SlideShare une entreprise Scribd logo

12 причин хорошего SOC

Télécharger en tant que PPTX, PDF
Denis Batrankov, CISSP
Denis Batrankov, CISSP

Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.

Internet
1  sur  57
1 | © 2015, Palo Alto Networks.
12правилуспешногоSOC ОпытPaloAltoNetworks Денис Батранков, консультант по информационной безопасности, CISSP, CNSE denis@paloaltonetworks.com
1. Вопросы перед созданием SOC. • Какие потребности у организации будут удовлетворены в SOC? • Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.) • Кто потребитель информации, которую собирает и рапортует SOC? • Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC? • Какие события безопасности должен «переваривать» SOC? Зачем?
Зачем SOC: ✔ Создание SOC стоит того, чтобы знать и предотвращать атаки ✔ SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы ✔ Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение ✔ Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании.
✔ Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга. ✔ Бизнес требования реализуются сразу при разработке решения. ✔ Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами. ✔ Создать платформу для любого вида мониторинга и отчетности. ✔ Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. Зачем SOC:
2.Запишите стратегию развития SOC ТЕХНОЛОГИИ ПРОЦЕССЫ Владельцы сети и систем Разбор инцидента Закрыт Эскалация ЛЮДИ Уровень 1 Уровень 2 инженер Firewall Router Intrusion Detection Web Server Proxy Server SIEM Три компонента: технологии, процессы и люди
3. Выбрать на какие события реагировать Что ищем? (UseCase) Источники данных Критерий для реакции Действие Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Intelligence Соединения от или к известным вредоносным сайтам Показ активности на экране SOC Распространение вирусов Антивирус 3 одинаковых вируса на разных хостах за 10 минут Начать контроль на экране SOC, оповестить отвественных за рабочие станции Успешная атака на сервер IDS/IPS, информация об уязвимости Атакованный сервер реально содержит данную уязвимость Оповестить серверную команду / начать контроль за действиями сервера / вывести на экран SOC SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое время Вывести на экран аналитика Фишинг Threat Intelligence, Firewall, IDS, Proxy, Mail Подключение к или от известного сайта с поддельной страницей Display in analyst active channel Неавторизованный удаленный доступ VPN, Applications Аутентификация по VPN от неизвестного доменного пользователя Display in analyst active channel / Page network team Новая уязвимость на хосте в ДМЗ Vulnerability Новая уязвимость найдена на публично доступной системе Email daily report to vulnerability team Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Отклонения в поведении (recon, exploit, brute force, etc.) Email daily suspicious user activity report to level 1 Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Server Отклонение от средних значений у активности Display alerts in situational awareness dashboard Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel
4. Задать приоритет событий и скорость реакции Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 Неавторизованный админ A A A C1 C1 Неавторизованый пользователь A A I2 C2 C1 Попытка неавторизованного доступа A A A I3 C3 Успешный DoS A A I2 C2 C1 Нарушение политики A A T3 T2 T1 Сканирование A A A I3 I2 Вредоносный код A A T3 T2 C2 Обозначения  C1: Реакция в теч. 15 мин  C2: Реакция в теч. 30 мин  C3: Реакция 2 часа  I2: Срочное расследование  I3: Обычное расследование  T1: Критичный тикет  T2: Срочный тикет  T3: Обычный тикет  A: активный мониторинг
9 5. Реализовать корреляцию аккаунтов • Сопоставить все идентификаторы: email адреса, номера бейджей, телефонные расширения, логины • Сопоставить все действия с одним реальным человеком jd 348924323 jdaniels@acme.co m daniels_jack dba3 510-555-1212 Аккаунты Jack Daniels Сотрудни к
6. Инспекция сети до уровня приложений •App-ID™ •Идентификация •приложений •User-ID™ •Идентификация •пользователей •Content-ID™ Контроль данных + SSL decryption FIREWALL THREAT PREVENTION
344 KBfile-sharing URL category PowerPoint file type “Confidential and Proprietary” content rivanov user marketing group canada destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol slideshare application slideshare-uploading application function NGFW – отличный источник данных для SOC
344 KBunknown URL category EXE file type order.exe file name stomlinson user finance group china destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol web-browsing application NGFW – отличный источник данных для SOC
• All applications • All users • All content • Encrypted traffic • SaaS • Cloud • Mobile • Enable business apps • Block “bad” apps • Limit app functions • Limit file types • Block websites • Exploits • Malware • Command & control • Malicious websites • Bad domains • Stolen credentials • Dynamic analysis • Static analysis • Attack techniques • Anomaly detection • Analytics Реально важно, чтобы все было связано
Одновременно коррелировать события в разных точках сети SaaS EndpointDatacenter/ Private Cloud Public Cloud Google Cloud Internet Gateway IoTMobile Users
7. Используйте современные технологии. Песочница WildFire: обнаружение 0-day и новых атак в течениие 5 минут Internet Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.)
Почему песочница WildFire  Сбор сенсорами во всех сегментах сети  Смотрим внутрь SSL  Все порты все протоколы – FTP, POP3, SMB, IMAP, SMTP, HTTP  Файлы Android: APK  Файлы Mac OS  High Availability  Поддержка любой архитектуры: ЦОД, удаленные офисы  Корреляция идентификаторов User-ID
7. Используйте современные технологии. TRAPS - защита рабочих станций и серверов Не давайте шанса эксплойтам 1. CPL Protection 2. DEP 3. DLL Security 4. DLL-Hijacking Protection 5. Exception Heap Spray Check 6. Font Protection 7. GS Cookie 8. Heap Corruption Mitigation 9. Hot Patch Protection 10. JIT Mitigation 11. Library Preallocation 12. Memory Limit Heap Spray Check 13. Null Dereference Protection 14. Packed DLLs 15. Periodic Heap Spray Check 16. Random Preallocation 17. ROP Mitigation 18. SEH Protection 19. Shellcode Preallocation 20. ShellLink Protection 21. SysExit 22. UASLR 17 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Обычно Security Operation Center (SOC) работает так Firewall IPS Proxy APT SIEM Внешние источники Только IOC • IP • URL • Domain Endpoint Журналы Бесплатный поиск через Virus total, URL списки - Есть некоторые IOC - Нет деталей Расследование Поиск Отчеты по инцидентам Security Admin Информирование Запрос действий Действуют по своему усмотрению
8. Упростите инфраструктуру 19 | © 2016, Palo Alto Networks. Confidentialand Proprietary. User Network 192.168.x.0/24 10.0.0.0/16 Devices VLAN 20 VLAN 30 VLAN 10 INTERNET
8. Включите блокировки на основе знаний об атаках – Threat Intelligence 20 | © 2016, Palo Alto Networks. Confidentialand Proprietary. User Datacenter Devices DBINFRAWEB INTERNET Execs Legal HR IT Contractors Threat Intelligence with Autofocus
Autofocus и Wildfire - облачный сервис для расследований Сигнатуры malware (миллиард) C&C/DNS сигнатуры (миллионы) Threat Intelligence Cloud WildFire URL сигнатуры (миллионы) • Wildfire самое большое облако в индустрии с данными об атаках в реальном времени • Cyber Threat Alliance поставляет информацию • Сторонние источники – закрытые и открытые подписки • Palo Alto Network использует Global Passive DNS Network • Команда Unit 42 >12000 WildFire заказчиков во всем мире Malware/APT Feeds 3rd party Passive DNS Network
Что обеспечивает Autofocus? • Семейства Malware • Групповые атаки • Эксплойты • Вредоносное поведение • Источники атак
Пример поиска IOC для Cobalt Strike используя Autofocus • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
Что обеспечивает Autofocus? • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
8. Включите блокировки на основе знаний об атаках – Threat Intelligence Выгода Autofocus: использование самого большого источника Threat Intelligence Firewall IPS Proxy APT SIEM Сторонние источники Только IOC • IP • URL • Domain Endpoint Журналы Подробные данные для расследования - Threat actors - Malware Family - Adversary campaign - Target Industries - Приоритизация событий - Malicious Behavior - техники эксплойтов - Контекст: IP, Connectivity, Domain, URL, Passive DNS, etc. Поиск и расследование • Точные отчеты • Конкретные действия Security Admin Конкретные шаги и действия Действуют по своему усмотрению
Анализ активности DNS – DNS Sinkholing Compromised host DNS sinkhole • Обнаружение зараженных хостов • Блокировка DNS запросов и отправка вредоносного трафика в адрес sinkhole Пассивный мониторинг DNS • Анализ DNS запросов • Обнаружение доменов C&С • Сигнатуры для блокировки вредоносной активности WildFire Malicious Domain Database DNS signatures Internal DNS Server DNS query for controlme.com DNS query for controlme.com controlme.com is 10.10.10.10 report on connection attempts to 10.10.10.10
Threat Intelligence Feeds Private Feeds Threat Intelligence Platforms Network Enforcers End Point Enforcers SIEM 1. Собрать различные данные с разных TI и скоррелировать 2. Начать блокировать атаки Заставьте работать вместе Threat Intelligence и автоматические сервисы блокировки
Используйте Minemeld - это упрощает работу Источники: Nodes Miners • OSINT • Commercial • Organization (CERT, ISAC) Процессоры • IPv4/IPv6 aggregator • URL aggregator • Domain aggregator Выходные • JSON • STIX/TAXII • External Dynamic List (EDL) • Elastic Logstash
Пример: Palo Alto Networks и его EDL (External Dynamic Lists) из Minemeld
Собираем вместе базы TI и включаем блокировки Firewall IPS Proxy APT SIEM Endpoint Security Log Подробная информация для расследований - Threat actors - Семейства вредоносного кода - Известные хакерские группы - Целевые индустрии - Приоритизация событий - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Search & Query • Accurate Summary Report • More actionable actions Security Admin IP _____ _____ _____ _____ _____ __ DNS _____ _____ _____ _____ _____ _ URL _____ _____ _____ _____ _____ 3’rd party Threat Intel IOC Feed Экспорт IOC Автоматически пересылаем IOC для блокировки
Примеры внешних списков
9. Контролируйте данные снаружи сети!
Отчет по использованию облаков в компании Основные приложения SaaS
• Защита приложений SaaS от вредоносного кода и утечек (DLP) • Интегрирован с облаком WildFire • Ретроспективный и постоянный мониторинг • Поддерживает Box, Office 365- OneDrive/SharePoint, Salesforce, Google Drive, GitHub, Dropbox, Yammer APERTURE контролирует SAAS API
10. Подберите правильный персонал в SOC ОбучениеРоли и должностные обязанности  Аналитики 1 и 2 уровня  Разборщик инцидентов  Инженер SIEM  Менеджер SOC  Основы ИТ безопасности  Обучение в процессе работы  Обучение SIEM  Logger Search & Reporting  Logger Admin & Operations  ESM Security Analyst  ESM Administrator  Connector Foundations  Connector Appliance  GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler
Оргструктура Security Operations Senior Manager SOC Security Device Management Business Office Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) Уровень-1 & Уровень-2 Security Device Engineering ArcSight Engineering (Admin, Ops, Eng.) SIRT – группа разбора инцидентов SOC 24x7x365 = 10 аналитиков, работающих в смену
Персонал SOC Олимпийские игры Казань июль 2013
Аналитик это  Оппонент хакерам  Очень стрессоустойчивый человек  Знает сетевые технологии  Знает как выглядят исходные коды  Знает шестнадцатиричную систему счисления  Понимает как проходят атаки  Понимает как работает вредоносный код  Умеет делать выводы  Любит учиться  Любит ковыряться в продуктах  Не спит  Не болеет
11. Используйте мировые практики в SOC: процессы и процедуры
12. Анализируйте эффективность: SOC KPI
PALO ALTO NETWORKS Денис Батранков консультант по ИБ Russia@paloaltonetworks.com
От сбора информации к действию Применение Autofocus & Minemeld в современном SOC
На сегодня Security Operation Center (SOC) работает так Firewall IPS Proxy APT SIEM Внешние мозги Только IOC • IP • URL • Domain Endpoint Журналы Бесплатный поиск через Virus total, URL списки - Есть некоторые IOC - Нет деталей Расследование Поиск Отчеты Security Admin Информирование Запрос действий Действуют по своему усмотрению
Вызовы команде безопасников • Автоматизированные атаки в большом количестве • Ежедневных задач так много, что нет времени более глубоко расследовать инциденты • Безопасники не могут распознать важные события среди множества событий которые происходят и у них нет общего контекста с мировыми трендами • Сложно интегрировать все утилиты и все источники TI и затем перенастроить собственные устройства безопасности
Как можно улучшить методику работы с инцидентами? 1. Использовать облачный сервис для расследований Сигнатуры malware (миллиард) C&C/DNS сигнатуры (миллионы) Threat Intelligence Cloud WildFire URL сигнатуры (миллионы) • Wildfire самое большое облако в индустрии с данными об атаках в реальном времени • Cyber Threat Alliance поставляет информацию • Сторонние источники – закрытые и открытые подписки • Palo Alto Network использует Global Passive DNS Network • Команда Unit 42 >12000 WildFire заказчиков во всем мире Malware/APT Feeds 3rd party Passive DNS Network
Что обеспечивает Autofocus? • Семейства Malware • Групповые атаки • Эксплойты • Вредоносное поведение • Источники атак
Что обеспечивает Autofocus? • Статистика атак, популярные генераторы malware, целевые индустрии, страны источники и цели.
Что обеспечивает Autofocus? • Анализ файлов статически и динамически • Поведение malware, включая сбор IOC (URL, DNS, IP протоколы и соединения)
Что обеспечивает Autofocus? • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
1. Выгода: использование самого большого источника Threat Intelligence Firewall IPS Proxy APT SIEM Сторонние источники Только IOC • IP • URL • Domain Endpoint Журналы Подробные данные для расследования - Threat actors - Malware Family - Adversary campaign - Target Industries - Prioritize alerts - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Поиск и расследование • Точные отчеты • Конкретные действия Security Admin Конкретные шаги и действия Действуют по своему усмотрению
Autofocus позволяет достичь • Более глубокий анализ контекста атаки для анализа • Позволяет искать по нескольким фильтрам в контексте уже найденного • Выдает конкретные шаги для блокирования угрозы • Приоритезирует события, чтобы выявлять самые критичные • Быстрее анализ, hunting и обработка инцидентов
Как улучшить обработку инцидентов? 2. Заставить работать вместе Threat Intelligence и автоматические сервисы блокировки Threat Intelligence Feeds Private Feeds Threat Intelligence Platforms Network Enforcers End Point Enforcers SIEM • собрать различные данные с разных TI и скоррелировать • Начать блокировать атаки
Minemeld упрощает задачу Input: Nodes Miners • OSINT • Commercial • Organization (CERT, ISAC) Processors • IPv4/IPv6 aggregator • URL aggregator • Domain aggregator Outputs • JSON • STIX/TAXII • External Dynamic List (EDL) • Elastic Logstash
Пример: PANW и его EDL (External Dynamic Lists) из Minemeld
Собираем вместе базы TI и включаем блокировки Firewall IPS Proxy APT SIEM Endpoint Security Log Provided Deep Info for Investigation - Threat actors - Malware Family - Adversary campaign - Target Industries - Prioritize alerts - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Search & Query • Accurate Summary Report • More actionable actions Security Admin IP _____ _____ _____ _____ _____ __ DNS _____ _____ _____ _____ _____ _ URL _____ _____ _____ _____ _____ 3’rd party Threat Intel IOC Feed Экспорт IOC Автоматически пересылаем IOC для блокировки
Minemeld позволяет достичь • Позволяет собрать доступные базы TI из публичных, платных и бесплатных источников. • Собирает, очищает и коррелирует данные. • Автоматически переводит данные IOC в действия на устройствах защиты
12 причин хорошего SOC

Recommandé

Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 

Recommandé

Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку! Компания УЦСБ
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPSDenis Batrankov, CISSP
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!Компания УЦСБ
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web SecurityCisco Russia
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9Компания УЦСБ
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 

Contenu connexe

Tendances

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web SecurityCisco Russia
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9Компания УЦСБ
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 

Tendances (20)

Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTM
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web Security
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
 

Similaire à 12 причин хорошего SOC

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Securityifedorus
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Expolink
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакArtem Tarashkevych
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Cisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Cisco Russia
 

Similaire à 12 причин хорошего SOC (20)

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Security
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
безопасность
безопасностьбезопасность
безопасность
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атак
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 

12 причин хорошего SOC

  • 1. 1 | © 2015, Palo Alto Networks.
  • 2. 12правилуспешногоSOC ОпытPaloAltoNetworks Денис Батранков, консультант по информационной безопасности, CISSP, CNSE denis@paloaltonetworks.com
  • 3. 1. Вопросы перед созданием SOC. • Какие потребности у организации будут удовлетворены в SOC? • Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.) • Кто потребитель информации, которую собирает и рапортует SOC? • Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC? • Какие события безопасности должен «переваривать» SOC? Зачем?
  • 4. Зачем SOC: ✔ Создание SOC стоит того, чтобы знать и предотвращать атаки ✔ SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы ✔ Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение ✔ Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании.
  • 5. ✔ Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга. ✔ Бизнес требования реализуются сразу при разработке решения. ✔ Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами. ✔ Создать платформу для любого вида мониторинга и отчетности. ✔ Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. Зачем SOC:
  • 6. 2.Запишите стратегию развития SOC ТЕХНОЛОГИИ ПРОЦЕССЫ Владельцы сети и систем Разбор инцидента Закрыт Эскалация ЛЮДИ Уровень 1 Уровень 2 инженер Firewall Router Intrusion Detection Web Server Proxy Server SIEM Три компонента: технологии, процессы и люди
  • 7. 3. Выбрать на какие события реагировать Что ищем? (UseCase) Источники данных Критерий для реакции Действие Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Intelligence Соединения от или к известным вредоносным сайтам Показ активности на экране SOC Распространение вирусов Антивирус 3 одинаковых вируса на разных хостах за 10 минут Начать контроль на экране SOC, оповестить отвественных за рабочие станции Успешная атака на сервер IDS/IPS, информация об уязвимости Атакованный сервер реально содержит данную уязвимость Оповестить серверную команду / начать контроль за действиями сервера / вывести на экран SOC SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое время Вывести на экран аналитика Фишинг Threat Intelligence, Firewall, IDS, Proxy, Mail Подключение к или от известного сайта с поддельной страницей Display in analyst active channel Неавторизованный удаленный доступ VPN, Applications Аутентификация по VPN от неизвестного доменного пользователя Display in analyst active channel / Page network team Новая уязвимость на хосте в ДМЗ Vulnerability Новая уязвимость найдена на публично доступной системе Email daily report to vulnerability team Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Отклонения в поведении (recon, exploit, brute force, etc.) Email daily suspicious user activity report to level 1 Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Server Отклонение от средних значений у активности Display alerts in situational awareness dashboard Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel
  • 8. 4. Задать приоритет событий и скорость реакции Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 Неавторизованный админ A A A C1 C1 Неавторизованый пользователь A A I2 C2 C1 Попытка неавторизованного доступа A A A I3 C3 Успешный DoS A A I2 C2 C1 Нарушение политики A A T3 T2 T1 Сканирование A A A I3 I2 Вредоносный код A A T3 T2 C2 Обозначения  C1: Реакция в теч. 15 мин  C2: Реакция в теч. 30 мин  C3: Реакция 2 часа  I2: Срочное расследование  I3: Обычное расследование  T1: Критичный тикет  T2: Срочный тикет  T3: Обычный тикет  A: активный мониторинг
  • 9. 9 5. Реализовать корреляцию аккаунтов • Сопоставить все идентификаторы: email адреса, номера бейджей, телефонные расширения, логины • Сопоставить все действия с одним реальным человеком jd 348924323 jdaniels@acme.co m daniels_jack dba3 510-555-1212 Аккаунты Jack Daniels Сотрудни к
  • 10. 6. Инспекция сети до уровня приложений •App-ID™ •Идентификация •приложений •User-ID™ •Идентификация •пользователей •Content-ID™ Контроль данных + SSL decryption FIREWALL THREAT PREVENTION
  • 11. 344 KBfile-sharing URL category PowerPoint file type “Confidential and Proprietary” content rivanov user marketing group canada destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol slideshare application slideshare-uploading application function NGFW – отличный источник данных для SOC
  • 12. 344 KBunknown URL category EXE file type order.exe file name stomlinson user finance group china destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol web-browsing application NGFW – отличный источник данных для SOC
  • 13. • All applications • All users • All content • Encrypted traffic • SaaS • Cloud • Mobile • Enable business apps • Block “bad” apps • Limit app functions • Limit file types • Block websites • Exploits • Malware • Command & control • Malicious websites • Bad domains • Stolen credentials • Dynamic analysis • Static analysis • Attack techniques • Anomaly detection • Analytics Реально важно, чтобы все было связано
  • 14. Одновременно коррелировать события в разных точках сети SaaS EndpointDatacenter/ Private Cloud Public Cloud Google Cloud Internet Gateway IoTMobile Users
  • 15. 7. Используйте современные технологии. Песочница WildFire: обнаружение 0-day и новых атак в течениие 5 минут Internet Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.)
  • 16. Почему песочница WildFire  Сбор сенсорами во всех сегментах сети  Смотрим внутрь SSL  Все порты все протоколы – FTP, POP3, SMB, IMAP, SMTP, HTTP  Файлы Android: APK  Файлы Mac OS  High Availability  Поддержка любой архитектуры: ЦОД, удаленные офисы  Корреляция идентификаторов User-ID
  • 17. 7. Используйте современные технологии. TRAPS - защита рабочих станций и серверов Не давайте шанса эксплойтам 1. CPL Protection 2. DEP 3. DLL Security 4. DLL-Hijacking Protection 5. Exception Heap Spray Check 6. Font Protection 7. GS Cookie 8. Heap Corruption Mitigation 9. Hot Patch Protection 10. JIT Mitigation 11. Library Preallocation 12. Memory Limit Heap Spray Check 13. Null Dereference Protection 14. Packed DLLs 15. Periodic Heap Spray Check 16. Random Preallocation 17. ROP Mitigation 18. SEH Protection 19. Shellcode Preallocation 20. ShellLink Protection 21. SysExit 22. UASLR 17 | © 2016, Palo Alto Networks. Confidential and Proprietary.
  • 18. Обычно Security Operation Center (SOC) работает так Firewall IPS Proxy APT SIEM Внешние источники Только IOC • IP • URL • Domain Endpoint Журналы Бесплатный поиск через Virus total, URL списки - Есть некоторые IOC - Нет деталей Расследование Поиск Отчеты по инцидентам Security Admin Информирование Запрос действий Действуют по своему усмотрению
  • 19. 8. Упростите инфраструктуру 19 | © 2016, Palo Alto Networks. Confidentialand Proprietary. User Network 192.168.x.0/24 10.0.0.0/16 Devices VLAN 20 VLAN 30 VLAN 10 INTERNET
  • 20. 8. Включите блокировки на основе знаний об атаках – Threat Intelligence 20 | © 2016, Palo Alto Networks. Confidentialand Proprietary. User Datacenter Devices DBINFRAWEB INTERNET Execs Legal HR IT Contractors Threat Intelligence with Autofocus
  • 21. Autofocus и Wildfire - облачный сервис для расследований Сигнатуры malware (миллиард) C&C/DNS сигнатуры (миллионы) Threat Intelligence Cloud WildFire URL сигнатуры (миллионы) • Wildfire самое большое облако в индустрии с данными об атаках в реальном времени • Cyber Threat Alliance поставляет информацию • Сторонние источники – закрытые и открытые подписки • Palo Alto Network использует Global Passive DNS Network • Команда Unit 42 >12000 WildFire заказчиков во всем мире Malware/APT Feeds 3rd party Passive DNS Network
  • 22. Что обеспечивает Autofocus? • Семейства Malware • Групповые атаки • Эксплойты • Вредоносное поведение • Источники атак
  • 23. Пример поиска IOC для Cobalt Strike используя Autofocus • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
  • 24. Что обеспечивает Autofocus? • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
  • 25. 8. Включите блокировки на основе знаний об атаках – Threat Intelligence Выгода Autofocus: использование самого большого источника Threat Intelligence Firewall IPS Proxy APT SIEM Сторонние источники Только IOC • IP • URL • Domain Endpoint Журналы Подробные данные для расследования - Threat actors - Malware Family - Adversary campaign - Target Industries - Приоритизация событий - Malicious Behavior - техники эксплойтов - Контекст: IP, Connectivity, Domain, URL, Passive DNS, etc. Поиск и расследование • Точные отчеты • Конкретные действия Security Admin Конкретные шаги и действия Действуют по своему усмотрению
  • 26. Анализ активности DNS – DNS Sinkholing Compromised host DNS sinkhole • Обнаружение зараженных хостов • Блокировка DNS запросов и отправка вредоносного трафика в адрес sinkhole Пассивный мониторинг DNS • Анализ DNS запросов • Обнаружение доменов C&С • Сигнатуры для блокировки вредоносной активности WildFire Malicious Domain Database DNS signatures Internal DNS Server DNS query for controlme.com DNS query for controlme.com controlme.com is 10.10.10.10 report on connection attempts to 10.10.10.10
  • 27. Threat Intelligence Feeds Private Feeds Threat Intelligence Platforms Network Enforcers End Point Enforcers SIEM 1. Собрать различные данные с разных TI и скоррелировать 2. Начать блокировать атаки Заставьте работать вместе Threat Intelligence и автоматические сервисы блокировки
  • 28. Используйте Minemeld - это упрощает работу Источники: Nodes Miners • OSINT • Commercial • Organization (CERT, ISAC) Процессоры • IPv4/IPv6 aggregator • URL aggregator • Domain aggregator Выходные • JSON • STIX/TAXII • External Dynamic List (EDL) • Elastic Logstash
  • 29. Пример: Palo Alto Networks и его EDL (External Dynamic Lists) из Minemeld
  • 30. Собираем вместе базы TI и включаем блокировки Firewall IPS Proxy APT SIEM Endpoint Security Log Подробная информация для расследований - Threat actors - Семейства вредоносного кода - Известные хакерские группы - Целевые индустрии - Приоритизация событий - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Search & Query • Accurate Summary Report • More actionable actions Security Admin IP _____ _____ _____ _____ _____ __ DNS _____ _____ _____ _____ _____ _ URL _____ _____ _____ _____ _____ 3’rd party Threat Intel IOC Feed Экспорт IOC Автоматически пересылаем IOC для блокировки
  • 32. 9. Контролируйте данные снаружи сети!
  • 33. Отчет по использованию облаков в компании Основные приложения SaaS
  • 34. • Защита приложений SaaS от вредоносного кода и утечек (DLP) • Интегрирован с облаком WildFire • Ретроспективный и постоянный мониторинг • Поддерживает Box, Office 365- OneDrive/SharePoint, Salesforce, Google Drive, GitHub, Dropbox, Yammer APERTURE контролирует SAAS API
  • 35. 10. Подберите правильный персонал в SOC ОбучениеРоли и должностные обязанности  Аналитики 1 и 2 уровня  Разборщик инцидентов  Инженер SIEM  Менеджер SOC  Основы ИТ безопасности  Обучение в процессе работы  Обучение SIEM  Logger Search & Reporting  Logger Admin & Operations  ESM Security Analyst  ESM Administrator  Connector Foundations  Connector Appliance  GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler
  • 36. Оргструктура Security Operations Senior Manager SOC Security Device Management Business Office Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) Уровень-1 & Уровень-2 Security Device Engineering ArcSight Engineering (Admin, Ops, Eng.) SIRT – группа разбора инцидентов SOC 24x7x365 = 10 аналитиков, работающих в смену
  • 38. Аналитик это  Оппонент хакерам  Очень стрессоустойчивый человек  Знает сетевые технологии  Знает как выглядят исходные коды  Знает шестнадцатиричную систему счисления  Понимает как проходят атаки  Понимает как работает вредоносный код  Умеет делать выводы  Любит учиться  Любит ковыряться в продуктах  Не спит  Не болеет
  • 39. 11. Используйте мировые практики в SOC: процессы и процедуры
  • 42. От сбора информации к действию Применение Autofocus & Minemeld в современном SOC
  • 43. На сегодня Security Operation Center (SOC) работает так Firewall IPS Proxy APT SIEM Внешние мозги Только IOC • IP • URL • Domain Endpoint Журналы Бесплатный поиск через Virus total, URL списки - Есть некоторые IOC - Нет деталей Расследование Поиск Отчеты Security Admin Информирование Запрос действий Действуют по своему усмотрению
  • 44. Вызовы команде безопасников • Автоматизированные атаки в большом количестве • Ежедневных задач так много, что нет времени более глубоко расследовать инциденты • Безопасники не могут распознать важные события среди множества событий которые происходят и у них нет общего контекста с мировыми трендами • Сложно интегрировать все утилиты и все источники TI и затем перенастроить собственные устройства безопасности
  • 45. Как можно улучшить методику работы с инцидентами? 1. Использовать облачный сервис для расследований Сигнатуры malware (миллиард) C&C/DNS сигнатуры (миллионы) Threat Intelligence Cloud WildFire URL сигнатуры (миллионы) • Wildfire самое большое облако в индустрии с данными об атаках в реальном времени • Cyber Threat Alliance поставляет информацию • Сторонние источники – закрытые и открытые подписки • Palo Alto Network использует Global Passive DNS Network • Команда Unit 42 >12000 WildFire заказчиков во всем мире Malware/APT Feeds 3rd party Passive DNS Network
  • 46. Что обеспечивает Autofocus? • Семейства Malware • Групповые атаки • Эксплойты • Вредоносное поведение • Источники атак
  • 47. Что обеспечивает Autofocus? • Статистика атак, популярные генераторы malware, целевые индустрии, страны источники и цели.
  • 48. Что обеспечивает Autofocus? • Анализ файлов статически и динамически • Поведение malware, включая сбор IOC (URL, DNS, IP протоколы и соединения)
  • 49. Что обеспечивает Autofocus? • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
  • 50. 1. Выгода: использование самого большого источника Threat Intelligence Firewall IPS Proxy APT SIEM Сторонние источники Только IOC • IP • URL • Domain Endpoint Журналы Подробные данные для расследования - Threat actors - Malware Family - Adversary campaign - Target Industries - Prioritize alerts - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Поиск и расследование • Точные отчеты • Конкретные действия Security Admin Конкретные шаги и действия Действуют по своему усмотрению
  • 51. Autofocus позволяет достичь • Более глубокий анализ контекста атаки для анализа • Позволяет искать по нескольким фильтрам в контексте уже найденного • Выдает конкретные шаги для блокирования угрозы • Приоритезирует события, чтобы выявлять самые критичные • Быстрее анализ, hunting и обработка инцидентов
  • 52. Как улучшить обработку инцидентов? 2. Заставить работать вместе Threat Intelligence и автоматические сервисы блокировки Threat Intelligence Feeds Private Feeds Threat Intelligence Platforms Network Enforcers End Point Enforcers SIEM • собрать различные данные с разных TI и скоррелировать • Начать блокировать атаки
  • 53. Minemeld упрощает задачу Input: Nodes Miners • OSINT • Commercial • Organization (CERT, ISAC) Processors • IPv4/IPv6 aggregator • URL aggregator • Domain aggregator Outputs • JSON • STIX/TAXII • External Dynamic List (EDL) • Elastic Logstash
  • 54. Пример: PANW и его EDL (External Dynamic Lists) из Minemeld
  • 55. Собираем вместе базы TI и включаем блокировки Firewall IPS Proxy APT SIEM Endpoint Security Log Provided Deep Info for Investigation - Threat actors - Malware Family - Adversary campaign - Target Industries - Prioritize alerts - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Search & Query • Accurate Summary Report • More actionable actions Security Admin IP _____ _____ _____ _____ _____ __ DNS _____ _____ _____ _____ _____ _ URL _____ _____ _____ _____ _____ 3’rd party Threat Intel IOC Feed Экспорт IOC Автоматически пересылаем IOC для блокировки
  • 56. Minemeld позволяет достичь • Позволяет собрать доступные базы TI из публичных, платных и бесплатных источников. • Собирает, очищает и коррелирует данные. • Автоматически переводит данные IOC в действия на устройствах защиты