Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
2. 2
Немного истории
•1988 – создан CERT/CC после того, как червь Морриса поразил
компьютеры DARPA
•1989-1995 – 1st-7th Workshops on Computer Security Incident
Response
•1996-2017 – 8th-29th FIRST Conference and Workshop on Computer
Security Incident Handling and Response
•1998 – RFC2350 «Expectations for Computer Security Incident
Response»
•…
•2015-2017 – SANS SOC Summit, Washington, DC
•2015-2016 – SOC Forum, г. Москва
•27.04.2017 – SOC Forum Astana, г. Астана
3. 3
SOC или CSIRT? Матрица SOMM
Level Rating Description CSIRT SOC
0 Incomplete Operational elements do not exist.
+ +
1 Initial Minimum requirements to provide security monitoring are
met. Nothing is documented and actions are ad hoc.
+ +
2 Managed Business goals are met and operational tasks are
documented, repeatable, and can be performed by any
staff member.
Compliance requirements are met. Processes are defined
or modified reactively.
+ +
3 Defined Operations are well-defined, subjectively evaluated,
and flexible. Processes are defined or modified proactively.
+
4 Measured Operations are quantitatively evaluated, reviewed
consistently, and proactively improved utilizing business
and performance metrics to drive the improvements.
+
5 Optimizing Operational improvement program has been implemented to
track any deficiencies and ensure all lessons learned to
continually drive improvement. Processes are rigid and less
flexible and significant overhead is required to manage and
maintain this maturity level, outweighing the benefits
achieved.
+
4. 4
Предпосылки создания SOC
0% 5% 10% 15% 20% 25% 30% 35%
Неизвестно
1 день <
< 1 день
< 5 часов
< 1 часа
< 10 минут
Среднее время обнаружения инцидента ИБ (исследования E&Y):
Предотвращенный ущерб –
раньше нашёл, больше
сэкономил.
Много консолей, много систем,
ОЧЕНЬ много журналов аудита
9. 9
SOC МТС в цифрах
> 1500 подключенных
устройств
174 агента сбора событий
ИБ
> 100 правил
корреляции
28
кейсов
Суммарное количество
подключенных устройств
Суммарное количество
развёрнутых агентов сбора
Количество разработанных
правил корреляции
Количество активных
кейсов (сценариев)
14. 14
Архитектурные требования к WAF
Обеспечение возможности централизованной защиты и контроля
web-серверов
Географическая масштабируемость
Отсутствие необходимости изменения на L1/L2/L3-топологии сети для
защищаемых ресурсов
Отсутствие необходимости существенной доработки защищаемых
ресурсов
Возможность терминации HTTPS для выполнения TLS-offload (анализ
шифрованного трафика, снижение нагрузки на сервера)
Независимость от настроек, сбоев и уязвимостей ОС защищаемых
web-ресурсов
15. 15
WAF: reverse proxy. Необходимые
изменения
Выделение IP-адресов для WAF
Доступ из Интернет по HTTP/HTTPS к IP-адресам WAF
Настройка TLS offload (если используется HTTPS)
Настройка заголовков XFF
Изменение правил NAT на firewall (если в DMZ на одном firewall)
Изменение записей DNS (если в разных DMZ на разных firewall)
16. 16
WAF: reverse proxy. Пример изменений
Новые адреса для WAF
Серые 192.168.213.0/24
Белые 203.0.113.3-5
Изменение правил NAT на firewall (в DMZ на одном firewall)
До: 203.0.113.1-5 = 192.168.113.1-5
После: 203.0.113.1-5 = 192.168.213.1-5
Вставка XFF на WAF, без вставки на балансире
Изменение записей DNS (в разных DMZ на разных firewall)
До: www3.example.com После: www3.example.com
198.51.100.3 203.0.113.3
198.51.100.4 203.0.113.4
198.51.100.5 203.0.113.3
18. 18
WAF: reverse proxy. Анализ
Единая точка защиты и
контроля web-серверов
Высокая масштабируемость:
IP-маршрутизация + доступ
Отсутствие влияния на
L1/L2/L3-топологию сети
TLS-offload (анализ
шифрованного трафика,
снижение нагрузки на
сервера)
Независимость от настроек,
сбоев и уязвимостей ОС
защищаемых web-ресурсов
Преимущества Недостатки
Единая точка отказа
(минимизация: кластер,
дублирование)
Подверженность атакам на WAF
19. 19
Управление копией трафика: пакетные
брокеры
Выбор топологического места съема трафика
Выбор технологии съема трафика: SPAN/VACL/Brokers
Количество «слушающих» систем защиты информации
Подключение новых систем защиты без влияния на существующие
сессии и продуктивный трафик
Необходимость дедупликации пакетов
Необходимость удаления заголовков пакетов (VLAN tag, MPLS label)
Необходимость экономии портов оборудования
Сокращение затрат
26. 26
WannaCry: как SOC отразил атаку
• Благодаря выстроенному процессу Patch Management преобладающая
часть рабочих станций и серверов была обновлена до начала атаки
• Архитектура корпоративной сети сегментирована, правила
межсегментных взаимодействий строятся по принципу default deny
• Организован процесс резервного копирования данных с серверов
• Пользователи и администраторы соблюдают правила ИБ
• Мониторинг событий ИБ в журналах систем и в мире позволил начать
принимать комплекс реактивных мер практически сразу же после
начала атаки
• Произведенное обогащение инцидентов информацией о владельцах
систем ускоряет оперативность решения
Проактивно:
===============
27. 27
WannaCry: как SOC отразил атаку
Реактивно:
===============
• Проверка SMB-портов из Интернет на firewall – были закрыты
• Проверка патчей MS17-010 на всех серверах, ПК, VDI.
Принудительная установка подразделениями ИТ в случае отсутствия
• Обновление потокового антивируса (email, web), антивируса на ПК,
ноутбуках и серверах
• Обновление золотого образа VDI
• Мониторинг и устранение случаев возможного заражения
• Внеочередное инструктирование пользователей и администраторов
• Оперативное взаимодействие ИБ-ИТ на всех уровнях
28. 28
WannaCry: технические меры SOC
• Создание критичного правила на SIEM:
• Попытки подключения к SMB-портам на разные dst IP
• Сигнатуры IDS, сигнализирующие о попытке эксплуатации уязвимостей через
SMB
• Обращение к IP-адресам C&C-центров
• Проверка хэш-сумм файлов на соответствие хэшам зараженных
• Попытка резолва известных DNS-имен
• Создание «заглушки» на DNS
• Зануление IP-адресов C&C-центров
• Внеочередное инструктирование пользователей и администраторов
30. 30
Выводы по результатам Противостояния
на PHD-2016
• Очень сложно защитить то, чего не видишь
• Распределение обязанностей:
• SOC – мониторинг
• Защитники – закрытие брешей
• SOC – контролирует и координирует устранение
• Чем больше сделано заранее, тем меньше делать в экстренном
порядке
32. 32
SOC МТС завтра (2017-2020)
• Предсказание возможных векторов развития
атак и их отражение на раннем этапе
• Дополнение реактивных и проактивных
действий адаптивными
• Повышение эффективности за счет
взаимодействия с ГосСОПКА
• Вывод услуг информационной безопасности
на коммерческий рынок
Направления движения:
=====================