SlideShare une entreprise Scribd logo

2.про soc от solar security

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация с SOC Forum 2015

Technologie
1  sur  13
Télécharger pour lire hors ligne
Опыт построения и эксплуатации коммерческого SOC Владимир Дрюков руководитель JSOC
solarsecurity.ru +7 (499) 755-07-70 SOC – определения 2
solarsecurity.ru +7 (499) 755-07-70 Функции SOC 3  Готовность к отражению атаки – контроль защищенности инфраструктуры  Выявление и устранение уязвимостей  Контроль конфигураций сетевого оборудования  Обеспечение полноты покрытия и функционала СЗИ  Своевременное выявление «болевых точек» инфраструктуры и бизнес-процессов  Сбор информации по киберугрозам, разработка мер выявления и противодействия  Управление инцидентами:  Своевременное выявление и анализ атаки (как внешней, так и внутренней)  Оперативное противодействие (в течении нескольких часов или быстрее)  Выработка мер по неповторению инцидента  Технический контроль compliance:  Внутренний анализ рисков и политика ИБ  Требования регуляторов
solarsecurity.ru +7 (499) 755-07-70 Функции SOC, которые можно передать на аутсорсинг 4  Готовность к отражению атаки – контроль защищенности инфраструктуры  Выявление и устранение уязвимостей  Контроль конфигураций сетевого оборудования  Обеспечение полноты покрытия и функционала СЗИ  Своевременное выявление «болевых точек» инфраструктуры и бизнес-процессов  Сбор информации по киберугрозам, разработка мер выявления и противодействия  Управление инцидентами:  Своевременное выявление и анализ атаки (как внешней, так и внутренней)  Оперативное противодействие (в течении нескольких часов или быстрее)  Выработка мер по неповторению инцидента  Технический контроль compliance:  Внутренний анализ рисков и политика ИБ  Требования регуляторов
solarsecurity.ru +7 (499) 755-07-70 JSOC – TTX 5 26 клиентов 192 инцидента ИБ в день 82 системы ИБ в эксплуатации 80+ запросов эксплуатации в день 10 мин Время реакции на инцидент 30 мин Время анализа/ противодействия Основные сервисы:  Мониторинг и реагирование на инциденты  Контроль защищенности инфраструктуры  Защита онлайн сервисов  Эксплуатация систем ИБ
Стартовые показатели JSOC:  ДВА инженера мониторинга  Аналитик  Руководитель направления  ДВА сервера в кластерной конфигурации  ОДИН заказчик, ТРИ пилотных проекта  Работа 8*5  Время реакции – 30 МИНУТ  Время анализа – 2 ЧАСА solarsecurity.ru +7 (499) 755-07-70 5
solarsecurity.ru +7 (499) 755-07-70 JSOC – основные вехи 7 Q3-Q4 2012 Первые сервисы проактивной безопасности 8 авг 2013 запуск 24*7 14 апр 2013 Официальное рождение JSOC 6 мая 2014 Первый эффективный кейс бизнес-мониторинга (26 Use Case, 3 связанные бизнес-системы) 10 сент 2014 Столкновение с APT 30 апр 2015 Запуск мониторинга критичной инфр-ры клиента за 4 дня
solarsecurity.ru +7 (499) 755-07-70 5 граблей на пути к SOC 8  Можно доверять «ноу-хау» и практикам вендоров  1-я линия может работать по базовым инструкциям  Нужно контролировать длинные векторы атаки  Репутационные базы вендоров – просто и удобно  ИТ и ИБ заказчика все знает о своей инфраструктуре и процессах
solarsecurity.ru +7 (499) 755-07-70 9 Инфраструктура JSOC
solarsecurity.ru +7 (499) 755-07-70 Оргструктура JSOC 10 Группа разбора инцидентов Руководитель департамента JSOC Группа эксплуатации Группа развития JSOC (пресейл-аналитик, архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 12*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (НН, 6 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 5 человек) 1-ая линия администрирования – 24*7 (НН, 6 человек) Выделенные аналитики (Москва+НН, 5 человек) Группа управления качеством и бизнес-анализа (сервис-менеджеры, 4 человека) Администраторы ИБ – эксперты (Москва, 2 человека)
solarsecurity.ru +7 (499) 755-07-70 Процессы JSOC 11
solarsecurity.ru +7 (499) 755-07-70 Задачи JSOC 12  Быстрое предоставление функции безопасности клиенту  Получение объективной картины защищенности и состояния ИБ компании  Сбор эффективной информация о киберугрозах и противодействие атакам  Бизнес-анализ ИБ, выявление и контроль ключевых болевых точек
Дрюков Владимир, Solar JSOC v.dryukov@solarsecurity.ru +7 (926) 589 92 85

Recommandé

Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
Solar Security
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
Solar Security
 

Recommandé

Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
Solar Security
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
Solar Security
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOC
Solar Security
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
Solar Security
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
Solar Security
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Contenu connexe

Tendances

От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 

Tendances (17)

пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOC
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
 

En vedette

En vedette (14)

5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
 
Система мониторинга Zabbix в процессах разработки и тестирования | Алексей Буров
Система мониторинга Zabbix в процессах разработки и тестирования | Алексей БуровСистема мониторинга Zabbix в процессах разработки и тестирования | Алексей Буров
Система мониторинга Zabbix в процессах разработки и тестирования | Алексей Буров
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Облачные услуги Ростелеком и защита персональных данных
Облачные услуги Ростелеком и защита персональных данныхОблачные услуги Ростелеком и защита персональных данных
Облачные услуги Ростелеком и защита персональных данных
 

Similaire à 2.про soc от solar security

Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Solar Security
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
Компания УЦСБ
 

Similaire à 2.про soc от solar security (20)

пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 

Plus de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Plus de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

2.про soc от solar security

  • 1. Опыт построения и эксплуатации коммерческого SOC Владимир Дрюков руководитель JSOC
  • 2. solarsecurity.ru +7 (499) 755-07-70 SOC – определения 2
  • 3. solarsecurity.ru +7 (499) 755-07-70 Функции SOC 3  Готовность к отражению атаки – контроль защищенности инфраструктуры  Выявление и устранение уязвимостей  Контроль конфигураций сетевого оборудования  Обеспечение полноты покрытия и функционала СЗИ  Своевременное выявление «болевых точек» инфраструктуры и бизнес-процессов  Сбор информации по киберугрозам, разработка мер выявления и противодействия  Управление инцидентами:  Своевременное выявление и анализ атаки (как внешней, так и внутренней)  Оперативное противодействие (в течении нескольких часов или быстрее)  Выработка мер по неповторению инцидента  Технический контроль compliance:  Внутренний анализ рисков и политика ИБ  Требования регуляторов
  • 4. solarsecurity.ru +7 (499) 755-07-70 Функции SOC, которые можно передать на аутсорсинг 4  Готовность к отражению атаки – контроль защищенности инфраструктуры  Выявление и устранение уязвимостей  Контроль конфигураций сетевого оборудования  Обеспечение полноты покрытия и функционала СЗИ  Своевременное выявление «болевых точек» инфраструктуры и бизнес-процессов  Сбор информации по киберугрозам, разработка мер выявления и противодействия  Управление инцидентами:  Своевременное выявление и анализ атаки (как внешней, так и внутренней)  Оперативное противодействие (в течении нескольких часов или быстрее)  Выработка мер по неповторению инцидента  Технический контроль compliance:  Внутренний анализ рисков и политика ИБ  Требования регуляторов
  • 5. solarsecurity.ru +7 (499) 755-07-70 JSOC – TTX 5 26 клиентов 192 инцидента ИБ в день 82 системы ИБ в эксплуатации 80+ запросов эксплуатации в день 10 мин Время реакции на инцидент 30 мин Время анализа/ противодействия Основные сервисы:  Мониторинг и реагирование на инциденты  Контроль защищенности инфраструктуры  Защита онлайн сервисов  Эксплуатация систем ИБ
  • 6. Стартовые показатели JSOC:  ДВА инженера мониторинга  Аналитик  Руководитель направления  ДВА сервера в кластерной конфигурации  ОДИН заказчик, ТРИ пилотных проекта  Работа 8*5  Время реакции – 30 МИНУТ  Время анализа – 2 ЧАСА solarsecurity.ru +7 (499) 755-07-70 5
  • 7. solarsecurity.ru +7 (499) 755-07-70 JSOC – основные вехи 7 Q3-Q4 2012 Первые сервисы проактивной безопасности 8 авг 2013 запуск 24*7 14 апр 2013 Официальное рождение JSOC 6 мая 2014 Первый эффективный кейс бизнес-мониторинга (26 Use Case, 3 связанные бизнес-системы) 10 сент 2014 Столкновение с APT 30 апр 2015 Запуск мониторинга критичной инфр-ры клиента за 4 дня
  • 8. solarsecurity.ru +7 (499) 755-07-70 5 граблей на пути к SOC 8  Можно доверять «ноу-хау» и практикам вендоров  1-я линия может работать по базовым инструкциям  Нужно контролировать длинные векторы атаки  Репутационные базы вендоров – просто и удобно  ИТ и ИБ заказчика все знает о своей инфраструктуре и процессах
  • 9. solarsecurity.ru +7 (499) 755-07-70 9 Инфраструктура JSOC
  • 10. solarsecurity.ru +7 (499) 755-07-70 Оргструктура JSOC 10 Группа разбора инцидентов Руководитель департамента JSOC Группа эксплуатации Группа развития JSOC (пресейл-аналитик, архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 12*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (НН, 6 человек) 2-ая линия администрирования – 12*5 (Москва+НН, 5 человек) 1-ая линия администрирования – 24*7 (НН, 6 человек) Выделенные аналитики (Москва+НН, 5 человек) Группа управления качеством и бизнес-анализа (сервис-менеджеры, 4 человека) Администраторы ИБ – эксперты (Москва, 2 человека)
  • 11. solarsecurity.ru +7 (499) 755-07-70 Процессы JSOC 11
  • 12. solarsecurity.ru +7 (499) 755-07-70 Задачи JSOC 12  Быстрое предоставление функции безопасности клиенту  Получение объективной картины защищенности и состояния ИБ компании  Сбор эффективной информация о киберугрозах и противодействие атакам  Бизнес-анализ ИБ, выявление и контроль ключевых болевых точек