Эльман Бейбутов

Толкатель бизнеса аутсорсинга ИБ

solarsecurity.ru +7 (499) 750-07-70

Про Solar Security

3

Основные факты

Компания Solar Security разработчик ПО и провайдер

сервисов ИБ

Компания Solar Security основана компанией

«Инфосистемы Джет» – интегратором № 1 по

информационной безопасности на коммерческом рынке

Solar Security – это команда с двадцатилетним опытом

разработки продуктов и собственная исследовательская

лаборатория по анализу и прогнозированию инцидентов

информационной безопасности

Security as a Service == JSOC

Только представьте себе на минуту…

Позиционирование JSOC

• Подключение к сервисам ИБ здесь и сейчас, вместо проектирования, внедрения, обучения и эксплуатации собственных систем

• Агрегация компетенций, партнерских связей и лучших технологий в едином поставщике

Представление об аутсорсинге ИБ

• Мы первые в России развили идеи аутсорсинга SOC до первых коммерческих подключений к центру мониторинга инцидентов

• В-первую очередь интересно предлагать емкие аналитические темы

• Мы гарантируем выполнение SLA по реагированию и разбору инцидентов

Позиционирование Solar Security и JSOC

Опыт MSSP заграницей*

• Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN)

• Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом

Сервисы, доступные за рубежом

• Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection)

• SIEM as a Service (не путать с SOC!)

• Практически не встречается – SOC as a Service

Малодоступные услуги западных MSSP

*Gartner, MSSP report, декабрь 2014

Почему аутсорсинг стал интересен в России

От SIEM к SOC – Дорогу осилит смотрящий?• Когда-то мы внедрили более 35 SIEM

• «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека

• Примерно 80% компаний так и не построили SOC

• У 20% компаний через год обнаружились сложности с доступом в консоль SIEMиз-за забытых логинов и паролей

• Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО

Мы по-настоящему гордимся теми клиентами, которые смогли построить SOC сами!

Зрелость SOC в России

Уровень зрелости SOC по индустриям

Количество выполненных проектов по SIEM с 2010 года

Почему это стало важным

Переход на APT – Кто еще не стал жертвой киберпреступности?

• «Рынок антивирусов умер» (с) вице-президент Symantec, 2014

• Взлет рынка «песочниц» для автоматического анализа ПО

• Смещение акцентов на атаки против инфраструктуры конкретной компании

Неудобные вопросы, но всё же…

Мониторинг инцидентов

Вы потратили 200K$ на SIEM, а сколько критичных

инцидентов в месяц вы выявляете и разбираете?

Говорят, что опытный специалист по SIEM – на вес

золота. Сможете ли вы удержать сотрудника в

компании после года его стажировок и практики?

Администрирование систем ИБ

У вас около 15 решений в области ИБ, а штат

сотрудников – не более 5 человек. Они успевают хотя бы обновлять версии систем безопасности, не говоря уже о тонкой настройке правил?

Как быстро вы обычно регистрируете сбой в

системах ИБ? Как вы думаете, обо всех ли сбоях становится

вам известно?

Анализ кода приложений

Правда ли, что безопасность мало вовлечена в процесс

разработки кода, а инциденты взлома

приложений приходится разбирать пачками?

Не так то просто найти специалиста ИБ, сильного в

программировании? Да, впрочем, и наоборот тоже

solarsecurity.ru +7 (499) 750-07-70

Почему используют аутсорсинг

11

Проблемы, решаемые JSOC

Дорого и долго строить полноценный SOC внутри компании

Сложно найти готовых специалистов, способных противостоять таргетированным атакам

Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ

ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность

Необходимость обеспечения защиты web-приложений, в том числе от DDoS

У нас есть, что предложить…

• Мониторинг инцидентов

• Противодействие киберпреступности

• Контроль защищенности

• Эксплуатация систем ИБ

• Анализ кода приложений

• Защита web-приложений

• Анти-DDoS

Предлагаем SECaaS

Архитектура сервисов JSOC

Команда JSOC

Группа разбора инцидентов

Руководитель

департамента JSOC

(Дрюков В.)

Группа администрирования

Группа развития JSOC(пресейл-аналитик,архитектор,

ведущий аналитик)

Инженеры реагирования и

противодействия – 11*5

(Москва, 2 человека)

Инженеры мониторинга – 24*7

(Нижний Новгород, 7 человек)

2-ая линия

администрирования – 11*5

(Москва, 3 человека)

1-ая линия

администрирования -24*7

(Нижний Новгород, 8 человек)

Выделенные аналитики

(Москва, 3 человека)

Группа управления качеством(сервис-менеджеры,

4 человека)

Администраторы ИБ

(Москва, 2 человека)

JSOC: Мониторинг инцидентов –если SIEM нет

Как это выглядит:1. Оборудование и лицензии – арендная схема

2. Мониторинг и анализ инцидентов – силами JSOC

3. Подключение – установка сервера коннекторов и настройка источников

Преимущества:• Нет стартовых капитальных вложений

• Быстрый запуск услуги – до 1,5 месяцев

• Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня

• Агрегация информации об угрозах в одном центре мониторинга

JSOC: Мониторинг инцидентов –если ArcSight уже есть

Как это выглядит:1. Оборудование и лицензии – в собственности

клиента

2. Правила SIEM обогащаются сценариями JSOC

3. Команда JSOC анализирует все инциденты в SIEM

Преимущества:• Обновление SIEM, тюнинг источников под задачи

• Более 1500 корреляционных правил, объединенных в 174 таргетированныхсценариев инцидентов ИБ

• Мониторинг и разбор инцидентов в режиме 24х7 при полном соблюдении гарантированного уровня SLA

JSOC – Противодействие киберпреступности

Как это выглядит:1. Мы сообщим о том, что ваши учетные записи

были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации

2. Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky

3. Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов

Преимущества:• Наиболее релевантная российскому рынку информация об атаках, основанная на

информации бот-сетей и сенсорах, установленных в компаниях

• Информирование об атаке, когда она случилась у других, а не у вас

• Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка

JSOC – Эксплуатация систем ИБ

Как это выглядит:Обеспечение работоспособности систем ИБ:

– Мониторинг «здоровья» систем, восстановление работоспособности;

– Обновление версий, администрирование и профилактика

Эксплуатация систем ИБ:– Администрирование, разработка и

оптимизация политик;

– Оповещение о новых угрозах и обновление сигнатур

Преимущества:• Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной

смены специалистов JSOC;

• Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности;

JSOC – безопасность внешних сервисов

Как это выглядит:Защита от DDoS

– Мониторинг атак и переключение трафика на очистку в облако Kaspersky

– Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor

Web application firewall– Предоставление WAF в аренду с полным

администрированием из JSOC

– Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек

Преимущества:• Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и

конфиденциальность

• Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз

JSOC - Контроль защищенности

Как это выглядит:• Инвентаризация систем• Инструментальный анализ уязвимостей• Адаптация отчетов о сканировании• Формирование конечных рекомендаций для ИТ-

специалистов по устранению критичных уязвимостей

• Сопровождение устранения уязвимостей• Регулярная оценка защищённости от zero-day

Преимущества:• Получение реальной картины уязвимостей инфраструктуры с учетом всех

особенностей архитектуры

• Технический и организационный контроль процесса закрытия уязвимостей ИТ-службами

• Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования

JSOC – Анализ кода

Как это выглядит:• Проверка исходного кода Java, PHP, C# и

более десятка других языков по запросу

• Анализ безопасности мобильных приложений iOS, Android по бинарному файлу

• Встраивание проверки безопасности кода в процесс разработки ПО в компании

Преимущества:• Результаты анализа предоставляются в формате конкретных рекомендаций по устранению

уязвимостей кода приложений с оценкой трудоемкости исправлений;

• Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода;

• Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших

solarsecurity.ru +7 (499) 750-07-70

Что дороже аутсорсинг или инсорсинг?

Подключайтесь к JSOC!

Среди наших клиентов• Лето-банк• УБРиР

Среди наших партнеров

• Kaspersky lab

• Group-IB

Ваши вопросы?

Отвечаю за развитие бизнеса JSOC

• Эльман Бейбутов

• +7 985 721 66 22

• e.beybutov@solarsecurity.ru