security as a service = jsoc
Post on 13-Apr-2017
502 Views
Preview:
TRANSCRIPT
Security as a Service = JSOC
Эльман Бейбутов,Толкатель бизнеса аутсорсинга ИБ
solarsecurity.ru +7 (499) 755-07-70 2
Про Solar Security
Основные факты Компания Solar Security разработчик ПО и провайдер
сервисов ИБ Компания Solar Security основана компанией
«Инфосистемы Джет» – интегратором № 1 по информационной безопасности на коммерческом рынке
Solar Security – это команда с двадцатилетним опытом разработки продуктов и собственная исследовательская лаборатория по анализу и прогнозированию инцидентов информационной безопасности
solarsecurity.ru +7 (499) 755-07-70 3
Позиционирование JSOC
Представление об аутсорсинге ИБПодключение к сервисам ИБ здесь и сейчас, вместо
проектирования, внедрения, обучения и эксплуатации собственных систем
Агрегация компетенций, партнерских связей и лучших технологий в едином поставщике
Позиционирование Solar Security и JSOCМы первые в России развили идеи аутсорсинга SOC до
первых коммерческих подключений к центру мониторинга инцидентов
В-первую очередь интересно предлагать емкие аналитические темы
Мы гарантируем выполнение SLA по реагированию и разбору инцидентов
solarsecurity.ru +7 (499) 755-07-70 4
Опыт MSSP заграницей*
Сервисы, доступные за рубежомБазовый мониторинг логов и хранение событий
(Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN)Предоставление Software as a Service (Web-, Email-
security, antiDDoS, MDM) в аренду с базовым мониторингом
Малодоступные услуги западных MSSPАнализ хакерской активности в окружении конкретных
компаний-клиентов (APT detection)SIEM as a Service (не путать с SOC!)Практически не встречается – SOC as a Service
*Gartner, MSSP report, декабрь 2014
solarsecurity.ru +7 (499) 755-07-70 5
Почему аутсорсинг стал интересен в России
От SIEM к SOC – Дорогу осилит смотрящий? Когда-то мы внедрили более 35 SIEM «В среднем по больнице» на стороне наших клиентов темой
SIEM занимается 0.5 – 1.5 человека Примерно 80% компаний так и не построили SOC У 20% компаний через год обнаружились сложности с
доступом в консоль SIEM из-за забытых логинов и паролей
Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО
МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ,
КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!
solarsecurity.ru +7 (499) 755-07-70 6
Зрелость SOC в России
Количество выполненных проектов
по SIEM с 2010 года
Уровень зрелости SOC по индустриям,
по 5-ти бальной шкале
17
6
3
3
13 Финансы
ТЭКГоссекторТелекомРитейлИТ-сервисы
0 0.5 1 1.5 2 2.5
ИТ-сервисы
ТЭК
Финансы
Госсектор
Ритейл
Телекомы
solarsecurity.ru +7 (499) 755-07-70 7
Почему это стало важным
Переход на APT – кто еще не стал жертвой киберпреступности?«Рынок антивирусов умер» (с) вице-президент
Symantec, 2014Взлет рынка «песочниц» для автоматического анализа
ПОСмещение акцентов на атаки против инфраструктуры
конкретной компании
solarsecurity.ru +7 (499) 755-07-70 8
Неудобные вопросы, но всё же…
Мониторинг инцидентов
Вы потратили 200K$ на SIEM, а сколько критичных инцидентов в месяц вы выявляете и разбираете?
Говорят, что опытный специалист по SIEM – на вес золота. Сможете ли вы удержать сотрудника в компании после года его стажировок и практики?
Администрирование систем ИБ
У вас около 15 решений в области ИБ, а штат сотрудников – не более 5 человек. Они успевают хотя бы обновлять версии систем безопасности, не говоря уже о тонкой настройке правил?
Как быстро вы обычно регистрируете сбой в системах ИБ? Как вы думаете, обо всех ли сбоях становится вам известно?
Анализ кода приложений
Правда ли, что безопасность мало вовлечена в процесс разработки кода, а инциденты взлома приложений приходится разбирать пачками?
Не так то просто найти специалиста ИБ, сильного в программировании? Да, впрочем, и наоборот тоже
solarsecurity.ru +7 (499) 755-07-70 9
Почему используют аутсорсинг
132%
222%
318%
412%
510%
66%
НЕХВАТКА ПЕРСОНАЛА
ОРГАНИЗАЦИЯСЕРВИСОВ 24*7
НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ
НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ
СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ
СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ
solarsecurity.ru +7 (499) 755-07-70
Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
1
2
3
4
5
solarsecurity.ru +7 (499) 755-07-70 11
У нас есть, что предложить…
Контроль защищенности
Противодействие
киберпреступности
Эксплуатациясистем ИБ
Анализ кодаЗащита
web-приложений
Анти-DDoS
Мониторингинцидентов
ПРЕДЛАГАЕМ SECaaS
solarsecurity.ru +7 (499) 755-07-70 12
Архитектура сервисов JSOC
solarsecurity.ru +7 (499) 755-07-70 13
Команда JSOC
Группа разбора инцидентов
Руководитель департамента JSOC (Дрюков Владимир)
Группа администрирования
Группа развития JSOC(пресейл-аналитик,
архитектор, ведущий аналитик)
Инженеры реагирования и противодействия – 11*5
(Москва, 2 человека)Инженеры мониторинга –
24*7(Нижний Новгород, 7
человек)
2-ая линия администрирования – 11*5
(Москва, 3 человека)1-ая линия
администрирования -24*7(Нижний Новгород, 8
человек)
Выделенные аналитики(Москва, 5 человек)
Группа управления качеством
(сервис-менеджеры, 4 человека)
Администраторы ИБ(Москва, 2 человека)
solarsecurity.ru +7 (499) 755-07-70 14
JSOC: Мониторинг инцидентов – если SIEM нет
Как это выглядит: Оборудование и лицензии – арендная схема Мониторинг и анализ инцидентов – силами JSOC Подключение – установка сервера коннекторов
и настройка источников
Преимущества: Нет стартовых капитальных вложений Быстрый запуск услуги – до 1,5 месяцев Перекрестное информирование схожих по инфраструктуре
клиентов об обнаруженных атаках нулевого дня Агрегация информации об угрозах в одном центре мониторинга
Мониторингинцидентов
solarsecurity.ru +7 (499) 755-07-70 15
JSOC: Мониторинг инцидентов – если ArcSight уже есть
Как это выглядит: Оборудование и лицензии –
в собственности клиента Правила SIEM обогащаются сценариями JSOC Команда JSOC анализирует все инциденты
в SIEM
Преимущества: Обновление SIEM, тюнинг источников под задачи Более 1500 корреляционных правил, объединенных в 174
таргетированных сценариев инцидентов ИБ Мониторинг и разбор инцидентов в режиме 24*7 при полном
соблюдении гарантированного уровня SLA
Мониторингинцидентов
solarsecurity.ru +7 (499) 755-07-70
Факты, преимущества и выгоды
16
Факты
•1-я линия дежурной смены 24х7 обрабатывает более 75 000 событий с подозрением на инциденты в год
•Штат JSOC насчитывает более 30 человек
•Реагирование в течение 15 минут
•Катастрофоустойчивая платформа на ArcSight
•Партнерские соглашения с ведущими CERT и другими аналитическими центрами ИБ для оперативного противодействия киберпреступности
Преимущества
•Более 170 детектируемых векторов атак
•Перекрестное информирование клиентов об обнаруженных атаках
•Использование информации о хакерских группировках, бот-сетях и не доверенных IP-адресах от нескольких ведущих зарубежных и российских аналитических центров
•Мониторинг инцидентов и противодействие киберпреступности в режиме 24х7 при полном соблюдении уровня SLA
Выгоды
•Получение готового сервиса по мониторингу инцидентов без капитальных затрат спустя 1 месяц после подписания контракта
•Compliance в части управления инцидентами, защиты web-приложений и анализа кода
•Информированность и готовность к атакам нулевого дня
•Высвобождение ресурсов своих сотрудников для новых проектов после передачи администрирования систем ИБ в JSOC
solarsecurity.ru +7 (499) 755-07-70 17
JSOC – Противодействие киберпреступности
Как это выглядит: Мы сообщим о том, что ваши учетные записи были
взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации
Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky
Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов
Преимущества: Наиболее релевантная российскому рынку информация об атаках,
основанная на информации бот-сетей и сенсорах, установленных в компаниях
Информирование об атаке, когда она случилась у других, а не у вас Защита на ранних стадиях атаки путем анализа трендов реализации
целевых угроз ИБ в различных сегментах российского рынка
Противодействиекиберпреступнос
ти
solarsecurity.ru +7 (499) 755-07-70 18
JSOC – Эксплуатация систем ИБ
Как это выглядит: Обеспечение работоспособности систем ИБ:
• Мониторинг «здоровья» систем, восстановление работоспособности;
• Обновление версий, администрирование и профилактика Эксплуатация систем ИБ:
• Администрирование, разработка и оптимизация политик;• Оповещение о новых угрозах и обновление сигнатур
Преимущества: Круглосуточное обеспечение мониторинга работоспособности
систем силами дежурной смены специалистов JSOC; Применение лучших практик и высокой экспертизы
команды JSOC для обеспечения вашей безопасности;
Эксплуатация систем ИБ
solarsecurity.ru +7 (499) 755-07-70 19
JSOC – безопасность внешних сервисов
Как это выглядит: Защита от DDoS
• Мониторинг атак и переключение трафика на очистку в облако Kaspersky
• Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor
Web application firewall• Предоставление WAF в аренду с полным администрированием
из JSOC• Подключение к JSOC имеющегося WAF (Imperva, F5)
и эксплуатация/рекомендации настроек
Преимущества: Защита web-сервисов от наиболее распространенных угроз:
атакам на доступность и конфиденциальность Минимальное вовлечение специалистов клиента
и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз
Анти-DDoS
WAF
solarsecurity.ru +7 (499) 755-07-70 20
JSOC – Контроль защищенности
Как это выглядит: Инвентаризация систем Инструментальный анализ уязвимостей Адаптация отчетов о сканировании Формирование конечных рекомендаций для
ИТ-специалистов по устранению критичных уязвимостей Сопровождение устранения уязвимостей Регулярная оценка защищённости от zero-day
Преимущества: Получение реальной картины уязвимостей инфраструктуры с учетом
всех особенностей архитектуры Технический и организационный контроль процесса закрытия
уязвимостей ИТ-службами
Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования
Контрользащищенности
solarsecurity.ru +7 (499) 755-07-70 21
JSOC – Анализ кода
Как это выглядит: Проверка исходного кода Java, PHP, C# и более
десятка других языков по запросу Анализ безопасности мобильных приложений iOS,
Android по бинарному файлу Встраивание проверки безопасности кода
в процесс разработки ПО в компании
Преимущества: Результаты анализа предоставляются в формате конкретных
рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений;
Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода;
Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших
Анализ кода
solarsecurity.ru +7 (499) 755-07-70
Гарантии выполнения SLA
22
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время обнаружения инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой диагностики и информирования заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи рекомендаций по противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч
solarsecurity.ru +7 (499) 755-07-70 23
Что дороже аутсорсинг или инсорсинг?
solarsecurity.ru +7 (499) 755-07-70 24
Подключайтесь к JSOC!
Среди наших клиентов Лето-Банк УБРиР
Среди наших партнеров
ОТВЕЧАЮ ЗА РАЗВИТИЕ БИЗНЕСА JSOC
Эльман Бейбутов+7 985 721 66 22
e.beybutov@solarsecurity.ru
Ваши вопросы?
top related