Contenu connexe
Similaire à 13 советов, от которых зависит успешность вашего SOC (20)
Plus de Aleksey Lukatskiy (8)
13 советов, от которых зависит успешность вашего SOC
- 1. 13 советов, от которых зависит
успешность вашего SOC
Алексей Лукацкий
25 апреля 2019
Бизнес-консультант по кибербезопасности
- 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внутри Cisco SOC строится уже 19 лет!
- 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Выбросьте триаду на помойку
Команда
Технологии
Процессы
Окружение Intelligence
Стратегия Миссия / цели
- 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 1:
определитесь с
тем, что такое
SOC?
- 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы только мониторите или также реагируете?
- 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ваш SOC – это баланс между бизнесом,
технологиями, рисками и финансами
Бизнес-требования
Централизация Децентрализация
Единый глобальный SOC
Разные центры (SOC/NOC)
Снижение стоимости
Простота управления
Множество SOCов
Единый центр (SOC/NOC)
Высокая стоимость
Сложность управления
Технические требования
Стандарт Кастомизация
Простая платформа
Простота масштабирования
Средние детали по угрозам
Низкая стоимость внедрения
Комплексная платформа
Сложность масштабирования
Глубокие детали по угрозам
Высокая стоимости внедрения
Толерантность к рискам
Аутсорсинг Инсорсинг
30-90 дней на внедрение
Некритично для бизнеса
Низкая стоимость внедрения
Внешняя сертификация
Долгое внедрение
Критично для бизнеса
Высокая стоимости внедрения
Регулярные аудиты
Финансы
Низкая стоимость Высокая стоимость
- 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какой SOC вы хотите?
Compliance
• Ориентация на НПА ГТС /
НацБанка / Правительства
• «Заблокировал и забыл»
• Нет Use Case и Playbook
• Отсутствие интеграции с
ИТ и бизнесом
• Отсутствие процессов
Бизнес
• Ориентация на инциденты,
а не события
• Защита критичных активов
• Ориентация на людей и
процессы в SOC, а не
технологии
• ИБ с точки зрения
бизнеса
• Контроль качества
Мода
• SIEM – ядро SOC
• SOC нужен для
Киберщита
• У всех есть и мне нужен
- 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы будете охватывать вашим SOCом?
Любые
пользователи
Сотрудники
Контрактники
Партнеры
Любые
устройства
Корпоративные
Собственные
IoT
Любые
приложения
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети
- 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 2:
определитесь с
операционной
моделью
- 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Совет: аутсорсинг имеет плюсы и минусы
Параметр Свой SOC Чужой SOC
Контроль и подотчетность Полные Частичные
Гибкость в настройке под свои
нужды
Высокая Стандартные сервисы и
стандартный SLA
Знание локального окружения Высокое Низкое или отсутствует
Скорость развертывания От полугода (обычно 2-3 года) 2 месяца
Режим работы Обычно 5 х 8 Обычно 24 х 7
Возможности по
реагированию
Максимальные Средние
Масштабирование Среднее Высокое
Уровень компетенций Средний Высокий
Форма затрат CapEx OpEx
Предсказуемость затрат Непредсказуемый Предсказуемый
- 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Совет: аутсорсинг имеет плюсы и минусы
Параметр Свой SOC Чужой SOC
Гарантии (финансовые и т.п.) Отсутствуют Возможны
Зависимость от каналов связи Средняя Очень высокая
Хранение событий
безопасности
Локально За пределами организации
Права на технологии и
процессы
Принадлежат заказчику Принадлежат аутсорсеру
Выход за пределы своей
организации
Невозможен Возможно использовать
данные по другим заказчикам
Видимость «бревен в своем
глазу»
Низкая Высокая
Выделенный персонал Да Нет
- 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы
Реагирование на инциденты ИБ
Управление услугами
Анализ киберугроз
Cyber Threat Intelligence
Экзотический /
национальный инцидент
Поддержка реагирования
Координация
восстановления
Аналитика безопасности
Управление данными безопасности
Расследование инцидентов
Анализ вредоносного кода
Управление отраслевыми
средствами защиты
Управление средствами
защиты
Управление услугами Управление услугами Управление услугами
Отраслевой инцидент
Управление
национальными СрЗИ
Общий инцидент
Управление платформой
Platform Dev & Engineering
Управление контентом
Операции ОперацииPlatform Dev & Engineering
Управление контентом
Восстановление Восстановление
Управление средствами
защиты
Гибридная модель
- 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 3: прежде,
чем мониторить
что-то, внедрите
это что-то
- 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Продукты ➩ Security Operations ➩ SOC
События Нормализация /
категоризация
Корреляция Triage
ИнцидентПравилаХранение
False Positive
Расследование
и реагирование
R&D
Контроль
качества
Внешние
службы
Извлечение
уроков
Playbook /
Wiki
Обогащение
Security Operations объединяет множество решений в единый комплекс!
платных и бесплатных
- 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Прежде чем строить SOC или отдавать
мониторинг на аутсорсинг в внешний
SOC, сначала внедрите то, что будет
отдавать данные
Совет: сначала внедрите то, что вы хотите
мониторить
Для мониторинга МСЭ на периметре и
антивируса на ПК SOC не нужен!
В Н И М А Н И Е
Это частый запрос в наш
аутсорсинговый SOC
- 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 4:
определитесь с
Use Case
- 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Видео!
Смотрите
внимательно!
- 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы видите?
- 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Мониторинг привилегированных субъектов доступа
• Множественные неудачные попытки аутентификации (brute
force)
• Аномалии аутентификации
• Сервисные учетные записи использованы для интерактивного входа
• Сервисные учетные записи использованы с неавторизованных систем
• Пользователь входит в локальную сеть сразу после входа в VPN
• Пользователь входит в систему за 1+ час до и через 1+ час после
нормальных рабочих часов
• Интерактивный вход сразу из нескольких источников под одной
учетной записью
Топ10 use case для SOC
- 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Аномалии аутентификации (продолжение)
• Использование учетной записи по умолчанию
• Использование общих (shared) учетных записей
• Сессионные аномалии
• Типичный пользователь должен иметь сеанс работы, длительностью
около 10 часов
• Существенное изменение профиля Web-серфинга
• Всплески в запретах исходящих соединений на МСЭ
• Сетевые коммуникации между рабочими станциями
• Превышение разумной длительности сессий
Топ10 use case для SOC
- 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Аномалии учетных записей
• Учетная запись используется до начала рабочего дня пользователя
• Учетная запись используется после конца рабочего дня пользователя
• Индикаторы утечек данных
• Несоответствие HTTP(S) Send/Receive
• Протоколы передачи файлов от пользователей или сервисов,
которым эти протоколы не требуются (например, FTP с принтера)
• Использование облачных хранилищ (Яндекс.Диск, Dropbox, OneDrive и
т.п.)
• Поиск известных уязвимостей
Топ10 use case для SOC
- 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Любые чрезмерные отказы сервисов
• Невозможность обновления антивируса или сбои бэкапов
• Индикаторы внутренней угрозы
• Доступ к хакерским сайтам или «исследованиям по ИБ» для рядовых
пользователей
• Использование USB
• Нарушение эталонного уровня аутентификации
• Отказы аутентификации на file shares, приложениях, серверах,
порталах и т.п.
• Отказы в логах безопасности
Топ10 use case для SOC
- 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Use case для DNS-активности (пример)
1
2
3
4
5
Молодой (менее 7 дней)
или недавно
зарегистрированный домен
Имя не в списке Alexa
Странный или длинный
домен второго уровня
Шестнадцатеричное имя
домена
Энтропия символов в
названии домена
6
7
8
Трафик к внешнему IP
без запроса DNS
Запросы с длинными TXT
записями
TXT без записи типа A
9
…
Запросы к динамическим
DNS-провайдерам
Взаимодействие с
вредоносными TLD
- 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Настройте SOC на обнаружение Топ10
use case – они встречаются у всех
Совет: SOC не умеет мониторить все –
выберите самое важное для вас
У вендоров серьезных SIEM есть уже
готовые наборы use case – не
пренебрегайте ими
Разработайте use case, которые нужны
именно вам
- 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 5:
определитесь с
персоналом
- 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разные модели работы SOC в режиме 24 х 7
Кейс 1 Кейс 2 Кейс 3
Минимальное число команд / людей 5 / 5 6 / 6 6 / 6
Часов в смену 10 10 12
Среднее число часов в неделю 42 + 2 часа
сверхурочных
40 42
Плюсы
Ротация рабочих и
нерабочих дней на
выходные
40-часовая неделя с 3-
мя выходными
Работа в те же дни
каждую неделю
Никто не работает
больше трех дней
подряд
3-хдневные каникулы
каждые выходные
Минусы
Отсутствие
постоянных
рабочих дней
3 команды каждые
выходные не работают,
а 3 – работают каждые
выходные
Длинная смена
Работа до 62 часов в
неделю
2 часа сверхурочных
на сотрудника
Цикл повторения
20 дней 21 день 28 дней
- 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Типичные режимы работы аналитиков SOC - 8 х 5, 12 х 5, 18 х 7,
24 х 7
Режим работы SOC и длительность смена
Минимум – 7 человек для режима 7 х 24 с часовым перекрытием в
смене и одним «плавающим» сотрудником для закрытия отпусков
и болезней
10 аналитиков - для режима 24 х 7 х 365
+ 2 наиболее опытных аналитика (L2) работают в режиме 8 х 5 и
доступны для покрытия смен для запланированных и
непланируемых отсутствий
- 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 6:
учитывайте
физиологию
- 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сейчас вы увидите
видео
Посчитайте
количество передач
мяча, сделанных
людьми в белых
футболках!
- 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы видите?
- 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Правильный
ответ - 16
- 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
гориллу?!
- 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
уход девушки
в черной
футболке?!
- 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы заметили
уход смену
цвета штор на
заднем
плане?!
- 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
После 12-ти минут непрерывного
мониторинга аналитик пропускает 45%
активности на мониторе. После 22-х – 95%
Совет: учитывайте физиологию работы
аналитика
После 20-40 минут активного мониторинга
у аналитика наступает психологическая
слепота
Подумайте о ротации смен, режиме отдыха
аналитиков и, возможно, замене L1 машинным
обучением или иными технологиями
- 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Не забудьте про естественный дневной ритм
человека
100%
-50%
+50%
6 8 10 12 14 16 18 20 22 24 2 4 6 t, время суток
Работоспособность
У «жаворонков» и «сов» графики будут чуть сдвинуты
относительно друг друга
В обед
работоспособность
аналитика
снижается
В ночное время
работоспособность
падает
катастрофически
Работоспособность =
внимательность,
способность принимать
решения и т.п.
- 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 7:
разработайте
workflow и
playbook
- 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Основы Playbook
Что мы пытаемся защитить Какие у нас угрозы Как мы детектируем их Как
мы реагируем?
Минимальные
требования
• Скажи нам о зараженных машинах (боты, трояны, черви и т.д.)
• Скажи нам о подозрительной сетевой активности (сканирование,
посторонний сетевой трафик)
• Найди неожиданное / попытки неавторизованных аутентификаций
на узле
• Покажи сводку, включая тенденции, статистику, числа
• Дай нам особый взгляд на окружение (отчеты о целях,
критических активах, «горячих» угрозах, особых событиях и т.д.)
• Подключи все необходимые источники данных
• Опиши и пойми все исходящие потоки и аномалии
• Предоставь удобный и быстрый доступ к статистике и метрикам
- 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Фишинговый workflow в SOC
Пользователь
ГосСОПКА
Поддержка
SIEM
Приоритезация
Анализ
сообщения
Блокирование
сообщения
Документирование
Первичный сбор
данных
L1 эскалирует
на L2
Определение
scope и
последствий
Блокирование
домена / URL
Закрытие кейса
Профилирование
пользователя
Смена паролей
Отчет по
инциденту
Мониторинг
учетных записей
Улучшение /
обновление
процесса
Malware
Playbook
Targeted Attack
Playbook
Тревога
T
I
R
P
T
I
R
P
СТО
П
L1
L2
- 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Детальный workflow: фрагмент
Проверка
исторических
данных по
аналогичным
кейсам
Если кейс
повторный, то это
фишинговая
кампания.
Уведомляем CISO
Отправляем аттач
или ссылку в
песочницу или TIP
для анализа
Проверяем
репутацию
отправителя, URL
и хэш аттача
Запускаем
процедуру
блокирования?
Уведомляем
пользователей,
получивших
фишинговое
письмо
Удаляем аттач и
перезаписываем
URL?
Блокируем e-mail
на relay
Удаляем e-mail на
серверах
Уведомляем
пользователей,
получивших e-
mail
Обновляем TIP
Уточняем у
пользователей,
открывали ли они
фишинговое
письмо?
Закрываем кейс
как ложное
срабатывание
Запускаем
malware playbook
Посылаем
awareness
сообщения
нужным
пользователям
Отслеживаем
артефакты в
организации
Нет
ДаВредонос
Невредонос
Невредонос
Вредонос
Открыли Нет
Получили
сообщение о
фишинге (и сам
e-mail)
Да
Нет
Можно
раскрыть в еще
больших
деталях
- 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Workflow анализа: пример для e-mail
Проверяем e-mail
Извлекаем
индикаторы
Извлекаем IP-
адрес
отправителя
Извлекаем URL
Извлекаем хэш
аттача
Извлекаем
заголовок
Проверяем
индикаторы
Вредоносные
индикаторы
найдены?
Проверяем файл
Нет
Файл
вредоносный?
- 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример Playbook в Cisco
Непублично
- 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример работы по Playbook в Cisco
Непублично
- 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мониторинг эффективности Playbook
Непублично
- 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• ID
• Название
• Дата последнего изменения
• Владелец
• Цель
• Область действия
• Процедуры
От workflow к playbook (шаблон)
- 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Проверяйте почтовый ящик phishing@yourcompany.ru каждый час
• Проверяйте почтовый ящик fincert@yourcompany.ru и gossopka@yourcompany.ru каждый час на
наличие сообщений о фишинге
• Если пришло новое сообщение создайте новый тикет в <JIRA / ServiceNow…>
• Получите оригинальное сообщение от пользователя и приложите его к тикету
• Проверьте сообщение на фишинг
• Проверьте URL внутри ссылки – он совпадает с тем, что отображается в сообщении
• Проверьте домены всех ссылок в сообщении в <ваша TIP / Cisco Umbrella / VirusTotal / …)
• Сообщение пыталось обойти спам-фильтры
• Отправитель является или выглядит поддельным?
• Если сообщение не фишинговое, то это ложное срабатывание – поблагодарите пользователя и
закройте тикет. В противном случае перейдите к следующему шагу
Пример playbook: упрощенный по тексту
И без аттача
- 47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Получите IoC и приложите их к тикету
• Полностью загрузите URL из сообщения
• С виртуальной машины загрузите файл в URL
• Вычислите хэш (SHA256 и MD5)
• Заархивируйте файл в ZIP и задайте пароль «virus»
• Скопируйте файл на ваш десктоп
• Приложите архив и хэши к тикету
• Зафиксируйте тему сообщения
• Зафиксируйте отправителя сообщения
• Зафиксируйте имя и адрес SMTP-сервера отправителя
• Это кампания
• Поищите в <JIRA / ServiceNow / …> с аналогичными отправителями, темой, контентом или URL
• Если есть повторение, то создайте новый, мастер-тикет (для кампании) в <JIRA / ServiceNow / …>
• Свяжите ранее созданный тикет с мастер-тикетом
Пример playbook: упрощенный по тексту
И без аттача
- 48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Оповестите сотрудников
• Если вы связали пятый тикет с мастер-тикетом, то оповестите пользователей об угрозе
• Зайдите в папку <…> и возьмите оттуда шаблон уведомления
• Пошлите шаблон в службу внутренних коммуникаций по адресу internal.pr@yourcompany.ru
• Позвоните в службу внутренних коммуникаций по телефону <> и предупредите их, что компания столкнулась
с инцидентом, о котором надо оповестить сотрудников в течение часа
• Через час проверьте, что коммуникация по сотрудникам была осуществлена. Если нет, то свяжитесь со
службой внутренних коммуникаций и выясните причину
• Блокируйте e-mail на сервере
• Откройте в мастер-тикете <JIRA / ServiceNow / …> оригиналы сообщений
• Проанализируйте общие для кампании признаки
• Если признаки есть, свяжитесь со службой ИТ по адресу it@yourcompany.ru и попросите блокировать все
входящие сообщения, соответствующие общему шаблону
Пример playbook: упрощенный по тексту
И без аттача
- 49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Удалите фишинговые сообщения из почтовых ящиков пользователей
• Зайдите на <почтовый сервер / Splunk / …> по адресу <…>
• Осуществите поиск по теме из оригинального сообщения
• Осуществите поиск по адресу из оригинального сообщения
• Осуществите поиск по другим признакам из оригинального сообщения
• Если вы нашли других пользователей, получивших такие же сообщения, то свяжитесь со службой ИТ по
адресу it@yourcompany.ru и попросите их удалить все фишинговые сообщения у пострадавших
пользователей
• Блэкхолинг DNS
• …
• Блокирование URL
• …
• Уведомите о фишинговой кампании <ФинЦЕРТ / ГосСОПКУ / другие компании группы / …>
• …
Пример playbook: упрощенный по тексту
И без аттача
- 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 8: не
полагайтесь
только на SIEM.
Особенно
отечественные
- 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура современного SOC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
Управление
кейсами
Malware
Intel
Providers
Threat
Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT
Service
Mgmt
Управление
CPE
Security
Analytics
Управление
данными
Анализ
ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответстви
я
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источник
и
Другие системы
Платформа
SOC
Сервисы
корпорат
.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция
- 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Security Analytics Suite
NTA
EDR
SIEM
UEBA /
CASB
- 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 9: не все
можно купить за
деньги –
посмотрите в
сторону open
source
- 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для SecOps (ядро SOC)
Технология Стоимость, $ Важность
SIEM 200.000
Network Traffic Analysis (Flow) 140.000
Network PCAP 0
Network IDS / IPS 15.000
EDR 35.000
Хранение и парсинг логов 0
Wi-Fi IDS и мониторинг 3.000
Обманные системы 50.000
UEBA 75.000
CASB 45.000
Высокая Средняя Низкая * - зависит от стоящих задач
- 55. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для CSIRT / CTI
Технология Стоимость, $ Важность
ПО для Endpoint Forensics (включая мобильные устройства) 0
ПО для Network Forensics (включая облака) 0
Железо для Forensics 100.000
Реверсинг вредоносного ПО (включая дебаггеры) 0
Песочница 50.000
ПО для анализа памяти 0
Фиды Threat Intelligence 20.000
Платформа Threat Intelligence 35.000
Анализ DNS / IP / AS 30.000
Высокая Средняя Низкая * - зависит от стоящих задач
- 56. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Технологии для администрирования SOC
Технология Стоимость, $ Важность
Управление тикетами 35.000
Wiki 0
Аналитика и отчетность 15.000
УПАТС 0
Защита коммуникаций 5.000
Система управления инцидентами 25.000
Шредер 1.000
Высокая Средняя Низкая * - зависит от стоящих задач
- 57. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
На что обратить внимание при расчете цены?
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
Продукт
Многие решения
могут быть
некоммерческими, а
open source. Стоит
учитывать стоимость
железа для них
Владение
Некоторые
технологии
(например, NTA или
хранилище логов или
система тикетов)
могут быть уже
приобретены и
находиться во
владении других
отделов
Аутсорсинг
Технология может
быть либо куплена в
собственность, либо
взята в аутсорсинг.
Возможны и иные
схемы (лизинг,
аренда…)
Поддержка
Некоторые
технологии
продаются больше
чем на 1 год, что
может быть дешевле
Open Source
Поддержка open
source бесплатна,
но может
понадобиться
доработка, а
также
специалисты иной
квалификации
+ инфляция
- 58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько вариантов расчета
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
536.000 123.000 153.200 161.350
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
112.000 26.000 31.200 37.440
Вариант №1. На базе коммерческих решений
Вариант №2. Коммерческие решения + open source
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
поддержка на
3-й год
16.000 3.200 3.840 4.600
Вариант №3. На базе open source + сервера под него
- 59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Покупать или создавать инструментарий?
Остальные 99%
Лучшие 1%
99% SOCов используют
готовые, приобретенные
решения по ИБ
1% SOCов разрабатывают
свой инструментарий или
дорабатывают open source
решения
- 60. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: irflow
• Приложение для
автоматизации процесса
реагирования на
инциденты с помощью
решений Cisco
• Интеграция различных
решений Cisco и других
компаний
• Исходный код выложен
на GitHub
- 61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: irflow
Визуализация через Cisco CMX
Формирование тикета
Интеграция с ServiceNow
Интеграция с Webex Teams
- 62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 10:
определитесь с
хранилищем
событий ИБ
- 63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Какие данные собирает ваш SOC?
События ИБ
• МСЭ
• IDS
• AV / EPP / EDR
• DLP
• VPN
• Web-доступ
• Обманные
системы
• WAF
Сетевые события
• Маршрутизаторы
• Коммутаторы
• Точки доступа
• DNS-сервера
• Частные облака
• Публичные
облака
Приложения и
устройства
• Базы данных
• Сервера
приложений
• Web-
приложения
• SaaS-
приложения
• Мобильные
устройства
• Десктопы и
лэптопы
ИТ-
инфраструктура
• Конфигурации
• Геолокация
• Владельцы
• Инвентаризация
• Сетевые карты
• Уязвимости
- 64. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Некоторые нормативные акты требуют
хранения данных от одного года до семи
лет (PCI DSS, HIPAA, SOX и др.)
Особенности обрабатываемых в SOC данных
Данные для анализа бывают в виде логов
(syslog, Event Log и др.), потоков (Netflow,
IPFIX и др.), а также захваченных сетевых
сессий (pcap)
Сырые данные необходимо также
обогащать за счет внешних источников
- 65. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
# событий безопасности
«Сколько вешать в граммах» или сколько
данных вам нужно собирать?
период времени в сек
= EPS (event per second)
Событий в день = (Total Peak Events per Day + Total
Normal Events per Day) * 110% (про запас) * 110% (на
рост)
Total Peak Events per Day = (Number of Peaks per Day * Duration in Seconds of a Peak) * Peak EPS
Total Normal Events per Day = (Total Seconds – Total Peak Seconds per Day) * Normal EPS
На интервале в 90 дней
- 66. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Знайте ваши средства защиты
Разный уровень
регистрации событий (от
Informational до Debug)
Средняя длина события –
300 байт (может
меняться)
Не забывайте про Flow
Per Second (FPS) и PCAP
- 67. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Для хранения 1000 EPS (86.4 миллиона
событий в день) и средней длине
события в 300 байт вам потребуется:
Совет 3: продумайте, где вы будете хранить
данные до внедрения SOC
- 25.9 Гб в день
- 777 Гб в месяц
- 9.331 Тб в год
- 68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
1,2 триллиона
событий ИБ
22 инцидента ИБ
Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов
Источник: служба ИБ Cisco
- 69. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Учтите формат хранения – flat file,
реляционная база данных или Hadoop
Совет 3: продумайте, где вы будете хранить
данные до внедрения SOC
Данные можно хранить на своих серверах
или в облаке
Многие SIEMы сжимают данные 1 к 8
Вам нужно резервирование данных или их
длительное хранение?
- 70. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 11:
выбирайте
правильные
жесткие диски
- 71. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Угрозы на
Cisco за один
день
1.2 триллиона
Событий безопасности в день по всей сети
28 миллиарда
Netflows анализируется в день (Stealthwatch)
47 ТБ
Internet-трафика инспектируется
7.6 миллиарда
DNS-запросов в день (Umbrella)
13.4 миллиона
Срабатываний NGIPS в день
4.4 миллиона
Emails получается в день (ESA)
1000 фишинговых писем от службы ИБ
Не каждый
SIEM
подойдет
- 72. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Корзина – индексированные данные
• Новые индексированные данные
• Открыты для записи
• Поиск возможенHot
• Данные, перенесенные из hot bucket
• Данные активно не записываются
• Поиск возможенWarm
• Данные, перенесенные из warm bucket
• Данные не записываются
• Поиск возможенCold
• Данные, перенесенные из cold bucket
• По умолчанию удаляются, но можно настроить на архивное хранение
• Поиск невозможенFrozen
• Данные, восстановленные из архива
• Поиск возможенThawed
- 73. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Время поиска и индексации – ключевые
параметры
- 74. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Компактный. Например, «найди мне
среднее время отклика приложения А за
последние 24 часа». Последовательное
обращение к диску на чтение.
Два типа поиска
«Поиск иголки в стогу сена». Например,
«найди мне UserID во всех моих данных за
последний год». Случайные обращения к
диску на чтение.
- 75. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Выбор дисков для SIEM очень важен
При компактном поиске
разницы между SSD и
SATA/SAS HDD почти нет
При поиску «иголки в
стогу сена» диски SSD
имеют многократное
преимущество (на
порядки)
- 76. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Чем крупнее объект мониторинга для
SOC, тем больше данных будет
собираться
Совет 4: правильно выбирайте жесткие диски
Для небольших объектов может
потребоваться поиск на длительном
интервале времени
При крупных объектах или длительном
интервале времени поиска лучше
выбирать SSD-диски (хоть они и дороже)
Про шифрование тоже подумайте…
- 77. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 12: не
игнорируйте
выбор и ремонт в
помещении для
SOC
- 78. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
- 79. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Для кого вы строите SOC? Для себя или для ТВ?
Аналитик не способен
мониторить больше
двух экранов
Что вы планируете
показывать на
больших плазмах и
кто будет на них
смотреть?
- 80. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ключевые компоненты помещения для SOC
ОсвещениеАкустика
ДругоеЭстетика
• Шумопоглощение
• Эхо
• Реверберация
• Шумы от
вентиляторов,
чайников, проекторов
• Комната отдыха
• Кактусы на мониторах
и картины на стенах
• Настольные игры
• Эргономика рабочего
места
• Запахи
• Кондиционирование
• Влаго- и
теплообразование
• Теплообмен
• Давление в кухне
• Блики на мониторах
• Наличие окон
• Освещенность
• Теплота, яркость
освещения
- 81. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обратите внимание
• ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование
центров управления. Часть 1. Принципы проектирования
• ГОСТ Р ИСО 11064-2-2015 Эргономическое проектирование
центров управления. Часть 2. Принципы организации
комплексов управления
• ГОСТ Р ИСО 11064-3-2015 Эргономическое проектирование
центров управления. Часть 3. Расположение зала
управления
• ГОСТ Р ИСО 11064-4-2015 Эргономическое проектирование
центров управления. Часть 4. Расположение и размеры
рабочих мест
• ГОСТ Р ИСО 11064-5-2015 Эргономическое проектирование
центров управления. Часть 5. Дисплеи и элементы
управления
• ГОСТ Р ИСО 11064-6-2016 Эргономическое проектирование
центров управления. Часть 6. Требования к окружающей
среде
• ГОСТ Р ИСО 11064-7-2016 Эргономическое проектирование
центров управления. Часть 7. Принципы верификации и
валидации
- 82. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Итого: SOC нам обойдется (пример расчета)
- 83. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 13:
продумайте
варианты оценки
эффективности
- 84. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разработка Dashboard для разных задач
- 85. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Стоимость
украденного
аккаунта
клиента в
Darknet?!
- 86. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Бонус: мониторинг
облаков и АСУ ТП
- 87. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как мониторить облака? На примере Cisco
Компонент Предпочитаемое решение Альтернатива
Облачный L3-шлюз Cisco CSR Нет данных
Intrusion Detection (IDS) SourceFire for AWS (Beta) Snort
Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump
Passive DNS Cisco’s PDNS Tool OpenDNS
PDNS (Open Source Project)
Operational Intelligence Splunk ELK
Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения
Прикладные данные CloudLock SkyHigh
- 88. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Фундаментально C-Bridge – это сетевое решение, использующее
маршрутизаторы, коммутаторы и средства защиты Cisco, для предоставления
быстрого, защищенного подключения и мониторинга безопасности новых
площадок
• Автономное решение, которые задействует управление идентификацией и
проверку пользовательских устройств для обеспечения доступа к
корпоративным ресурсам без компрометации безопасности предприятия
• Обеспечивает базу для реализации защитных мер и мониторинга старых сетей
• Плотное взаимодействие разных команд Cisco:
• IT Acquisition Integration
• IT Network Services
• InfoSec Architecture
• InfoSec CSIRT
Что такое C-Bridge?
- 89. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внешний вид C-Bridge
- 90. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Физическая безопасность C-Bridge
• Два набора замков (внутри +
снаружи) на внутренней и
внешней «дверцах» C-Bridge
• Закрытые двери не мешают
работать с проводами для их
подключения к сети и питанию
• После подключения внешняя
дверца может быть оставлена
открытой для обеспечения
вентиляции
- 91. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наполнение C-Bridge
• Стойка может быть высотой
до 20 RU
• Сейчас стойка заполнена на
16 RU с дополнительными
(запасными) 4 RU
• 4 RU для IT-наполнения, 12
RU для целей безопасности
и мониторинга
- 92. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Аппаратные компоненты C-Bridge
Маршрутизация
• Cisco 4451 Integrated Services Router
• Cisco 2901 Integrated Services Router
Коммутация • Cisco Catalyst 3850 Switches
Безопасность
• Cisco ASA5545-X Adaptive Security Appliance
• Cisco FirePOWER 7150 Appliance with
Advanced Malware Protection
• Cisco NetFlow Generation Appliance 3340
• Cisco StealthWatch Flow Collector
Сервера • Cisco UCS C-Series rack servers
- 93. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• InfoSec CSIRT мониторит весь доступ к/через Интернет
• В дополнение к межсетевому экранированию:
• Sourcefire IDS 7150 with AMP for Networks
• vWSA с AMP for Content с интеграцией с ThreatGrid
• Генерация несемплированного Netflow и передача в Cisco
Stealthwatch vFlowCollector
• CSIRT PDNS и Cisco Umbrella
• Qualys Vulnerability Scanner (виртуальный)
• BGP Black Hole/Quarantine
• DLP-функциональность
• Сбор Syslog
Программные компоненты C-Bridge
- 94. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Создание многоуровневой
архитектуры C-Bridge :
• Малая: 2RU = ISR4451 с
модулем Etherswitch, FTD
для ISR (UCS-E) и UCS-E для
CSIRT VMs, до ~300Mbps
• Средняя: 3RU = ISR4451 с
модулем коммутации и 2x
UCS-E для CSIRT VMs +
ASA5555X-FTD, до
~600Mbps
• Большое: стандартное
решение на ½ стойки C-
Bridge, 1Gbps+
Облегченная версия C-Bridge
ß vs à
- 95. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вопросы?
- 96. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Дополнительная информация
96