ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … ·...
Transcript of ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … ·...
![Page 1: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/1.jpg)
ISOC: МОНИТОРИНГИ РАССЛЕДОВАНИЕ ИНЦИДЕНТОВИБ НА БАЗЕPT MAXPATROL SIEM
![Page 2: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/2.jpg)
ЗАЧЕМ НУЖЕН SOC
Снижение рисков хищения данных иденежных средств
Обеспечение непрерывности бизнеса
Снижение тяжести последствийинцидентов
ЦЕЛИ
РЕЗУЛЬТАТ
Выявление кибератак на ранних стадиях
Максимально быстрый разборинцидентов в большом количествеинформационных систем
SOCЦентр мониторингаи реагирования наинциденты ИБ
Сотрудники
Процессы
Технологии
![Page 3: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/3.jpg)
ВАРИАНТЫ ПОСТРОЕНИЯ SOC
ВНУТРЕННИЙ SOC
Компания заключает договор спровайдером на сервис SOC с
установленным SLA (Service Level Agreement)
Компания делегируетчасть функций SOC
сервис-провайдеру, остальныефункции поддерживает
самостоятельно
Компания сама или с помощьюконсультантов строит процессы, обучает специалистов, создает
и поддерживает SOC
SOC AS SERVICE ГИБРИДНЫЙ SOC
PT MaxPatrol SIEM+ Консалтинг ISOC
ISOC + PT MaxPatrol SIEM
![Page 4: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/4.jpg)
ВАРИАНТЫ ПОСТРОЕНИЯ SOC. В ЧЕМ РАЗНИЦА
ВНУТРЕННИЙ SOC
$ SIEM (Лицензия)$ Инфраструктура$$ Внедрение системы$$ Сервис 24/7
$$$ SIEM (Лицензия)$$$ Инфраструктура$$ Внедрение системы$$ Сервис 24/7
SOC AS SERVICE ГИБРИДНЫЙ SOC
Скорость внедрения
Стоимость
Преимущества
$$$ SIEM (Лицензия)$$$ Инфраструктура$$$ Внедрение системы$$$ Сервис 24/7
От 12 месяцев 3-4 месяца 6-12 месяцев
Обработка и хранение событий насвоей стороне
Гибкость в предоставлении сервисаОбработка и хранение событий насвоей сторонеГибкость в предоставлении сервиса
![Page 5: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/5.jpg)
ПРЕИМУЩЕСТВА СЕРВИС-ПРОВАЙДЕРА
ЭКОНОМИЯ РЕСУРСОВ
Снижаются затраты (оборудование, персонал) на инфраструктурудля управления инцидентами*
РЕШЕНИЕ ПРОБЛЕМЫ КАДРОВ
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ
Не нужно искать дорогих специалистови обучать своих: сервис сопровождаютпрофильные эксперты
Затраты и сроки внедрения сервисазаранее определены договором спровайдером
* В гибридном варианте на стороне клиента остается SIEM-система. Для сбора и корреляции событий используетсяMaxPatrol SIEM (Positive Technologies)
ФИКСИРОВАННЫЕ SLA
Клиент понимает, как быстро будетобработан инцидент или решенопределенный вопрос
ДОПОЛНИТЕЛЬНЫЕ СЕРВИСЫ
Сервис предоставляется в режиме 24/7, поэтому вся информацияоб угрозах и уязвимостях поступаетсвоевременно
Сервис-провайдер может взятьна сопровождение СЗИи IT-инфраструктуру клиента
ОПЕРАТИВНАЯ РЕАКЦИЯ
![Page 6: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/6.jpg)
ТЕХНОЛОГИЧЕСКАЯ ПЛАТФОРМА
Positive Technologies
25% российского рынка SIEM
MAXPATROL SIEM
Система мониторинга событий ИБ и выявления инцидентовв реальном времени, разработанная компанией Positive Technologies
Полностью российская разработка, имеются сертификатыФСТЭК РФ иМинобороны РФ, входит в реестр отечественного ПО
КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА:
Своевременно детектирует новые типы угроз, получая обновления отэкспертного центра безопасности Positive Technologies (PT ESC)
Лицензирование по количеству активов — а не по потоку событий— позволяетменять источники для мониторинга, выбирать наиболее важные иподключать новые без дополнительных затрат
Автоматически строит топологию сети, что помогает лучше пониматьзащищаемую инфраструктуру, упрощает расследование инцидентов
Большое количество дашбордов позволяет получать самую разнообразнуюинформацию о работе системы
1
2
3
4
5
занялMaxPatrol SIEM в 2017 году (исследование IDC)
100 проектов внедрения
MaxPatrol SIEM и SIEM LE реализовано с 2015 года
230
Бесплатное подключение другихбизнес-систем, в том числеспецифических и самописных
преднастроенных
источников
![Page 7: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/7.jpg)
ТРЕБОВАНИЯ
ТРЕБОВАНИЯ К PT MAXPATROL SIEM
Необходимы лицензии:• MP SIEM Server• MP SIEM Log Collector
ЛИЦЕНЗИИ
Поддерживается версия21 и выше
ВЕРСИЯ
Необходима вендорскаяподдержка PT MaxPatrol SIEM:
коннекторы должны обновляться
ПОДДЕРЖКА
![Page 8: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/8.jpg)
АРХИТЕКТУРА ВЗАИМОДЕЙСТВИЯ
ПРИЕМНИК
СОБЫТИЙ
ЗАЩИЩЕННЫЙКАНАЛ
ИСТОЧНИКИ
СОБЫТИЙ
МОДУЛЬ
АНАЛИТИКИ
ДАШБОРДЫ
ОТЧЕТЫ
УПРАВЛЕНИЕ
ИНЦИДЕНТАМИ
РЕАГИРОВАНИЕ
НА ИНЦИДЕНТЫ
ЗАЩИЩЕННЫЙСЕГМЕНТ
ИНФОСЕКЬЮРИТИ
ISOC IRP (АВТОМАТИЗАЦИЯ)
ГосСОПКАFINCERT
ТЕРМИНАЛЬНЫЙСЕРВЕР
MaxPatrolSIEM
КОННЕКТОР
ISOC
ИС ЗАКАЗЧИКА
![Page 9: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/9.jpg)
ПОДКЛЮЧЕНИЕ К ГОССОПКА
СОГЛАШЕНИЕ МЕЖДУ НКЦКИ И «ИНФОСЕКЬЮРИТИ» ПОЗВОЛЯЕТ НАМ ВЫСТУПАТЬ В РОЛИКОРПОРАТИВНОГО ЦЕНТРА ГОССОПКА КЛАССА «А»
ISOC: передача информации через коннектор
Сервис управления уязвимостями
ISOC: сервисы мониторинга, расследования, реагированияна инциденты
Консалтинг
Анализ событий
Прием сообщений о возможных инцидентах
Регистрация инцидентов
Составление перечня инцидентов
Эксплуатация средств обнаружения и реагирования
Ликвидация последствий
Анализ результатов ликвидации последствий
Установление причин инцидентов (расследование)
Инвентаризация
Выявление уязвимостей
Анализ угроз
Составление и актуализация перечня угроз
Разработка регламентирующих документов
Взаимодействие с НКЦКИ
Подготовка предложений по повышению уровня защищенности
ФУНКЦИИ ЦЕНТРА ГОССОПКА СООТВЕТСТВУЮЩИЕ УСЛУГИ
![Page 10: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/10.jpg)
КАК РАБОТАЕТ СЕРВИС ISOCМОЖНО ВЫБРАТЬ НЕОБХОДИМЫЙ НАБОР УСЛУГ В ЗАВИСИМОСТИ ОТ СВОИХ ПОТРЕБНОСТЕЙ
Мониторинг Реагирование
Автоматическое созданиезаявки в IRP и email-
оповещение
Расширеннооповещениепо телефону
Первичный анализ иобработка инцидента
Применениеконтрмер в
инфраструктуре
Подключениеэксперта к online-
анализу
Расширеннаяподдержка
и консультации
PT MaxPatrolSIEM
PT
![Page 11: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/11.jpg)
ЭКСПЕРТИЗА И ПРОЦЕССЫ ISOC
ЭФФЕКТИВНОСТЬ РАБОТЫ SOC ОБУСЛАВЛИВАЕТСЯ РЯДОМ УНИКАЛЬНЫХ ХАРАКТЕРИСТИК КОМПАНИИ
«ИНФОСЕКЬЮРИТИ»
8 лет управленияинцидентами ИБ
База знаний и use case по обработке инцидентов
Опыт предоставлениясервиса компаниис количеством сотрудниковболее 30.000
Участник FIRST, статус CERT
Соглашение НЦКИ позволяющее выступатьв роли корпоративного центра ГосСОПКА класса«А»
Использование актуальных данныхThreat Intelligence
Более 30 сотрудников, участвующихв мониторинге и реагировании, и более 60 профильных экспертов
![Page 12: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/12.jpg)
КОМАНДА ISOC
ВТОРАЯ ЛИНИЯ ТРЕТЬЯ ЛИНИЯ
ПЕРВАЯ ЛИНИЯ
Мониторинг и оповещение 24/7
Анализ инцидентов 24/7 Расследования 8/5
РАЗРАБОТКА
Платформаи автоматизация
АНАЛИТИКА
Правила реагирования
ЭКСПЛУАТАЦИЯ ISOC
Сопровождениеинфраструктуры ISOC
СЕРВИСЫ ИБ
Реагированиена инциденты 24/7
В команде более 30 экспертов, занимающихся непосредственномониторингом и расследованиями
инцидентов.
Кроме того, с ними в непрерывном режимевзаимодействуют
более 60 профильных инженеровпо различным направлениям
информационной безопасности.
![Page 13: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/13.jpg)
ЭТАПЫ ПОДКЛЮЧЕНИЯ*
1 АНАЛИТИКА И КОНСАЛТИНГ
• Анализ подключенных источников(ОС, СУБД, ПО, СЗИ, сетевое оборудование)
• Оптимизация правил корреляцииPT MaxPatrol SIEM для соответствия нашимполитикам реагирования
2 ОРГАНИЗАЦИЯ КАНАЛОВ СВЯЗИ
• Получение доступов• Настройка защищенного сетевого канала• Настройка защищенного почтового канала
3 ПОДГОТОВКА ИНФРАСТРУКТУРЫ
• Настройка коннектора к PT MaxPatrol SIEM в инфраструктуре заказчика
• Подключение дополнительных источников• Настройка оповещений и доступа к дашбордам
4 СОГЛАСОВАНИЕ ВЗАИМОДЕЙСТВИЯ
• Определение схемы подключения новыхисточников
• Определение схем оповещенияоб инцидентах и эскалации
* При условии наличия внедренной MaxPatrol SIEM у клиента. Мы также можем оказать услугипо развертыванию MaxPatrol SIEM в рамках отдельного проекта.
5 СОГЛАСОВАНИЕ SLA
• Установление режима работы• Определение приоритета и скорости реагированияна инциденты
• Определение параметров и сроков отчетности
6 ВВЕДЕНИЕ В ЭКСПЛУАТАЦИЮ
• Тестирование• Запуск мониторинга событийи реагирования на инциденты
![Page 14: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/14.jpg)
ЦЕНООБРАЗОВАНИЕ
СТОИМОСТЬ СЕРВИСА ISOC РАССЧИТЫВАЕТСЯ ИСХОДЯ ИЗ НЕСКОЛЬКИХ ПАРАМЕТРОВ
Режимыреагирования
и работы третьейлинии
РЕЖИМ ОБРАБОТКА МАСШТАБ
Количествоинцидентовна обработку
Объем инфра-структуры(источники
разных типов)
1 линия
Forensics
2 линия
3 линия
Серверы
СЗИ
Рабочиестанции
Сетевоеоборудо-вание
Первичныйанализ
Реагирование
Экспертныйанализ
Расширеннаяподдержка
и консультации
> 120≤ 120
≤ 120 > 120
≤ 20 > 20
≤ 3 > 3
![Page 15: ISOC: МОНИТОРИНГ ИРАССЛЕДОВАНИЕИНЦИДЕНТОВ … · ТЕХНОЛОГИЧЕСКАЯПЛАТФОРМА Positive Technologies 25% российскогорынкаSIEM](https://reader033.fdocuments.net/reader033/viewer/2022042711/5f8571351b5e0601de5edafa/html5/thumbnails/15.jpg)
in4security.com