Security as a Service = JSOC

Security as a Service = JSOC

Эльман Бейбутов,Толкатель бизнеса аутсорсинга ИБ

solarsecurity.ru +7 (499) 755-07-70 2

Про Solar Security

Основные факты Компания Solar Security разработчик ПО и провайдер

сервисов ИБ Компания Solar Security основана компанией

«Инфосистемы Джет» – интегратором № 1 по информационной безопасности на коммерческом рынке

Solar Security – это команда с двадцатилетним опытом разработки продуктов и собственная исследовательская лаборатория по анализу и прогнозированию инцидентов информационной безопасности


Позиционирование JSOC

Представление об аутсорсинге ИБПодключение к сервисам ИБ здесь и сейчас, вместо

проектирования, внедрения, обучения и эксплуатации собственных систем

Агрегация компетенций, партнерских связей и лучших технологий в едином поставщике

Позиционирование Solar Security и JSOCМы первые в России развили идеи аутсорсинга SOC до

первых коммерческих подключений к центру мониторинга инцидентов

В-первую очередь интересно предлагать емкие аналитические темы

Мы гарантируем выполнение SLA по реагированию и разбору инцидентов


Опыт MSSP заграницей*

Сервисы, доступные за рубежомБазовый мониторинг логов и хранение событий

(Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN)Предоставление Software as a Service (Web-, Email-

security, antiDDoS, MDM) в аренду с базовым мониторингом

Малодоступные услуги западных MSSPАнализ хакерской активности в окружении конкретных

компаний-клиентов (APT detection)SIEM as a Service (не путать с SOC!)Практически не встречается – SOC as a Service

*Gartner, MSSP report, декабрь 2014


Почему аутсорсинг стал интересен в России

От SIEM к SOC – Дорогу осилит смотрящий? Когда-то мы внедрили более 35 SIEM «В среднем по больнице» на стороне наших клиентов темой

SIEM занимается 0.5 – 1.5 человека Примерно 80% компаний так и не построили SOC У 20% компаний через год обнаружились сложности с

доступом в консоль SIEM из-за забытых логинов и паролей

Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО

МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ,

КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!


Зрелость SOC в России

Количество выполненных проектов

по SIEM с 2010 года

Уровень зрелости SOC по индустриям,

по 5-ти бальной шкале

17

6

3

3

13 Финансы

ТЭКГоссекторТелекомРитейлИТ-сервисы

0 0.5 1 1.5 2 2.5

ИТ-сервисы

ТЭК

Финансы

Госсектор

Ритейл

Телекомы


Почему это стало важным

Переход на APT – кто еще не стал жертвой киберпреступности?«Рынок антивирусов умер» (с) вице-президент

Symantec, 2014Взлет рынка «песочниц» для автоматического анализа

ПОСмещение акцентов на атаки против инфраструктуры

конкретной компании


Неудобные вопросы, но всё же…

Мониторинг инцидентов

Вы потратили 200K$ на SIEM, а сколько критичных инцидентов в месяц вы выявляете и разбираете?

Говорят, что опытный специалист по SIEM – на вес золота. Сможете ли вы удержать сотрудника в компании после года его стажировок и практики?

Администрирование систем ИБ

У вас около 15 решений в области ИБ, а штат сотрудников – не более 5 человек. Они успевают хотя бы обновлять версии систем безопасности, не говоря уже о тонкой настройке правил?

Как быстро вы обычно регистрируете сбой в системах ИБ? Как вы думаете, обо всех ли сбоях становится вам известно?

Анализ кода приложений

Правда ли, что безопасность мало вовлечена в процесс разработки кода, а инциденты взлома приложений приходится разбирать пачками?

Не так то просто найти специалиста ИБ, сильного в программировании? Да, впрочем, и наоборот тоже


Почему используют аутсорсинг

132%

222%

318%

412%

510%

66%

НЕХВАТКА ПЕРСОНАЛА

ОРГАНИЗАЦИЯСЕРВИСОВ 24*7

НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ

НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ

СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ

СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ

solarsecurity.ru +7 (499) 755-07-70

Проблемы, решаемые JSOC

Дорого и долго строить полноценный SOC внутри компании

Сложно найти готовых специалистов, способных противостоять таргетированным атакам

Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ

ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность

Необходимость обеспечения защиты web-приложений, в том числе от DDoS

1

2

3

4

5


У нас есть, что предложить…

Контроль защищенности

Противодействие

киберпреступности

Эксплуатациясистем ИБ

Анализ кодаЗащита

web-приложений

Анти-DDoS

Мониторингинцидентов

ПРЕДЛАГАЕМ SECaaS


Архитектура сервисов JSOC


Команда JSOC

Группа разбора инцидентов

Руководитель департамента JSOC (Дрюков Владимир)

Группа администрирования

Группа развития JSOC(пресейл-аналитик,

архитектор, ведущий аналитик)

Инженеры реагирования и противодействия – 11*5

(Москва, 2 человека)Инженеры мониторинга –

24*7(Нижний Новгород, 7

человек)

2-ая линия администрирования – 11*5

(Москва, 3 человека)1-ая линия

администрирования -24*7(Нижний Новгород, 8

человек)

Выделенные аналитики(Москва, 5 человек)

Группа управления качеством

(сервис-менеджеры, 4 человека)

Администраторы ИБ(Москва, 2 человека)


JSOC: Мониторинг инцидентов – если SIEM нет

Как это выглядит: Оборудование и лицензии – арендная схема Мониторинг и анализ инцидентов – силами JSOC Подключение – установка сервера коннекторов

и настройка источников

Преимущества: Нет стартовых капитальных вложений Быстрый запуск услуги – до 1,5 месяцев Перекрестное информирование схожих по инфраструктуре

клиентов об обнаруженных атаках нулевого дня Агрегация информации об угрозах в одном центре мониторинга



JSOC: Мониторинг инцидентов – если ArcSight уже есть

Как это выглядит: Оборудование и лицензии –

в собственности клиента Правила SIEM обогащаются сценариями JSOC Команда JSOC анализирует все инциденты

в SIEM

Преимущества: Обновление SIEM, тюнинг источников под задачи Более 1500 корреляционных правил, объединенных в 174

таргетированных сценариев инцидентов ИБ Мониторинг и разбор инцидентов в режиме 24*7 при полном

соблюдении гарантированного уровня SLA



Факты, преимущества и выгоды

16

Факты

•1-я линия дежурной смены 24х7 обрабатывает более 75 000 событий с подозрением на инциденты в год

•Штат JSOC насчитывает более 30 человек

•Реагирование в течение 15 минут

•Катастрофоустойчивая платформа на ArcSight

•Партнерские соглашения с ведущими CERT и другими аналитическими центрами ИБ для оперативного противодействия киберпреступности

Преимущества

•Более 170 детектируемых векторов атак

•Перекрестное информирование клиентов об обнаруженных атаках

•Использование информации о хакерских группировках, бот-сетях и не доверенных IP-адресах от нескольких ведущих зарубежных и российских аналитических центров

•Мониторинг инцидентов и противодействие киберпреступности в режиме 24х7 при полном соблюдении уровня SLA

Выгоды

•Получение готового сервиса по мониторингу инцидентов без капитальных затрат спустя 1 месяц после подписания контракта

•Compliance в части управления инцидентами, защиты web-приложений и анализа кода

•Информированность и готовность к атакам нулевого дня

•Высвобождение ресурсов своих сотрудников для новых проектов после передачи администрирования систем ИБ в JSOC


JSOC – Противодействие киберпреступности

Как это выглядит: Мы сообщим о том, что ваши учетные записи были

взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации

Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky

Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов

Преимущества: Наиболее релевантная российскому рынку информация об атаках,

основанная на информации бот-сетей и сенсорах, установленных в компаниях

Информирование об атаке, когда она случилась у других, а не у вас Защита на ранних стадиях атаки путем анализа трендов реализации

целевых угроз ИБ в различных сегментах российского рынка

Противодействиекиберпреступнос

ти


JSOC – Эксплуатация систем ИБ

Как это выглядит: Обеспечение работоспособности систем ИБ:

• Мониторинг «здоровья» систем, восстановление работоспособности;

• Обновление версий, администрирование и профилактика Эксплуатация систем ИБ:

• Администрирование, разработка и оптимизация политик;• Оповещение о новых угрозах и обновление сигнатур

Преимущества: Круглосуточное обеспечение мониторинга работоспособности

систем силами дежурной смены специалистов JSOC; Применение лучших практик и высокой экспертизы

команды JSOC для обеспечения вашей безопасности;

Эксплуатация систем ИБ


JSOC – безопасность внешних сервисов

Как это выглядит: Защита от DDoS

• Мониторинг атак и переключение трафика на очистку в облако Kaspersky

• Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor

Web application firewall• Предоставление WAF в аренду с полным администрированием

из JSOC• Подключение к JSOC имеющегося WAF (Imperva, F5)

и эксплуатация/рекомендации настроек

Преимущества: Защита web-сервисов от наиболее распространенных угроз:

атакам на доступность и конфиденциальность Минимальное вовлечение специалистов клиента

и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз

Анти-DDoS

WAF


JSOC – Контроль защищенности

Как это выглядит: Инвентаризация систем Инструментальный анализ уязвимостей Адаптация отчетов о сканировании Формирование конечных рекомендаций для

ИТ-специалистов по устранению критичных уязвимостей Сопровождение устранения уязвимостей Регулярная оценка защищённости от zero-day

Преимущества: Получение реальной картины уязвимостей инфраструктуры с учетом

всех особенностей архитектуры Технический и организационный контроль процесса закрытия

уязвимостей ИТ-службами

Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования

Контрользащищенности


JSOC – Анализ кода

Как это выглядит: Проверка исходного кода Java, PHP, C# и более

десятка других языков по запросу Анализ безопасности мобильных приложений iOS,

Android по бинарному файлу Встраивание проверки безопасности кода

в процесс разработки ПО в компании

Преимущества: Результаты анализа предоставляются в формате конкретных

рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений;

Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода;

Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших

Анализ кода


Гарантии выполнения SLA

22

Параметры сервиса Базовый Расширенный Премиум

Время обслуживания 8*5 24*7 24*7

Время обнаружения инцидента (мин)

Критичные инциденты 15-30 10-20 5-10

Прочие инциденты до 60 до 60 до 45

Время базовой диагностики и информирования заказчика (мин)

Критичные инциденты 45 30 20

Прочие инциденты до 120 до 120 до 90

Время выдачи рекомендаций по противодействию

Критичные инциденты до 2 ч до 1,5 ч до 45 мин

Прочие инциденты до 8 ч до 6 ч до 4 ч


Что дороже аутсорсинг или инсорсинг?


Подключайтесь к JSOC!

Среди наших клиентов Лето-Банк УБРиР

Среди наших партнеров

ОТВЕЧАЮ ЗА РАЗВИТИЕ БИЗНЕСА JSOC

Эльман Бейбутов+7 985 721 66 22

[email protected]

Ваши вопросы?

Security as a Service = JSOC

Technology

Transcript of Security as a Service = JSOC