"Сочные"мифы. Заблуждения, связанные с soc
Post on 11-Feb-2017
2.815 Views
Preview:
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
«Сочные» мифыЗаблуждения, связанные с SOC
Алексей ЛукацкийБизнес-консультант по безопасности27 мая 2016 года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
SOC Tour в США
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Реклама SOC в США
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Такое бывает только на картинках
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Это не так красиво, как на постановочных кадрах
• Если SOC решает функции управления, реагирования и администрирования, то это
Фото не для публичного показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Повседневная работа отличается от картинок
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Красиво и эффективно?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Динамические карты атак. А зачем?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Все SOC одинаковы
Фото не для публичного показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Все SOC одинаковы
Фото не для публичного показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Размер имеет значение
Visa's Operations Center East
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
SOC должен быть физическим
• В SOC важно не физическое местоположение, а люди и выстроенные процессы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Threat IntelligenceFeeds
Обогащенные данные
SOC – это SIEM
Full packet capture
Protocol metadata
NetFlow
Machine exhaust (logs)
Неструктурированная телеметрия
Другая потоковая телеметрия
Parse +
Format
Enrich Alert
Log Mining and Analytics
Big Data Exploration,Predictive Modelling
Network Packet Mining and PCAP
Reconstruction
Приложения + аналитика
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Люди Данные
Технологии
SOC – это технологическое решение / система
Аналитика
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Не все SOC одинаково полезны
Известные угрозыРазнообразиеЗрелость80% решений
Deterministic Rules-Based Analytics (DRB)
Statistical Rules-Based Analytics (SRB)
Data Science-Centric Analytics (DSC)
ТюнингКонтекстПолиморфизмBig Data
Обнаружение аномалийПрогнозирование
Ложные срабатыванияОдномерностьХранение
Озера данныхОбщая модель данныхКлассификация событийПрофили поведения
Ориентация на конкретные задачиПривязан к заказчику
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Учет цепочки реализации атаки (Kill Chain)Recon Weaponize Deliver Exploit Install C&C Action
DGA Model
Typosquatting Model
SRBDRB DSC-U
Scan Analysis
Static Malware Family Classifier
Dynamic Malware Family Model
Attribution Model Alerts ClusteringAsset Categorization
Dossier Creation
User Behavioral Model
Asset Behavioral Model
Protocol Anomaly Detection
Burst Detection
DSC-S
Horizontal Movement Anomaly Detection
Frequency Domain
Hash Signature Rules
IP Blacklist Rules
Trend Forecasting
Session Anomaly Detection
User Categorization Forensic Rules
Compliance Rules
User Sentiment Model
Social Media Mining
Exfiltration Policy
HTTP Attack Rules
ASN Belief Networks Computer Vision – Binary/GUI
SPAM Classifier
Javascript Clustering
FastFlux DetectorSocial Network Scraper
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Внешний SOC позволяет реагировать на инциденты ИБ
Модель CAPEX Модель OPEXВладение средствами защиты Заказчик Провайдер SOCВладение средствами мониторинга Провайдер SOC Провайдер SOCЛицо, принимающее решение по инцидентам Заказчик Провайдер SOCВладение средствами контроля состояния и поддержки средств защиты Заказчик Провайдер SOC
Управление жизненным циклом средств защиты (например, замена, регламентные работы) Заказчик Провайдер SOC
• SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не реагированием на нихЭто неверная трактовка, но именно в этом случае миф является правдой
• В полноценном SOC помимо функции мониторинга возможна реализации и других функций ИБ и администрирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
SOC может бороться с инцидентами
• У вас определено понятие «инцидента ИБ»?
• Что для вас норма, а что нет? Как вы проводите границу?
• Знаете ли вы кто, куда, когда, зачем и как имеют доступ в вашей сети?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
SOC борется с уже произошедшими событиями
• «Hunting Team», которые ищут индикаторы компрометации и предварительные следы несанкционированной активности
• Red/Blue Team проводят реальные попытки взлома организации до того, как это сделают злоумышленники
• Учет цепочки реализации атаки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
В SOC работают квалифицированные специалисты
• Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков?
• Уровень квалификации зависит от линии поддержки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Cisco SOC
РАЗВЕДКА & ИССЛЕДОВАНИЯ
АНАЛИТИКА
26ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ
network logs system logs user attribution analysis tools case tools deep packet
analysiscollaboration
tools intel feeds
РАССЛЕДОВАНИЯ
4APT
1422
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
NATO NCIRC
Данные не для публичного показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Все SOCи имеют документированные процедуры
• Ad-Hoc: Процессы типично недокументированы и неконтролируемы. Реализация минимума по мере необходимости
• Повторяемый, но недисциплинированный: Процессы повторяются с более предсказуемыми результатами
• Контролируемый: операции четко определены и документированы и регулярно подвергаются пересмотру и совершенствованию
• Оптимизированный: Активности стандартизованы и вводя показатели деятельности для оценки эффективности
• Адаптивный: основное внимание уделяется постоянному совершенствованию процессов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
SOC может вариться в собственном соку
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Правила корреляции – это нетрудно
• Кто должен создавать правила корреляции – поставщик услуг или заказчик?
• Надо ли иметь опыт проведения пентестови атак для создания адекватных правил?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Надо собирать все данные для анализа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Можно нормализовать все данные и снизить объем хранилища
Image: http://www.pn-design.co.uk/design_blogs/images/resolution-as-mosaic.jpg
• Детальные данные могут понадобиться при проведении расследований и передаче дела в следственные органы
• Детальные данные потребуют больших системных ресурсов для хранения, индексации, поиска и формирования отчетов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Аутсорсинговый SOC дороже
• При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к операционным
Требования Ожидаемые ежегодные затраты
Ежегодные затраты на внешний SOC
Персонал SOC – 11 человек• 3 смены аналитиков ИБ для мониторинга 24x7• Также требуется: Менеджер SOC, системные администраторы и аналитики инцидентов
$1,100,000 Включено
Оборудование*, лицензии на ПО*, поддержка, инфраструктура SOC $960,000 Включено
Подписка на Threat Intelligence $200,000 Включено
Real Time Analytics Engine (базируется на Hadoop 2.0) – машинное обучение, анализ графов, обнаружение аномалий
$1M+ Включено
Разработка Workflow, процессы и методология автоматизации ? Включено
ВСЕГО $3M+ $2,000,000
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Благодарюза внимание
top related