Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
3. 1. Вопросы перед созданием SOC.
• Какие потребности у организации будут удовлетворены в SOC?
• Какие конкретно задачи стоят перед SOC? (обнаружение атак из
Интернет, мониторинг соответствия PCI DSS, обнаружение
инсайдеров в финансовых системах, реагирование на инциденты
и т.д.)
• Кто потребитель информации, которую собирает и рапортует SOC?
• Кто продвигает проект SOC? Кто внутри организации отстаивает его
необходимость? Что он сам ждет от SOC?
• Какие события безопасности должен «переваривать» SOC?
Зачем?
4. Зачем SOC:
✔ Создание SOC стоит того, чтобы знать и предотвращать атаки
✔ SOC автоматизирует функции, которые и так уже сейчас есть в
организации, что снизит расходы
✔ Часть подразделений готовы отдать свои функции в SOC и таким образом
минимизировать свои расходы, вкладывая часть своих ресурсов в его
построение
✔ Предоставление услуг SOC другим организациям окупит все вложения (так
работают провайдеры сервисов по управлению безопасностью – Managed
Security Services Providers – MSSP)
Миссия: Отслеживать,
обнаруживать и эскалировать
важные события информационной
безопасности для гарантии
конфиденциальности,
целостности и доступности во
всей компании.
5. ✔ Контроль всех процессов безопасности в любой точке компании из
одного центра –> высокая эффективность мониторинга.
✔ Бизнес требования реализуются сразу при разработке решения.
✔ Дополнительные меры безопасности или новые требования индустрии
реализуются бесплатно либо с незначительными расходами.
✔ Создать платформу для любого вида мониторинга и отчетности.
✔ Начать справляться с потоком событий и управлять ими.
Миссия: Отслеживать,
обнаруживать и эскалировать
важные события информационной
безопасности для гарантии
конфиденциальности,
целостности и доступности во
всей компании.
Зачем SOC:
6. 2.Запишите стратегию развития SOC
ТЕХНОЛОГИИ ПРОЦЕССЫ
Владельцы
сети и
систем
Разбор
инцидента
Закрыт
Эскалация
ЛЮДИ
Уровень 1 Уровень 2
инженер
Firewall
Router
Intrusion
Detection
Web
Server
Proxy
Server
SIEM
Три компонента: технологии, процессы и люди
7. 3. Выбрать на какие события реагировать
Что ищем? (UseCase) Источники данных Критерий для реакции Действие
Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat
Intelligence
Соединения от или к известным
вредоносным сайтам
Показ активности на экране SOC
Распространение вирусов Антивирус 3 одинаковых вируса на разных
хостах за 10 минут
Начать контроль на экране SOC,
оповестить отвественных за
рабочие станции
Успешная атака на сервер IDS/IPS, информация об
уязвимости
Атакованный сервер реально
содержит данную уязвимость
Оповестить серверную команду /
начать контроль за действиями
сервера / вывести на экран SOC
SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое
время
Вывести на экран аналитика
Фишинг Threat Intelligence, Firewall, IDS,
Proxy, Mail
Подключение к или от известного
сайта с поддельной страницей
Display in analyst active channel
Неавторизованный удаленный
доступ
VPN, Applications Аутентификация по VPN от
неизвестного доменного
пользователя
Display in analyst active channel /
Page network team
Новая уязвимость на хосте в
ДМЗ
Vulnerability Новая уязвимость найдена на
публично доступной системе
Email daily report to vulnerability
team
Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Отклонения в поведении (recon,
exploit, brute force, etc.)
Email daily suspicious user activity
report to level 1
Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web
Server
Отклонение от средних значений у
активности
Display alerts in situational
awareness dashboard
Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel
8. 4. Задать приоритет событий и скорость реакции
Категории Уровни приоритета SIEM
0-2 3-4 5-6 7-8 9-10
Неавторизованный админ A A A C1 C1
Неавторизованый пользователь A A I2 C2 C1
Попытка неавторизованного
доступа
A A A I3 C3
Успешный DoS A A I2 C2 C1
Нарушение политики A A T3 T2 T1
Сканирование A A A I3 I2
Вредоносный код A A T3 T2 C2
Обозначения
C1: Реакция в теч. 15 мин
C2: Реакция в теч. 30 мин
C3: Реакция 2 часа
I2: Срочное расследование
I3: Обычное расследование
T1: Критичный тикет
T2: Срочный тикет
T3: Обычный тикет
A: активный мониторинг
9. 9
5. Реализовать корреляцию аккаунтов
• Сопоставить все идентификаторы: email адреса, номера бейджей, телефонные
расширения, логины
• Сопоставить все действия с одним реальным человеком
jd
348924323
jdaniels@acme.co
m
daniels_jack
dba3
510-555-1212
Аккаунты
Jack
Daniels
Сотрудни
к
10. 6. Инспекция сети до уровня приложений
•App-ID™
•Идентификация
•приложений
•User-ID™
•Идентификация
•пользователей
•Content-ID™
Контроль данных
+ SSL decryption
FIREWALL
THREAT
PREVENTION
11. 344 KBfile-sharing
URL category
PowerPoint
file type
“Confidential and
Proprietary”
content
rivanov
user
marketing
group
canada
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
slideshare
application
slideshare-uploading
application function
NGFW – отличный источник данных для SOC
12. 344 KBunknown
URL category
EXE
file type
order.exe
file name
stomlinson
user
finance
group
china
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
web-browsing
application
NGFW – отличный источник данных для SOC
13. • All applications
• All users
• All content
• Encrypted traffic
• SaaS
• Cloud
• Mobile
• Enable business
apps
• Block “bad”
apps
• Limit app
functions
• Limit file types
• Block websites
• Exploits
• Malware
• Command &
control
• Malicious
websites
• Bad domains
• Stolen
credentials
• Dynamic
analysis
• Static analysis
• Attack
techniques
• Anomaly
detection
• Analytics
Реально важно, чтобы все было
связано
14. Одновременно коррелировать
события в разных точках сети
SaaS EndpointDatacenter/
Private Cloud
Public Cloud
Google Cloud
Internet
Gateway
IoTMobile Users
15. 7. Используйте современные технологии.
Песочница WildFire:
обнаружение 0-day и новых атак в течениие 5 минут
Internet
Исполняемые файлы
(*.exe,*.dll, *.bat, *.sys, и
т.д.)
16. Почему песочница WildFire
Сбор сенсорами во всех сегментах сети
Смотрим внутрь SSL
Все порты все протоколы – FTP, POP3, SMB, IMAP, SMTP, HTTP
Файлы Android: APK
Файлы Mac OS
High Availability
Поддержка любой архитектуры: ЦОД, удаленные офисы
Корреляция идентификаторов User-ID
18. Обычно Security Operation Center (SOC) работает так
Firewall
IPS
Proxy
APT
SIEM
Внешние
источники
Только IOC
• IP
• URL
• Domain
Endpoint
Журналы
Бесплатный поиск через
Virus total, URL списки
- Есть некоторые IOC
- Нет деталей
Расследование
Поиск
Отчеты по инцидентам
Security Admin
Информирование
Запрос действий
Действуют по
своему усмотрению
21. Autofocus и Wildfire - облачный сервис для расследований
Сигнатуры
malware
(миллиард)
C&C/DNS
сигнатуры
(миллионы)
Threat Intelligence Cloud
WildFire
URL
сигнатуры
(миллионы)
• Wildfire самое большое облако в
индустрии с данными об атаках в
реальном времени
• Cyber Threat Alliance поставляет
информацию
• Сторонние источники – закрытые и
открытые подписки
• Palo Alto Network использует Global
Passive DNS Network
• Команда Unit 42
>12000
WildFire
заказчиков во
всем мире
Malware/APT
Feeds
3rd party
Passive
DNS
Network
22. Что обеспечивает Autofocus?
• Семейства
Malware
• Групповые атаки
• Эксплойты
• Вредоносное
поведение
• Источники
атак
23. Пример поиска IOC для Cobalt Strike используя Autofocus
• Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
25. 8. Включите блокировки на основе знаний об атаках –
Threat Intelligence
Выгода Autofocus:
использование самого большого источника Threat
Intelligence
Firewall
IPS
Proxy
APT
SIEM
Сторонние
источники
Только IOC
• IP
• URL
• Domain
Endpoint
Журналы
Подробные данные для расследования
- Threat actors
- Malware Family
- Adversary campaign
- Target Industries
- Приоритизация событий
- Malicious Behavior
- техники эксплойтов
- Контекст: IP, Connectivity, Domain,
URL, Passive DNS, etc.
Поиск и расследование
• Точные отчеты
• Конкретные действия
Security Admin
Конкретные
шаги и действия
Действуют
по своему усмотрению
26. Анализ активности DNS – DNS Sinkholing
Compromised host
DNS sinkhole
• Обнаружение зараженных хостов
• Блокировка DNS запросов и
отправка вредоносного трафика в
адрес sinkhole
Пассивный мониторинг DNS
• Анализ DNS запросов
• Обнаружение доменов C&С
• Сигнатуры для блокировки
вредоносной активности
WildFire Malicious Domain
Database
DNS signatures
Internal DNS
Server
DNS query for
controlme.com
DNS query for
controlme.com
controlme.com is
10.10.10.10
report on
connection
attempts to
10.10.10.10
27. Threat Intelligence Feeds
Private Feeds
Threat Intelligence Platforms
Network Enforcers
End Point Enforcers
SIEM
1. Собрать различные данные с разных TI и скоррелировать
2. Начать блокировать атаки
Заставьте работать вместе Threat Intelligence и
автоматические сервисы блокировки
29. Пример: Palo Alto Networks и его EDL (External Dynamic
Lists) из Minemeld
30. Собираем вместе базы TI и включаем
блокировки
Firewall
IPS
Proxy
APT
SIEM
Endpoint
Security Log
Подробная информация для расследований
- Threat actors
- Семейства вредоносного кода
- Известные хакерские группы
- Целевые индустрии
- Приоритизация событий
- Malicious Behavior
- Exploits techniques
- Contexts: IP, Connectivity, Domain, URL,
Passive DNS, etc.
Search & Query
• Accurate Summary Report
• More actionable actions
Security Admin
IP
_____
_____
_____
_____
_____
__
DNS
_____
_____
_____
_____
_____
_
URL
_____
_____
_____
_____
_____
3’rd party Threat Intel
IOC Feed
Экспорт IOC
Автоматически пересылаем IOC для блокировки
34. • Защита приложений SaaS от
вредоносного кода и утечек (DLP)
• Интегрирован с облаком WildFire
• Ретроспективный и постоянный
мониторинг
• Поддерживает Box, Office 365-
OneDrive/SharePoint, Salesforce, Google
Drive, GitHub, Dropbox, Yammer
APERTURE контролирует SAAS
API
35. 10. Подберите правильный персонал в SOC
ОбучениеРоли и должностные обязанности
Аналитики 1 и 2 уровня
Разборщик инцидентов
Инженер SIEM
Менеджер SOC
Основы ИТ безопасности
Обучение в процессе работы
Обучение SIEM
Logger Search & Reporting
Logger Admin & Operations
ESM Security Analyst
ESM Administrator
Connector Foundations
Connector Appliance
GIAC: GCIA и GCIH –
Certified Intrusion Analyst и
Certified Incident Handler
38. Аналитик это
Оппонент хакерам
Очень стрессоустойчивый человек
Знает сетевые технологии
Знает как выглядят исходные коды
Знает шестнадцатиричную систему счисления
Понимает как проходят атаки
Понимает как работает вредоносный код
Умеет делать выводы
Любит учиться
Любит ковыряться в продуктах
Не спит
Не болеет
43. На сегодня Security Operation Center (SOC) работает так
Firewall
IPS
Proxy
APT
SIEM
Внешние мозги
Только IOC
• IP
• URL
• Domain
Endpoint
Журналы
Бесплатный поиск через
Virus total, URL списки
- Есть некоторые IOC
- Нет деталей
Расследование
Поиск
Отчеты
Security Admin
Информирование
Запрос действий
Действуют по
своему усмотрению
44. Вызовы команде безопасников
• Автоматизированные атаки в большом количестве
• Ежедневных задач так много, что нет времени более глубоко
расследовать инциденты
• Безопасники не могут распознать важные события среди множества
событий которые происходят и у них нет общего контекста с
мировыми трендами
• Сложно интегрировать все утилиты и все источники TI и затем
перенастроить собственные устройства безопасности
45. Как можно улучшить методику работы с инцидентами?
1. Использовать облачный сервис для расследований
Сигнатуры
malware
(миллиард)
C&C/DNS
сигнатуры
(миллионы)
Threat Intelligence Cloud
WildFire
URL
сигнатуры
(миллионы)
• Wildfire самое большое облако в индустрии
с данными об атаках в реальном времени
• Cyber Threat Alliance поставляет
информацию
• Сторонние источники – закрытые и
открытые подписки
• Palo Alto Network использует Global Passive
DNS Network
• Команда Unit 42
>12000 WildFire
заказчиков во всем
мире
Malware/APT Feeds 3rd party
Passive
DNS
Network
46. Что обеспечивает Autofocus?
• Семейства
Malware
• Групповые атаки
• Эксплойты
• Вредоносное
поведение
• Источники
атак
47. Что обеспечивает Autofocus?
• Статистика атак, популярные генераторы malware, целевые индустрии,
страны источники и цели.
48. Что обеспечивает Autofocus?
• Анализ файлов статически и динамически
• Поведение malware, включая сбор IOC (URL, DNS, IP протоколы и соединения)
50. 1. Выгода: использование самого большого источника Threat
Intelligence
Firewall
IPS
Proxy
APT
SIEM
Сторонние
источники
Только IOC
• IP
• URL
• Domain
Endpoint
Журналы
Подробные данные для расследования
- Threat actors
- Malware Family
- Adversary campaign
- Target Industries
- Prioritize alerts
- Malicious Behavior
- Exploits techniques
- Contexts: IP, Connectivity, Domain,
URL, Passive DNS, etc.
Поиск и расследование
• Точные отчеты
• Конкретные действия
Security Admin
Конкретные
шаги и действия
Действуют
по своему усмотрению
51. Autofocus позволяет достичь
• Более глубокий анализ контекста атаки для анализа
• Позволяет искать по нескольким фильтрам в контексте уже
найденного
• Выдает конкретные шаги для блокирования угрозы
• Приоритезирует события, чтобы выявлять самые критичные
• Быстрее анализ, hunting и обработка инцидентов
52. Как улучшить обработку инцидентов?
2. Заставить работать вместе Threat Intelligence и автоматические
сервисы блокировки
Threat Intelligence Feeds
Private Feeds
Threat Intelligence Platforms
Network Enforcers
End Point Enforcers
SIEM
• собрать различные данные с
разных TI и скоррелировать
• Начать блокировать атаки
54. Пример: PANW и его EDL (External Dynamic Lists) из Minemeld
55. Собираем вместе базы TI и включаем блокировки
Firewall
IPS
Proxy
APT
SIEM
Endpoint
Security Log
Provided Deep Info for Investigation
- Threat actors
- Malware Family
- Adversary campaign
- Target Industries
- Prioritize alerts
- Malicious Behavior
- Exploits techniques
- Contexts: IP, Connectivity, Domain,
URL, Passive DNS, etc.
Search & Query
• Accurate Summary Report
• More actionable actions
Security Admin
IP
_____
_____
_____
_____
_____
__
DNS
_____
_____
_____
_____
_____
_
URL
_____
_____
_____
_____
_____
3’rd party Threat Intel
IOC Feed
Экспорт IOC
Автоматически пересылаем IOC для блокировки
56. Minemeld позволяет достичь
• Позволяет собрать доступные базы TI из публичных, платных и
бесплатных источников.
• Собирает, очищает и коррелирует данные.
• Автоматически переводит данные IOC в действия на
устройствах защиты