Концепция создания SOC Нового Поколения (NG SOC)

Замалиев Руслан

Консультант по информационной безопасности

Компания ICL Системные технологии

Текущая ситуация в корпоративных центрах мониторинга и оперативного реагирования на инциденты ИБ (SOC)

Нехватка квалифицированных кадров

Профессиональное выгорание сотрудников

Множество разрозненных инструментов

Слабая автоматизация и отсутствие оркестрации

Низкая скорость реакции на инциденты ИБ

Отсутствие возможности прямого реагирования

Слабое взаимодействие между ИБ(SOC),ИТ и

Бизнесом

Усложнение атак и рост квалификации атакующих

Снижение эффективности базового набора мер защиты (антивирусы, IPS/IDS и др.)

Появление обязательных требований по защите объектов КИИ (включая технологический сегмент (АСУ ТП))

Появление обязанностей по информированию об инцидентах ИБ регуляторов через ГосСОПКА / ФинЦЕРТ

Новые вызовы и требования времени

Необходимость NG SOC Злоумышленники используют не

только уязвимости, но и

недостатки процесса

мониторинга ИБ

Методы реактивной защиты не

эффективны

Нужен анализ, основанный на

прогнозных оценках

Нужны новые инструменты, в

т.ч. для совместной работы и

взаимодействия с внешними

сервисами и регуляторами

Функции NG SOC

Традиционные:

управление журналами и уязвимостями

корреляция

управление инцидентами

оповещение

Новые:

анализ больших данных

поведенческий анализ

оркестровка

автоматизация и реагирование

машинное обучение и искусственный интеллект

Принципы NG SOC

Традиционный SOC SOC следующего поколения

Выявлять, реагировать, исправлять Предвидеть, автоматизировать,

предотвращать

Архитектура построена на продуктах,

которые сложно интегрировать

Архитектура построена на изначально

интегрированной платформе безопасности

Методология, основанная на данных Интеллектуально управляемая методология

По мере увеличения количества событий,

растет кол-во людей

По мере увеличения количества событий

масштабируются технические средства

ИТ и ИБ(SOC) работают независимо ИТ и ИБ(SOC) работают в сотрудничестве

Концепция SOC Нового Поколения

Операционная модель

Технологии

Команда

Процессы и методология

Операционная модель

Собственный SOC

Гибридная модель SOC

Внешний SOC

,,По данным последнего опроса SANS

2018 Security Operation Center

Survey, где участвовали только

представители компаний, имеющие

свой собственный SOC,

большинство из опрошенных

отметили, что затраты на

построение центров ИБ-

мониторинга и реагирования и

предполагаемая отдача от таких

инвестиций очень часто не

оправдывают ожиданий.

Собственный SOC Гибридный SOCАутсорсинг

(внешний SOC)

Инф

ра-р

а Собственная техническая

инфраструктура

Часть тех. средств собственные

(AssetMngt, Data Lake, SIEM, IRP,

SOAR), часть арендуемая (TI,

Threat Hunting, и др.)

Техническая инфраструктура от

провайдера услуг безопасности

Персонал Собственный персонал на

территории

Свой перcонал на 1 линии,

2 и 3 линии на уровне

провайдера услуг безопасности

Персонал на площадке

провайдера услуг безопасности

Процессы Методология

разрабатывается и

совершенствуется

собственными силами

Методология может быть

разработана с привлечением

внешнего подрядчика

Методология от провайдера услуг

безопасности

Финансы

Значительные

первоначальные

финансовые вложения

Средние уровень вложений

ввиду их частичного переноса в

ежегодные арендные платежи за

услуги внешнего SOC

Меньшие ежегодные платежи за

аренду техники и услуг

стороннего SOC, по сравнению с

разовыми вложениями в

постройку собственного SOC

Операционная модель

Информация об ИТ-активах

Информация об обнаруженных

уязвимостях в ИТ-активах

Информация об ИТ-активах

Информация о планах

мероприятий

Информация о выявленных

инцидентах ИБ

ИКТ-инфраструктура Предприятия

Серверы (AD, БД, приложений, веб и др.)

Сетевое оборудование(МЭ, IPS/IDS, роуутеры, коммутаторы и др.

АРМ (рабочие станции)

Средства инвентаризации, мониторинга и анализа

Информационно-аналитическая панельдля руководства (BI, DashBoard, Reports)

Анализ сложных инцидентов ИБ и формирование планов реагирования на

инциденты (UseCase)

ВЫСШЕЕ РУКОВОДСТВО И РУКОВОДСТВО ИБ

Анализ и принятие управленческих решений на основании статистической и аналитической информации

РУКОВОДСТВО ИБ И СПЕЦИАЛИСТЫ ИБ И ИТ

Идентификация объектов защиты и учет их взаимосвязей с бизнес-процессами организации

Оценка критичности активов Управление инцидентами ИБ Формирование модели угроз ИБ Управление рисками ИБ Контроль соответствия текущего состояния ИБ

требуемому уровню

СПЕЦИАЛИСТЫ ИБ И ИТ

Сбор информации о СрЗИ и ИТ-инфраструктуре

Сбор и анализ событий ИБ Контроль предоставления прав доступа и

построение текущей матрицы доступа Мониторинг состояния ИТ-инфраструктуры Поиск уязвимостей ИБ Предоставление информации в подсистемы

КСУИБ

Обмен данными о конфигурационных

единицах, инцидентах ИБ, запуск сценариев

реагирования на инциденты ИБ

КОМПЛЕКСНАЯ СИСТЕМА УПРАВЛЕНИЯ ИБ (КСУИБ)(Единая платформа управления ИБ)

Подсистема управления

инцидентами ИБ(IRP/SOAR)

Подсистема оценки соответствия требованиям по ИБ

Подсистемакатегорирования

объектов КИИ

Ядро КСУИБ

Подсистема управления уязвимостями

Подсистема паспортизации и

классификации ОЗ

Подсистема информационного

обмена с вышестоящим центром ГосСОПКА

- внешний SOC (2,3 линии) / провайдер услуг безопасности (MSSP)

- киберразведка (Threat Intelligence)

- охота за угрозами (ThreatHunting)- другие сервисы

Обмен данными об инцидентах и

компьютерных атаках

ГосСОПКА(ФСБ России)

Рекомендации, требования,

помощь в расследовании

инцидентов

Системаинвентаризации

Информация о событиях ИБ

Информация об ИТ-активах

Информация об уязвимостях в ИТ-активах

Система сбора, анализа и корреляции

событий ИБ (SIEM)

Система анализа защищённости и

контроля требований

Информация об инцидентах ИБ

Средства защиты информации(АВЗ, защита от НСД и др.)

Сервисы ИТ-блока

Система поддержки пользователей (сервис-деск)

Запуск сценариев реагирования на инциденты ИБ

Система управления сложными компьютерными системами и службами

(оркестровка)

Система управления конфигурационными единицами

(CMDB)

Иные системы безопасности

(UEBA, DataLake, SandBox и др.)

Обогащение карточки

инцидента ИБ

ВНЕШНИЕ СЕРВИСЫ И УСЛУГИ

Операционная модель гибридного NG SOC

Технологии

источники данных

Asset Management,

BigData (DataLake)

Threat Intelligence,

SIEM, UEBA, Sandbox

IRP, SOAR,

Threat Hunting

BI, Dashboards,

Reports

Network Devices, Security Devices, Applications, Endpoints

Next

Generation

SOC

Вовлечение ИТ-блока

и Бизнеса в обеспечение ИБ

Сокращение времени реакциии повышение производительноститруда персонала

Рост эффективности обнаружения и детектирования новых угроз, в т.ч. неизвестных (нулевого дня)

Управление ИТ-активами,

проведение расследований и

ретроспективный анализ

больших данных

сбор, хранение и управление данными

мониторинг и анализ данных

автоматизация и реагирование

визуализация и отчетность

Единая платформа управления ИБ в NG SOC

Значительное рост числа СрЗИ и

внешних сервисов:

Структурированная информация о

событиях ИБ.

Смежные события – антифрод,

физическая безопасность,

поведенческий анализ и др.

Неструктурированная информация

– хантинг, соцсети, пресса,

публикации и др.

Широкий обмен информацией

безопасности внутри и вовне:

Смежные отделы/службы – ИТ-блок, борьба с мошенничеством, финансовый мониторинг, физическая и экономическая безопасность и др.

Внешние организации -

отраслевой/ведомственный

CERT/SOC, регуляторы,

правоохранительные органы и др.

Технологии

Команда (персонал)

Люди – самый ценный актив SOC

Ключевые аспекты в NG SOC:

автоматизация работы персонала

правильно выстроенная организационная модель

значительный рост коммуникаций как внутри Компании так и с внешними Организациями

Автоматизация работы персонала

автоматизация позволит повысить производительность труда

повторяющиеся задачи нужно автоматизировать

освободившееся время нужно использовать для других задач

автоматизация не преследует цель сократить персонал

автоматизацию нужно совершенствовать

Роли и функции персонала

3 линияПроактивный поиск угроз (hunting) и продвинутая форензика

2 линияГлубокий анализ и восстановление

1 линияБыстрое реагирование и восстановление

АвтоматизацияАвтоматическое расследование и реагирование

Известные атаки

Сложные инциденты ИБ

и подготовка UseCase

Стандартный путь

реагирования (UseCase)

Внешний

SOC

Собственный

SOC

Процессы и методология

Ключевые аспекты в NG SOC:

ИТ-блок и Бизнес вовлечены

в обеспечение ИБ

Команда SOC обеспечивает: Мониторинг угроз посредством

сценариев (Use Case) и правил SIEM

Обнаружение угрозы и регистрацию инцидента

Реагирование на инцидент согласно приоритетам

Результаты внедрения NG SOCПроблемы Решение

Нехватка квалифицированных кадров и

Профессиональное выгорание сотрудников

Привлечение услуг провайдера безопасности

(2,3 линия), автоматизация действий персонала

(IRP, UseCase)

Множество разрозненных инструментов Архитектура построена на изначально

интегрированной платформе управления

информационной безопасностью

Слабая автоматизация и отсутствие оркестрации,

Низкая скорость реакции на инциденты ИБ,

Отсутствие возможности прямого реагирования

Автоматизация реагирования на инциденты ИБ

(SOAR), применение средств оркестрации

внешними системами

Усложнение атак и рост квалификации

атакующих, Снижение эффективности базового

набора мер защиты (антивирусы, IPS/IDS и др.)

Подключение к Единой платформе управления

ИБ подписочных сервисов и новых

технологических решений (TI, TH, UEBA,

SandBox, SecurityDataLake и др.)

ИТ и ИБ(SOC) работают независимо Совместная работа в Единой платформе

управления ИБ и вывод результатов в BI

Преимущества NG SOC

Рост производительности

Сокращение времени реакции на инциденты ИБ

Повышение эффективности борьбы с новыми угрозами

Широкое вовлечение ИТ-блока и Бизнеса в задачи обеспечения ИБ

Выполнение требований регуляторов (ФСТЭК и ФСБ)

Ключевые шаги по созданию NG SOC

Определение модели NG SOC

Выбор единой платформы управления ИБ

Пилотирование и оценка совместимости

технических решений из стека

технологий NG SOC

Подготовка технического проекта

Внедрение решений согласно проекту

Подключение внешних услуг и сервисов

КОМПАНИЯ ICL СИСТЕМНЫЕ ТЕХНОЛОГИИ ВАШ НАДЕЖНЫЙ ПАРТНЕР В ПОСТРОЕНИИ SOC

Создание центров кибербезопасности ИБ (SOC), центров

ГосСОПКА

Платформа управления ИБ собственной разработки

Собственный SOC-центр (Security Operation Center)

Создание Комплексных систем защиты информации(КСЗИ),

в т.ч. систем обеспечения ИБ объектов КИИ

Опыт и экспертиза в области ИБ – более 25 лет

СПАСИБО ЗА ВНИМАНИЕ!

Компания ICL Системные технологии

420029, Казань, Сибирский тракт, 34

Телефон: +7(843) 279-58-23

Факс: +7(843) 279-49-05

Электронная почта: info@icl.kazan.ru

Веб-сайт: www.icl.ru