупных коммерческих клиентов 55 специалистов по ИБ в штате 4 года оказания услуг 99,4% общая доступность сервиса 10 мин Время реакции на инцидент 30 мин Время анализа/ противодействия Первый коммерческий центр сервисов ИБ-аутсорсинга в России Географически распределен по двум городам: Москва и Нижний Новгород Основные сервисы – мониторинг и реагирование на инциденты, оценка защищенности, противодействие кибератакам
solarsecurity.ru +7 (499) 755-07-70 Архитектура сервисов Solar JSOC 3
solarsecurity.ru +7 (499) 755-07-70 Инструменты JSOC 4 Системы ИБ – всегда с собой: SIEM – HPE ArcSight Vulnerability Scanner – Qualys, Loki или то, что у клиента TI – opensource, россыпь вендоров, собственные исследования Forensic tools – customize opensource, собственные наработки, немного коммерческих продуктов и sandbox  Клиентские системы – как повезет: WAF+antiDDOS Sandbox, Firewall Management FW/NGFW, IPS, Proxy, AV Инфраструктурные сервисы + cервера/АРМ + приклад
solarsecurity.ru +7 (499) 755-07-70 Инструменты JSOC 5 Внутренняя кухня: Service Desk + KB – customized kayako CMDB – ArcSight Asset Model + Kayako Security Intelligence – Security Dashboard Немного общей инфраструктуры: It monitoring Integrity control VDI + контроль админов Куча палок, веревок и интеграционных шин Много разнообразной безопасности
solarsecurity.ru +7 (499) 755-07-70 Структура команды Solar JSOC 6 Группа инцидентов ИБ Руководитель JSOC Группа эксплуатации СЗИ Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) Группа управления (сервис-менеджеры, 6 человек) Администраторы ИБ - эксперты (Москва, 2 человека) Группа расследования (pentest/forensic/reverse - 5 человек)
solarsecurity.ru +7 (499) 755-07-70 Пройдемся по граблям 7
solarsecurity.ru +7 (499) 755-07-70 Проблемы из ITIL 8  Кадры - подбор, обучение и адаптация – оставим до вечера среды Контроль работы операторов: Нет ли закрытых как fp боевых инцидентов Качество разбора и анализа Запретить выбирать кейсы попроще Подстраховать первую линию в ночное время Only for commercial – как не оповестить не того заказчика
solarsecurity.ru +7 (499) 755-07-70 Case review – ручное управление качеством разбора 9 Выборочная проверка кейсов первой линии 2-й и 3-й • Приоритетная обработка критичных fp • Критичные хосты и учетки • TI Система лайков и дизлайков • Неточность/ошибка в разборе • Неполное информирование клиента • Нарушение SLA • И еще два десятка критериев Ежемесячные обязательные групповые встречи по итогам Плюшевый кнут и жесткий пряник – по итогам :)
solarsecurity.ru +7 (499) 755-07-70 Пузырьковое всплытие инцидентов 10 Сложное ранжирование критичности инцидента • Критичность инцидента • Критичность хоста • Критичность УЗ • Критичность Заказчика «Время жизни» инцидента разбито на 3 промежутка: «Зеленая зона», «Желтая зона», «Красная зона» При переходе инцидента из одной зоны в другую общий Score увеличивается по коэффициентам Инженер обязан взять инцидент с самым высоким Score, а не приоритетом
solarsecurity.ru +7 (499) 755-07-70 Автоматизация работы с кейсами и SLA 11 Проброс доступа оператора в конкретную core Заказчика Отделение оператора от электронной почты Работа с кейсом только в SD Автоматически подставляемые профили оповещения Внутренние заглушки на соответствие клиента, тема и текста уведомления Предсказание «успеет ли» отталкиваясь от загрузки смены, планового времени решения и потока входящих и дежурный аналитик 24*7
solarsecurity.ru +7 (499) 755-07-70 Контент и управление 12 Контролировать инфраструктуру, которая не описана в ИТ При подключении источника – автоматом запустить базовые сценарии Health check-и работы сценариев и контента Only for commercial - синхронизировать конфигурацию в распределенной среде
solarsecurity.ru +7 (499) 755-07-70 JSOC – Asset Management vs CMDB 13 Несколько бизнес-интервью на старте – инфраструктура в «крупную клетку» Выгрузка информации, откуда есть:  Виртуализация + AD  SCCM + Firewall Management  Сканеры Модель актива – для ИБ  Основные сетевые признаки  Критичность с точки зрения бизнес-процессов, монетизации, компрометации Пополнение – on demand  Неизвестный ip в инциденте  Статистика с fw, сканера и прочих инфраструктурных сервисов
solarsecurity.ru +7 (499) 755-07-70 Архитектура контента 14 Workflow Сценарии «Базовые» и «Профилирующие» правила Переработанные парсеры для коннекторов  Оповещения, создание кейсов, обработка информации  Необходимые отчеты и инструменты для анализа инцидентов  Генерация событий по соответствующим критериям  «Обогащение» информации  Очистка «мусора»  Добавление нашей категоризации  Профилирование активностей  Добавление «пропущенной» информации  Исправление проблем с парсингом
solarsecurity.ru +7 (499) 755-07-70 Контент - синхронизация 15 Общие унифицированные правила – разливка с master node Custom листы с исключениями Custom профили и списки Custom Assets Специализированные правила под клиента – в индивидуальных папках Проверка успешности репликации и «живости сценариев» Автотесты + manual тесты при мажорных синхронизациях Впереди – backlog, scrum, waterfall
solarsecurity.ru +7 (499) 755-07-70 Серебрянная пуля Threat Intelligence 16 Состав TI: Feeds от вендоров Сработки СЗИ APT Reporting Информационные обмены Собственные исследования Проблемы с TI: Очень много записей (10+ млн) Очень много «странного» (половина Рунета, ip хостингов) Network TI killer – Skype А еще все процессы ходят в Интернет от antivirus.exe
solarsecurity.ru +7 (499) 755-07-70 Threat Intelligence как инструмент выявления атаки 17 27% 18% 22% 14% 12% 7% Источник данных Feeds APT Reporting Информационные обмены Собственные базы Расследование инцидентов Информация от пользователей
solarsecurity.ru +7 (499) 755-07-70 Подход JSOC 18 Приоретизация фидов: Репутация поставщика Очистка «мусора» TTL Актуальность для клиента Аккуратная корреляция и анализ истории обращений Идентификация процесса-инициатора – работа с endpoint Сопоставление source port с таблицей процессов Детальная работа с логами антивирусного ПО для поиска реального процесса
solarsecurity.ru +7 (499) 755-07-70 Советы «собратьям по оружию» 19 Не игнорируйте заблокированные инциденты:  Заблокированная активность – признак действий хакера  Не получилось сразу – будет искать другой путь  «Найти и обезвредить» Понимайте, что вы защищаете:  Идентифицируйте активы  Поймите последние фазы реализации и контроли  Следите максимально внимательно Копите знания об атаках:  Обмен с коллегами  CERT-ы и ведомства  Платные подписки
solarsecurity.ru +7 (499) 755-07-70 Дорогу осилит идущий 20

Recommandé

SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пмAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроенияPositive Hack Days
 
Siem
SiemSiem
Siemcnpo
 
Обзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПОбзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПКРОК
 

Recommandé

SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пмAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроенияPositive Hack Days
 
Siem
SiemSiem
Siemcnpo
 
Обзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПОбзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПКРОК
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасностиАльбина Минуллина
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовАльбина Минуллина
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Expolink
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
NSX Security
NSX SecurityNSX Security
NSX SecurityАльбина Минуллина
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 

Contenu connexe

Tendances

Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовАльбина Минуллина
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Expolink
 

Tendances (20)

Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия про...
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
NSX Security
NSX SecurityNSX Security
NSX Security
 

En vedette

JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Solar Security
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Solar Security
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБSolar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Solar Security
 

En vedette (20)

JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOC
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен быть
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБ
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
 

Similaire à Эффективные и проблемные SOC-процессы

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Expolink
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролемKonstantin Beltsov
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Solar Security
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийSolar Security
 

Similaire à Эффективные и проблемные SOC-процессы (20)

пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 

Plus de Positive Hack Days

Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Plus de Positive Hack Days (20)

Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
 

Эффективные и проблемные SOC-процессы

  • 1. Коммерческий СОК – структура, процессы, собранные грабли Дрюков Владимир Solar JSOC
  • 2. solarsecurity.ru +7 (499) 755-07-70 На одном слайде про Solar JSOC 2 39 крупных коммерческих клиентов 55 специалистов по ИБ в штате 4 года оказания услуг 99,4% общая доступность сервиса 10 мин Время реакции на инцидент 30 мин Время анализа/ противодействия Первый коммерческий центр сервисов ИБ-аутсорсинга в России Географически распределен по двум городам: Москва и Нижний Новгород Основные сервисы – мониторинг и реагирование на инциденты, оценка защищенности, противодействие кибератакам
  • 3. solarsecurity.ru +7 (499) 755-07-70 Архитектура сервисов Solar JSOC 3
  • 4. solarsecurity.ru +7 (499) 755-07-70 Инструменты JSOC 4 Системы ИБ – всегда с собой: SIEM – HPE ArcSight Vulnerability Scanner – Qualys, Loki или то, что у клиента TI – opensource, россыпь вендоров, собственные исследования Forensic tools – customize opensource, собственные наработки, немного коммерческих продуктов и sandbox  Клиентские системы – как повезет: WAF+antiDDOS Sandbox, Firewall Management FW/NGFW, IPS, Proxy, AV Инфраструктурные сервисы + cервера/АРМ + приклад
  • 5. solarsecurity.ru +7 (499) 755-07-70 Инструменты JSOC 5 Внутренняя кухня: Service Desk + KB – customized kayako CMDB – ArcSight Asset Model + Kayako Security Intelligence – Security Dashboard Немного общей инфраструктуры: It monitoring Integrity control VDI + контроль админов Куча палок, веревок и интеграционных шин Много разнообразной безопасности
  • 6. solarsecurity.ru +7 (499) 755-07-70 Структура команды Solar JSOC 6 Группа инцидентов ИБ Руководитель JSOC Группа эксплуатации СЗИ Группа развития ( 2 архитектора, ведущий аналитик 2 пресейл-аналитика) Инженеры реагирования и противодействия – 12*5 (НН, 3 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 12 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 6 человек) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва+НН, 7 человек) Группа управления (сервис-менеджеры, 6 человек) Администраторы ИБ - эксперты (Москва, 2 человека) Группа расследования (pentest/forensic/reverse - 5 человек)
  • 7. solarsecurity.ru +7 (499) 755-07-70 Пройдемся по граблям 7
  • 8. solarsecurity.ru +7 (499) 755-07-70 Проблемы из ITIL 8  Кадры - подбор, обучение и адаптация – оставим до вечера среды Контроль работы операторов: Нет ли закрытых как fp боевых инцидентов Качество разбора и анализа Запретить выбирать кейсы попроще Подстраховать первую линию в ночное время Only for commercial – как не оповестить не того заказчика
  • 9. solarsecurity.ru +7 (499) 755-07-70 Case review – ручное управление качеством разбора 9 Выборочная проверка кейсов первой линии 2-й и 3-й • Приоритетная обработка критичных fp • Критичные хосты и учетки • TI Система лайков и дизлайков • Неточность/ошибка в разборе • Неполное информирование клиента • Нарушение SLA • И еще два десятка критериев Ежемесячные обязательные групповые встречи по итогам Плюшевый кнут и жесткий пряник – по итогам :)
  • 10. solarsecurity.ru +7 (499) 755-07-70 Пузырьковое всплытие инцидентов 10 Сложное ранжирование критичности инцидента • Критичность инцидента • Критичность хоста • Критичность УЗ • Критичность Заказчика «Время жизни» инцидента разбито на 3 промежутка: «Зеленая зона», «Желтая зона», «Красная зона» При переходе инцидента из одной зоны в другую общий Score увеличивается по коэффициентам Инженер обязан взять инцидент с самым высоким Score, а не приоритетом
  • 11. solarsecurity.ru +7 (499) 755-07-70 Автоматизация работы с кейсами и SLA 11 Проброс доступа оператора в конкретную core Заказчика Отделение оператора от электронной почты Работа с кейсом только в SD Автоматически подставляемые профили оповещения Внутренние заглушки на соответствие клиента, тема и текста уведомления Предсказание «успеет ли» отталкиваясь от загрузки смены, планового времени решения и потока входящих и дежурный аналитик 24*7
  • 12. solarsecurity.ru +7 (499) 755-07-70 Контент и управление 12 Контролировать инфраструктуру, которая не описана в ИТ При подключении источника – автоматом запустить базовые сценарии Health check-и работы сценариев и контента Only for commercial - синхронизировать конфигурацию в распределенной среде
  • 13. solarsecurity.ru +7 (499) 755-07-70 JSOC – Asset Management vs CMDB 13 Несколько бизнес-интервью на старте – инфраструктура в «крупную клетку» Выгрузка информации, откуда есть:  Виртуализация + AD  SCCM + Firewall Management  Сканеры Модель актива – для ИБ  Основные сетевые признаки  Критичность с точки зрения бизнес-процессов, монетизации, компрометации Пополнение – on demand  Неизвестный ip в инциденте  Статистика с fw, сканера и прочих инфраструктурных сервисов
  • 14. solarsecurity.ru +7 (499) 755-07-70 Архитектура контента 14 Workflow Сценарии «Базовые» и «Профилирующие» правила Переработанные парсеры для коннекторов  Оповещения, создание кейсов, обработка информации  Необходимые отчеты и инструменты для анализа инцидентов  Генерация событий по соответствующим критериям  «Обогащение» информации  Очистка «мусора»  Добавление нашей категоризации  Профилирование активностей  Добавление «пропущенной» информации  Исправление проблем с парсингом
  • 15. solarsecurity.ru +7 (499) 755-07-70 Контент - синхронизация 15 Общие унифицированные правила – разливка с master node Custom листы с исключениями Custom профили и списки Custom Assets Специализированные правила под клиента – в индивидуальных папках Проверка успешности репликации и «живости сценариев» Автотесты + manual тесты при мажорных синхронизациях Впереди – backlog, scrum, waterfall
  • 16. solarsecurity.ru +7 (499) 755-07-70 Серебрянная пуля Threat Intelligence 16 Состав TI: Feeds от вендоров Сработки СЗИ APT Reporting Информационные обмены Собственные исследования Проблемы с TI: Очень много записей (10+ млн) Очень много «странного» (половина Рунета, ip хостингов) Network TI killer – Skype А еще все процессы ходят в Интернет от antivirus.exe
  • 17. solarsecurity.ru +7 (499) 755-07-70 Threat Intelligence как инструмент выявления атаки 17 27% 18% 22% 14% 12% 7% Источник данных Feeds APT Reporting Информационные обмены Собственные базы Расследование инцидентов Информация от пользователей
  • 18. solarsecurity.ru +7 (499) 755-07-70 Подход JSOC 18 Приоретизация фидов: Репутация поставщика Очистка «мусора» TTL Актуальность для клиента Аккуратная корреляция и анализ истории обращений Идентификация процесса-инициатора – работа с endpoint Сопоставление source port с таблицей процессов Детальная работа с логами антивирусного ПО для поиска реального процесса
  • 19. solarsecurity.ru +7 (499) 755-07-70 Советы «собратьям по оружию» 19 Не игнорируйте заблокированные инциденты:  Заблокированная активность – признак действий хакера  Не получилось сразу – будет искать другой путь  «Найти и обезвредить» Понимайте, что вы защищаете:  Идентифицируйте активы  Поймите последние фазы реализации и контроли  Следите максимально внимательно Копите знания об атаках:  Обмен с коллегами  CERT-ы и ведомства  Платные подписки
  • 20. solarsecurity.ru +7 (499) 755-07-70 Дорогу осилит идущий 20