"Сочные"мифы. Заблуждения, связанные с soc

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

«Сочные» мифыЗаблуждения, связанные с SOC

Алексей ЛукацкийБизнес-консультант по безопасности27 мая 2016 года

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

SOC Tour в США

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3

Реклама SOC в США

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4

Такое бывает только на картинках

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5

Это не так красиво, как на постановочных кадрах

• Если SOC решает функции управления, реагирования и администрирования, то это

Фото  не  для  публичного  показа

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6

Повседневная работа отличается от картинок

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7

Красиво и эффективно?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8

Динамические карты атак. А зачем?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9

Все SOC одинаковы

Фото  не  для  публичного  показа

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10

Все SOC одинаковы

Фото  не  для  публичного  показа

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11

Размер имеет значение

Visa's  Operations  Center  East

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12

SOC должен быть физическим

• В SOC важно не физическое местоположение, а люди и выстроенные процессы

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13

Threat  IntelligenceFeeds

Обогащенные  данные

SOC – это SIEM

Full  packet  capture

Protocol  metadata

NetFlow

Machine  exhaust  (logs)

Неструктурированная  телеметрия

Другая  потоковая  телеметрия

Parse  +  

Format

Enrich Alert

Log  Mining  and  Analytics

Big  Data  Exploration,Predictive  Modelling

Network  Packet  Mining  and  PCAP  

Reconstruction

Приложения  +  аналитика

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14

Люди Данные

Технологии

SOC – это технологическое решение / система

Аналитика

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15

Не все SOC одинаково полезны

Известные  угрозыРазнообразиеЗрелость80%  решений

Deterministic  Rules-­Based  Analytics  (DRB)

Statistical  Rules-­Based  Analytics  (SRB)

Data  Science-­Centric  Analytics  (DSC)

ТюнингКонтекстПолиморфизмBig  Data

Обнаружение  аномалийПрогнозирование

Ложные  срабатыванияОдномерностьХранение

Озера  данныхОбщая  модель  данныхКлассификация  событийПрофили  поведения

Ориентация  на  конкретные  задачиПривязан  к  заказчику

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16

Учет цепочки реализации атаки (Kill Chain)Recon Weaponize Deliver Exploit Install C&C Action

DGA Model

Typosquatting Model

SRBDRB DSC-U

Scan Analysis

Static Malware Family Classifier

Dynamic Malware Family Model

Attribution Model Alerts ClusteringAsset Categorization

Dossier Creation

User Behavioral Model

Asset Behavioral Model

Protocol Anomaly Detection

Burst Detection

DSC-S

Horizontal Movement Anomaly Detection

Frequency Domain

Hash Signature Rules

IP Blacklist Rules

Trend Forecasting

Session Anomaly Detection

User Categorization Forensic Rules

Compliance Rules

User Sentiment Model

Social Media Mining

Exfiltration Policy

HTTP Attack Rules

ASN Belief Networks Computer Vision – Binary/GUI

SPAM Classifier

Javascript Clustering

FastFlux DetectorSocial Network Scraper

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17

Внешний SOC позволяет реагировать на инциденты ИБ

Модель  CAPEX Модель  OPEXВладение  средствами  защиты Заказчик Провайдер  SOCВладение  средствами  мониторинга Провайдер  SOC Провайдер  SOCЛицо,  принимающее  решение по  инцидентам Заказчик Провайдер  SOCВладение средствами  контроля  состояния  и  поддержки  средств защиты Заказчик Провайдер  SOC

Управление  жизненным  циклом  средств  защиты  (например,  замена,  регламентные  работы) Заказчик Провайдер  SOC

• SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не реагированием на нихЭто неверная трактовка, но именно в этом случае миф является правдой

• В полноценном SOC помимо функции мониторинга возможна реализации и других функций ИБ и администрирования

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18

SOC может бороться с инцидентами

• У вас определено понятие «инцидента ИБ»?

• Что для вас норма, а что нет? Как вы проводите границу?

• Знаете ли вы кто, куда, когда, зачем и как имеют доступ в вашей сети?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19

SOC борется с уже произошедшими событиями

• «Hunting Team», которые ищут индикаторы компрометации и предварительные следы несанкционированной активности

• Red/Blue Team проводят реальные попытки взлома организации до того, как это сделают злоумышленники

• Учет цепочки реализации атаки

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20

В SOC работают квалифицированные специалисты

• Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков?

• Уровень квалификации зависит от линии поддержки

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21

Cisco SOC

РАЗВЕДКА  &  ИССЛЕДОВАНИЯ

АНАЛИТИКА

26ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ

network   logs system  logs user  attribution analysis  tools case  tools deep  packet  

analysiscollaboration  

tools intel  feeds

РАССЛЕДОВАНИЯ

4APT

1422

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22

NATO NCIRC

Данные  не  для  публичного  показа

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23

Все SOCи имеют документированные процедуры

• Ad-Hoc: Процессы типично недокументированы и неконтролируемы. Реализация минимума по мере необходимости

• Повторяемый, но недисциплинированный: Процессы повторяются с более предсказуемыми результатами

• Контролируемый: операции четко определены и документированы и регулярно подвергаются пересмотру и совершенствованию

• Оптимизированный: Активности стандартизованы и вводя показатели деятельности для оценки эффективности

• Адаптивный: основное внимание уделяется постоянному совершенствованию процессов

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24

SOC может вариться в собственном соку

Intel

Signature

Flows

Intel

Signature Behavior

Flows

Intel

Signature

В  прошлом 2012 2013

Необходимо  использовать  различные  способы  изучения  угроз  Сетевые  потоки  | Поведение  | Сигнатуры  |  Исследования  

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25

Правила корреляции – это нетрудно

• Кто должен создавать правила корреляции – поставщик услуг или заказчик?

• Надо ли иметь опыт проведения пентестови атак для создания адекватных правил?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26

Надо собирать все данные для анализа

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27

Можно нормализовать все данные и снизить объем хранилища

Image:  http://www.pn-­design.co.uk/design_blogs/images/resolution-­as-­mosaic.jpg

• Детальные данные могут понадобиться при проведении расследований и передаче дела в следственные органы

• Детальные данные потребуют больших системных ресурсов для хранения, индексации, поиска и формирования отчетов

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28

Аутсорсинговый SOC дороже

• При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к операционным

Требования Ожидаемые  ежегодные затраты

Ежегодные затраты  на  внешний  SOC

Персонал  SOC  – 11 человек• 3  смены  аналитиков  ИБ  для  мониторинга  24x7• Также  требуется:  Менеджер  SOC,  системные  администраторы и  аналитики  инцидентов

$1,100,000 Включено

Оборудование*,  лицензии  на  ПО*,  поддержка, инфраструктура  SOC $960,000 Включено

Подписка  на  Threat Intelligence $200,000 Включено

Real  Time  Analytics Engine  (базируется  на Hadoop  2.0)  – машинное  обучение,  анализ  графов,  обнаружение   аномалий  

$1M+ Включено

Разработка  Workflow, процессы  и  методология  автоматизации ? Включено

ВСЕГО $3M+ $2,000,000

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29

Пишите  на  security-­request@cisco.com

Быть  в  курсе  всех  последних  новостей  вам  помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-­Russia-­3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30

Благодарюза внимание