security as a service = jsoc
TRANSCRIPT
solarsecurity.ru +7 (499) 750-07-70
Про Solar Security
3
Основные факты
Компания Solar Security разработчик ПО и провайдер
сервисов ИБ
Компания Solar Security основана компанией
«Инфосистемы Джет» – интегратором № 1 по
информационной безопасности на коммерческом рынке
Solar Security – это команда с двадцатилетним опытом
разработки продуктов и собственная исследовательская
лаборатория по анализу и прогнозированию инцидентов
информационной безопасности
Позиционирование JSOC
• Подключение к сервисам ИБ здесь и сейчас, вместо проектирования, внедрения, обучения и эксплуатации собственных систем
• Агрегация компетенций, партнерских связей и лучших технологий в едином поставщике
Представление об аутсорсинге ИБ
• Мы первые в России развили идеи аутсорсинга SOC до первых коммерческих подключений к центру мониторинга инцидентов
• В-первую очередь интересно предлагать емкие аналитические темы
• Мы гарантируем выполнение SLA по реагированию и разбору инцидентов
Позиционирование Solar Security и JSOC
Опыт MSSP заграницей*
• Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN)
• Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом
Сервисы, доступные за рубежом
• Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection)
• SIEM as a Service (не путать с SOC!)
• Практически не встречается – SOC as a Service
Малодоступные услуги западных MSSP
*Gartner, MSSP report, декабрь 2014
Почему аутсорсинг стал интересен в России
От SIEM к SOC – Дорогу осилит смотрящий?• Когда-то мы внедрили более 35 SIEM
• «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека
• Примерно 80% компаний так и не построили SOC
• У 20% компаний через год обнаружились сложности с доступом в консоль SIEMиз-за забытых логинов и паролей
• Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО
Мы по-настоящему гордимся теми клиентами, которые смогли построить SOC сами!
Зрелость SOC в России
Уровень зрелости SOC по индустриям
Количество выполненных проектов по SIEM с 2010 года
Почему это стало важным
Переход на APT – Кто еще не стал жертвой киберпреступности?
• «Рынок антивирусов умер» (с) вице-президент Symantec, 2014
• Взлет рынка «песочниц» для автоматического анализа ПО
• Смещение акцентов на атаки против инфраструктуры конкретной компании
Неудобные вопросы, но всё же…
Мониторинг инцидентов
Вы потратили 200K$ на SIEM, а сколько критичных
инцидентов в месяц вы выявляете и разбираете?
Говорят, что опытный специалист по SIEM – на вес
золота. Сможете ли вы удержать сотрудника в
компании после года его стажировок и практики?
Администрирование систем ИБ
У вас около 15 решений в области ИБ, а штат
сотрудников – не более 5 человек. Они успевают хотя бы обновлять версии систем безопасности, не говоря уже о тонкой настройке правил?
Как быстро вы обычно регистрируете сбой в
системах ИБ? Как вы думаете, обо всех ли сбоях становится
вам известно?
Анализ кода приложений
Правда ли, что безопасность мало вовлечена в процесс
разработки кода, а инциденты взлома
приложений приходится разбирать пачками?
Не так то просто найти специалиста ИБ, сильного в
программировании? Да, впрочем, и наоборот тоже
Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
У нас есть, что предложить…
• Мониторинг инцидентов
• Противодействие киберпреступности
• Контроль защищенности
• Эксплуатация систем ИБ
• Анализ кода приложений
• Защита web-приложений
• Анти-DDoS
Предлагаем SECaaS
Команда JSOC
Группа разбора инцидентов
Руководитель
департамента JSOC
(Дрюков В.)
Группа администрирования
Группа развития JSOC(пресейл-аналитик,архитектор,
ведущий аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
JSOC: Мониторинг инцидентов –если SIEM нет
Как это выглядит:1. Оборудование и лицензии – арендная схема
2. Мониторинг и анализ инцидентов – силами JSOC
3. Подключение – установка сервера коннекторов и настройка источников
Преимущества:• Нет стартовых капитальных вложений
• Быстрый запуск услуги – до 1,5 месяцев
• Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня
• Агрегация информации об угрозах в одном центре мониторинга
JSOC: Мониторинг инцидентов –если ArcSight уже есть
Как это выглядит:1. Оборудование и лицензии – в собственности
клиента
2. Правила SIEM обогащаются сценариями JSOC
3. Команда JSOC анализирует все инциденты в SIEM
Преимущества:• Обновление SIEM, тюнинг источников под задачи
• Более 1500 корреляционных правил, объединенных в 174 таргетированныхсценариев инцидентов ИБ
• Мониторинг и разбор инцидентов в режиме 24х7 при полном соблюдении гарантированного уровня SLA
JSOC – Противодействие киберпреступности
Как это выглядит:1. Мы сообщим о том, что ваши учетные записи
были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации
2. Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky
3. Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов
Преимущества:• Наиболее релевантная российскому рынку информация об атаках, основанная на
информации бот-сетей и сенсорах, установленных в компаниях
• Информирование об атаке, когда она случилась у других, а не у вас
• Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка
JSOC – Эксплуатация систем ИБ
Как это выглядит:Обеспечение работоспособности систем ИБ:
– Мониторинг «здоровья» систем, восстановление работоспособности;
– Обновление версий, администрирование и профилактика
Эксплуатация систем ИБ:– Администрирование, разработка и
оптимизация политик;
– Оповещение о новых угрозах и обновление сигнатур
Преимущества:• Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной
смены специалистов JSOC;
• Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности;
JSOC – безопасность внешних сервисов
Как это выглядит:Защита от DDoS
– Мониторинг атак и переключение трафика на очистку в облако Kaspersky
– Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor
Web application firewall– Предоставление WAF в аренду с полным
администрированием из JSOC
– Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек
Преимущества:• Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и
конфиденциальность
• Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз
JSOC - Контроль защищенности
Как это выглядит:• Инвентаризация систем• Инструментальный анализ уязвимостей• Адаптация отчетов о сканировании• Формирование конечных рекомендаций для ИТ-
специалистов по устранению критичных уязвимостей
• Сопровождение устранения уязвимостей• Регулярная оценка защищённости от zero-day
Преимущества:• Получение реальной картины уязвимостей инфраструктуры с учетом всех
особенностей архитектуры
• Технический и организационный контроль процесса закрытия уязвимостей ИТ-службами
• Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования
JSOC – Анализ кода
Как это выглядит:• Проверка исходного кода Java, PHP, C# и
более десятка других языков по запросу
• Анализ безопасности мобильных приложений iOS, Android по бинарному файлу
• Встраивание проверки безопасности кода в процесс разработки ПО в компании
Преимущества:• Результаты анализа предоставляются в формате конкретных рекомендаций по устранению
уязвимостей кода приложений с оценкой трудоемкости исправлений;
• Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода;
• Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших
Подключайтесь к JSOC!
Среди наших клиентов• Лето-банк• УБРиР
Среди наших партнеров
• Kaspersky lab
• Group-IB
Ваши вопросы?
Отвечаю за развитие бизнеса JSOC
• Эльман Бейбутов
• +7 985 721 66 22