Концепция создания SOC Нового Поколения (NG...
Transcript of Концепция создания SOC Нового Поколения (NG...
Концепция создания SOC Нового Поколения (NG SOC)
Замалиев Руслан
Консультант по информационной безопасности
Компания ICL Системные технологии
Текущая ситуация в корпоративных центрах мониторинга и оперативного реагирования на инциденты ИБ (SOC)
Нехватка квалифицированных кадров
Профессиональное выгорание сотрудников
Множество разрозненных инструментов
Слабая автоматизация и отсутствие оркестрации
Низкая скорость реакции на инциденты ИБ
Отсутствие возможности прямого реагирования
Слабое взаимодействие между ИБ(SOC),ИТ и
Бизнесом
Усложнение атак и рост квалификации атакующих
Снижение эффективности базового набора мер защиты (антивирусы, IPS/IDS и др.)
Появление обязательных требований по защите объектов КИИ (включая технологический сегмент (АСУ ТП))
Появление обязанностей по информированию об инцидентах ИБ регуляторов через ГосСОПКА / ФинЦЕРТ
Новые вызовы и требования времени
Необходимость NG SOC Злоумышленники используют не
только уязвимости, но и
недостатки процесса
мониторинга ИБ
Методы реактивной защиты не
эффективны
Нужен анализ, основанный на
прогнозных оценках
Нужны новые инструменты, в
т.ч. для совместной работы и
взаимодействия с внешними
сервисами и регуляторами
Функции NG SOC
Традиционные:
управление журналами и уязвимостями
корреляция
управление инцидентами
оповещение
Новые:
анализ больших данных
поведенческий анализ
оркестровка
автоматизация и реагирование
машинное обучение и искусственный интеллект
Принципы NG SOC
Традиционный SOC SOC следующего поколения
Выявлять, реагировать, исправлять Предвидеть, автоматизировать,
предотвращать
Архитектура построена на продуктах,
которые сложно интегрировать
Архитектура построена на изначально
интегрированной платформе безопасности
Методология, основанная на данных Интеллектуально управляемая методология
По мере увеличения количества событий,
растет кол-во людей
По мере увеличения количества событий
масштабируются технические средства
ИТ и ИБ(SOC) работают независимо ИТ и ИБ(SOC) работают в сотрудничестве
Концепция SOC Нового Поколения
Операционная модель
Технологии
Команда
Процессы и методология
Операционная модель
Собственный SOC
Гибридная модель SOC
Внешний SOC
,,По данным последнего опроса SANS
2018 Security Operation Center
Survey, где участвовали только
представители компаний, имеющие
свой собственный SOC,
большинство из опрошенных
отметили, что затраты на
построение центров ИБ-
мониторинга и реагирования и
предполагаемая отдача от таких
инвестиций очень часто не
оправдывают ожиданий.
Собственный SOC Гибридный SOCАутсорсинг
(внешний SOC)
Инф
ра-р
а Собственная техническая
инфраструктура
Часть тех. средств собственные
(AssetMngt, Data Lake, SIEM, IRP,
SOAR), часть арендуемая (TI,
Threat Hunting, и др.)
Техническая инфраструктура от
провайдера услуг безопасности
Персонал Собственный персонал на
территории
Свой перcонал на 1 линии,
2 и 3 линии на уровне
провайдера услуг безопасности
Персонал на площадке
провайдера услуг безопасности
Процессы Методология
разрабатывается и
совершенствуется
собственными силами
Методология может быть
разработана с привлечением
внешнего подрядчика
Методология от провайдера услуг
безопасности
Финансы
Значительные
первоначальные
финансовые вложения
Средние уровень вложений
ввиду их частичного переноса в
ежегодные арендные платежи за
услуги внешнего SOC
Меньшие ежегодные платежи за
аренду техники и услуг
стороннего SOC, по сравнению с
разовыми вложениями в
постройку собственного SOC
Операционная модель
Информация об ИТ-активах
Информация об обнаруженных
уязвимостях в ИТ-активах
Информация об ИТ-активах
Информация о планах
мероприятий
Информация о выявленных
инцидентах ИБ
ИКТ-инфраструктура Предприятия
Серверы (AD, БД, приложений, веб и др.)
Сетевое оборудование(МЭ, IPS/IDS, роуутеры, коммутаторы и др.
АРМ (рабочие станции)
Средства инвентаризации, мониторинга и анализа
Информационно-аналитическая панельдля руководства (BI, DashBoard, Reports)
Анализ сложных инцидентов ИБ и формирование планов реагирования на
инциденты (UseCase)
ВЫСШЕЕ РУКОВОДСТВО И РУКОВОДСТВО ИБ
Анализ и принятие управленческих решений на основании статистической и аналитической информации
РУКОВОДСТВО ИБ И СПЕЦИАЛИСТЫ ИБ И ИТ
Идентификация объектов защиты и учет их взаимосвязей с бизнес-процессами организации
Оценка критичности активов Управление инцидентами ИБ Формирование модели угроз ИБ Управление рисками ИБ Контроль соответствия текущего состояния ИБ
требуемому уровню
СПЕЦИАЛИСТЫ ИБ И ИТ
Сбор информации о СрЗИ и ИТ-инфраструктуре
Сбор и анализ событий ИБ Контроль предоставления прав доступа и
построение текущей матрицы доступа Мониторинг состояния ИТ-инфраструктуры Поиск уязвимостей ИБ Предоставление информации в подсистемы
КСУИБ
Обмен данными о конфигурационных
единицах, инцидентах ИБ, запуск сценариев
реагирования на инциденты ИБ
КОМПЛЕКСНАЯ СИСТЕМА УПРАВЛЕНИЯ ИБ (КСУИБ)(Единая платформа управления ИБ)
Подсистема управления
инцидентами ИБ(IRP/SOAR)
Подсистема оценки соответствия требованиям по ИБ
Подсистемакатегорирования
объектов КИИ
Ядро КСУИБ
Подсистема управления уязвимостями
Подсистема паспортизации и
классификации ОЗ
Подсистема информационного
обмена с вышестоящим центром ГосСОПКА
- внешний SOC (2,3 линии) / провайдер услуг безопасности (MSSP)
- киберразведка (Threat Intelligence)
- охота за угрозами (ThreatHunting)- другие сервисы
Обмен данными об инцидентах и
компьютерных атаках
ГосСОПКА(ФСБ России)
Рекомендации, требования,
помощь в расследовании
инцидентов
Системаинвентаризации
Информация о событиях ИБ
Информация об ИТ-активах
Информация об уязвимостях в ИТ-активах
Система сбора, анализа и корреляции
событий ИБ (SIEM)
Система анализа защищённости и
контроля требований
Информация об инцидентах ИБ
Средства защиты информации(АВЗ, защита от НСД и др.)
Сервисы ИТ-блока
Система поддержки пользователей (сервис-деск)
Запуск сценариев реагирования на инциденты ИБ
Система управления сложными компьютерными системами и службами
(оркестровка)
Система управления конфигурационными единицами
(CMDB)
Иные системы безопасности
(UEBA, DataLake, SandBox и др.)
Обогащение карточки
инцидента ИБ
ВНЕШНИЕ СЕРВИСЫ И УСЛУГИ
Операционная модель гибридного NG SOC
Технологии
источники данных
Asset Management,
BigData (DataLake)
Threat Intelligence,
SIEM, UEBA, Sandbox
IRP, SOAR,
Threat Hunting
BI, Dashboards,
Reports
Network Devices, Security Devices, Applications, Endpoints
Next
Generation
SOC
Вовлечение ИТ-блока
и Бизнеса в обеспечение ИБ
Сокращение времени реакциии повышение производительноститруда персонала
Рост эффективности обнаружения и детектирования новых угроз, в т.ч. неизвестных (нулевого дня)
Управление ИТ-активами,
проведение расследований и
ретроспективный анализ
больших данных
сбор, хранение и управление данными
мониторинг и анализ данных
автоматизация и реагирование
визуализация и отчетность
Единая платформа управления ИБ в NG SOC
Значительное рост числа СрЗИ и
внешних сервисов:
Структурированная информация о
событиях ИБ.
Смежные события – антифрод,
физическая безопасность,
поведенческий анализ и др.
Неструктурированная информация
– хантинг, соцсети, пресса,
публикации и др.
Широкий обмен информацией
безопасности внутри и вовне:
Смежные отделы/службы – ИТ-блок, борьба с мошенничеством, финансовый мониторинг, физическая и экономическая безопасность и др.
Внешние организации -
отраслевой/ведомственный
CERT/SOC, регуляторы,
правоохранительные органы и др.
Технологии
Команда (персонал)
Люди – самый ценный актив SOC
Ключевые аспекты в NG SOC:
автоматизация работы персонала
правильно выстроенная организационная модель
значительный рост коммуникаций как внутри Компании так и с внешними Организациями
Автоматизация работы персонала
автоматизация позволит повысить производительность труда
повторяющиеся задачи нужно автоматизировать
освободившееся время нужно использовать для других задач
автоматизация не преследует цель сократить персонал
автоматизацию нужно совершенствовать
Роли и функции персонала
3 линияПроактивный поиск угроз (hunting) и продвинутая форензика
2 линияГлубокий анализ и восстановление
1 линияБыстрое реагирование и восстановление
АвтоматизацияАвтоматическое расследование и реагирование
Известные атаки
Сложные инциденты ИБ
и подготовка UseCase
Стандартный путь
реагирования (UseCase)
Внешний
SOC
Собственный
SOC
Процессы и методология
Ключевые аспекты в NG SOC:
ИТ-блок и Бизнес вовлечены
в обеспечение ИБ
Команда SOC обеспечивает: Мониторинг угроз посредством
сценариев (Use Case) и правил SIEM
Обнаружение угрозы и регистрацию инцидента
Реагирование на инцидент согласно приоритетам
Результаты внедрения NG SOCПроблемы Решение
Нехватка квалифицированных кадров и
Профессиональное выгорание сотрудников
Привлечение услуг провайдера безопасности
(2,3 линия), автоматизация действий персонала
(IRP, UseCase)
Множество разрозненных инструментов Архитектура построена на изначально
интегрированной платформе управления
информационной безопасностью
Слабая автоматизация и отсутствие оркестрации,
Низкая скорость реакции на инциденты ИБ,
Отсутствие возможности прямого реагирования
Автоматизация реагирования на инциденты ИБ
(SOAR), применение средств оркестрации
внешними системами
Усложнение атак и рост квалификации
атакующих, Снижение эффективности базового
набора мер защиты (антивирусы, IPS/IDS и др.)
Подключение к Единой платформе управления
ИБ подписочных сервисов и новых
технологических решений (TI, TH, UEBA,
SandBox, SecurityDataLake и др.)
ИТ и ИБ(SOC) работают независимо Совместная работа в Единой платформе
управления ИБ и вывод результатов в BI
Преимущества NG SOC
Рост производительности
Сокращение времени реакции на инциденты ИБ
Повышение эффективности борьбы с новыми угрозами
Широкое вовлечение ИТ-блока и Бизнеса в задачи обеспечения ИБ
Выполнение требований регуляторов (ФСТЭК и ФСБ)
Ключевые шаги по созданию NG SOC
Определение модели NG SOC
Выбор единой платформы управления ИБ
Пилотирование и оценка совместимости
технических решений из стека
технологий NG SOC
Подготовка технического проекта
Внедрение решений согласно проекту
Подключение внешних услуг и сервисов
КОМПАНИЯ ICL СИСТЕМНЫЕ ТЕХНОЛОГИИ ВАШ НАДЕЖНЫЙ ПАРТНЕР В ПОСТРОЕНИИ SOC
Создание центров кибербезопасности ИБ (SOC), центров
ГосСОПКА
Платформа управления ИБ собственной разработки
Собственный SOC-центр (Security Operation Center)
Создание Комплексных систем защиты информации(КСЗИ),
в т.ч. систем обеспечения ИБ объектов КИИ
Опыт и экспертиза в области ИБ – более 25 лет
СПАСИБО ЗА ВНИМАНИЕ!
Компания ICL Системные технологии
420029, Казань, Сибирский тракт, 34
Телефон: +7(843) 279-58-23
Факс: +7(843) 279-49-05
Электронная почта: [email protected]
Веб-сайт: www.icl.ru