Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.
2. Опыт Cisco в части построения SOC
Cisco CSIRT
SOC
Enablement
Service
Cisco ATA
Cisco SecOps
Собственный «SOC» и
служба реагирования
на инциденты Cisco
Услуги Cisco по
построению SOC
для заказчиков
Аутсорсинговый SOC
Cisco для заказчиков
Аутсорсинговый SOC
Cisco для
промышленных
предприятий
7. Не стройте SOC, не имея логов
• Классическая концепция SOC
базируется на мониторинге
событий безопасности, которые
генерятся различными
средствами защиты, сетевым
оборудованием, приложениями и
т.п., обогащенными данными
Threat Intelligence
№3
11. Мобильные пользователи
Филиал
Мониторинг только периметра создает
чувство ложной защищенности
Облако
Сеть
Админ
ЦОД
Пользователи
ЗАПИСЫВАТЬ
каждую коммуникацию
Понимать, что
такое НОРМА
Предупреждать об
ИЗМЕНЕНИЯХ
ЗНАТЬ
каждый узел
Реагировать на
УГРОЗЫ быстро
HQ
12. Не ограничивайтесь мониторингом
периметра, помните про внутреннюю сеть
уникальный источник
информации о событиях
безопасности, который
позволяет использовать
каждый коммутатору и
маршрутизатор в
качестве
распределенной
системы обнаружения
атак и аномалий
Netflow
Cisco Stealthwatch
13. Вы хотите квалифицированных
аналитиков?
• Подумайте логически, может ли в SOC быть несколько
десятков высококвалифицированных аналитиков?
• Уровень квалификации зависит от линии поддержки
В Европе уровень ротации специалистов SOC - 90% №5
14. Займитесь мотивацией аналитиков
• Изо дня в день видеть огромное
количество событий и при этом не знать,
какие из них хорошие, а какие плохие
• Боязнь совершить ошибку в
ответственном мероприятии
• Страх отвлекает аналитика SOC от
смысла выполняемых действий; он
фиксируется на мелочах, упуская
главное
• Страх сделать ошибку заставляет
аналитика перепроверять свои выводы и
свою работу, что приводит к лишней
трате времени и сил и снижает
продуктивность специалистов SOC
№6
15. Помните о психологической слепоте
• Слепота невнимания (inattentional blindness),
которая подразумевает неспособность
наблюдать какой-либо объект,
появляющийся внезапно
• Половина людей имеет эту не
физиологическую, а психологическую
проблему зрения, связанную с тем, что люди
слишком концентрируются на основной
задаче, упуская второстепенные
№7
16. Пример №1: вы видите аномалию?
Подсказка: обратите внимание на 6-ю строку
Подсказка: все зависит от исходной гипотезы
17. Пример №2: вы видите аномалию?
Подсказка: обратите внимание на 3-ю строку
18. Не пренебрегайте ИИ
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностичес-
кая аналитика
Почему это
случилось?
Предсказатель
-ная аналитика
Что
случится?
Предписываю-
щая аналитика
Что я должен
сделать?
Сложность
Ценность
№8
19. Пример №3: Обнаружение ВПО в
шифрованном трафике Acc. FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP SPLT+BD
На примере Cisco ETA
22. Не все можно купить. Даже если у вас
есть деньги
• Решение iCAM
разрабатывалось
внутри службы ИБ
Cisco для
мониторинга утечек
информации и
анализа поведения
пользователей
• Готового решения
мы не нашли
№9
25. Доверяй, но будь готов!
• Обращаясь к аутсорсингу SOC, не забудьте прописать SLA и
ответственность
№10
26. Дополнительная информация
• Презентация «Сочные мифы». Заблуждения, связанные с
SOC»
• Презентация «Нюансы эксплуатации SOC внутри Cisco»
26
Запросить можно по адресу: security-request@cisco.com