2.про soc от solar security
TRANSCRIPT
![Page 1: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/1.jpg)
Опыт построения и эксплуатации
коммерческого SOC
Владимир Дрюков
руководитель JSOC
![Page 2: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/2.jpg)
solarsecurity.ru +7 (499) 755-07-70
SOC – определения
2
![Page 3: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/3.jpg)
solarsecurity.ru +7 (499) 755-07-70
Функции SOC
3
Готовность к отражению атаки –
контроль защищенности инфраструктуры Выявление и устранение уязвимостей
Контроль конфигураций сетевого оборудования
Обеспечение полноты покрытия и функционала СЗИ
Своевременное выявление «болевых точек» инфраструктуры
и бизнес-процессов
Сбор информации по киберугрозам,
разработка мер выявления и противодействия
Управление инцидентами: Своевременное выявление и анализ атаки (как внешней,
так и внутренней)
Оперативное противодействие (в течении нескольких часов или быстрее)
Выработка мер по неповторению инцидента
Технический контроль compliance: Внутренний анализ рисков и политика ИБ
Требования регуляторов
![Page 4: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/4.jpg)
solarsecurity.ru +7 (499) 755-07-70
Функции SOC, которые можно передать
на аутсорсинг
4
Готовность к отражению атаки –
контроль защищенности инфраструктуры Выявление и устранение уязвимостей
Контроль конфигураций сетевого оборудования
Обеспечение полноты покрытия и функционала СЗИ
Своевременное выявление «болевых точек» инфраструктуры
и бизнес-процессов
Сбор информации по киберугрозам,
разработка мер выявления и противодействия
Управление инцидентами: Своевременное выявление и анализ атаки (как внешней,
так и внутренней)
Оперативное противодействие (в течении нескольких часов или быстрее)
Выработка мер по неповторению инцидента
Технический контроль compliance: Внутренний анализ рисков и политика ИБ
Требования регуляторов
![Page 5: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/5.jpg)
solarsecurity.ru +7 (499) 755-07-70
JSOC – TTX
5
26клиентов
192инцидента ИБ
в день
82системы ИБ
в эксплуатации
80+запросов эксплуатации
в день
10 минВремя реакции
на инцидент
30 минВремя анализа/
противодействия
Основные сервисы:
Мониторинг и реагирование на инциденты
Контроль защищенности инфраструктуры
Защита онлайн сервисов
Эксплуатация систем ИБ
![Page 6: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/6.jpg)
Стартовые показатели JSOC:
ДВА инженера мониторинга
Аналитик
Руководитель направления
ДВА сервера в кластерной конфигурации
ОДИН заказчик, ТРИ пилотных проекта
Работа 8*5
Время реакции – 30 МИНУТ
Время анализа – 2 ЧАСА
solarsecurity.ru +7 (499) 755-07-70 5
![Page 7: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/7.jpg)
solarsecurity.ru +7 (499) 755-07-70
JSOC – основные вехи
7
Q3-Q4 2012 Первые сервисы
проактивной безопасности
8 авг 2013 запуск 24*7
14 апр 2013 Официальное
рождение JSOC
6 мая 2014 Первый эффективный
кейс бизнес-мониторинга
(26 Use Case, 3 связанные
бизнес-системы)
10 сент 2014 Столкновение с APT
30 апр 2015Запуск мониторинга
критичной инфр-ры
клиента за 4 дня
![Page 8: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/8.jpg)
solarsecurity.ru +7 (499) 755-07-70
5 граблей на пути к SOC
8
Можно доверять «ноу-хау»
и практикам вендоров
1-я линия может работать
по базовым инструкциям
Нужно контролировать длинные
векторы атаки
Репутационные базы вендоров –
просто и удобно
ИТ и ИБ заказчика все знает
о своей инфраструктуре и процессах
![Page 9: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/9.jpg)
solarsecurity.ru +7 (499) 755-07-70 9
Инфраструктура JSOC
![Page 10: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/10.jpg)
solarsecurity.ru +7 (499) 755-07-70
Оргструктура JSOC
10
Группа разбора инцидентов
Руководитель департамента JSOC
Группа эксплуатации
Группа развития JSOC
(пресейл-аналитик, архитектор,
ведущий аналитик)
Инженеры реагирования
и противодействия – 12*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(НН, 6 человек)
2-ая линия
администрирования – 12*5
(Москва+НН, 5 человек)
1-ая линия
администрирования – 24*7
(НН, 6 человек)
Выделенные аналитики
(Москва+НН, 5 человек)
Группа управления качеством
и бизнес-анализа(сервис-менеджеры,
4 человека)
Администраторы ИБ – эксперты
(Москва, 2 человека)
![Page 11: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/11.jpg)
solarsecurity.ru +7 (499) 755-07-70
Процессы JSOC
11
![Page 12: 2.про soc от solar security](https://reader031.vdocuments.pub/reader031/viewer/2022021918/589e36781a28ab07478b4983/html5/thumbnails/12.jpg)
solarsecurity.ru +7 (499) 755-07-70
Задачи JSOC
12
Быстрое предоставление функции безопасности
клиенту
Получение объективной картины защищенности
и состояния ИБ компании
Сбор эффективной информация о киберугрозах
и противодействие атакам
Бизнес-анализ ИБ, выявление и контроль
ключевых болевых точек