"Сочные"мифы. Заблуждения, связанные с soc

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


«Сочные» мифыЗаблуждения, связанные с SOC

Алексей ЛукацкийБизнес-консультант по безопасности27 мая 2016 года


SOC Tour в США


Реклама SOC в США


Такое бывает только на картинках


Это не так красиво, как на постановочных кадрах

• Если SOC решает функции управления, реагирования и администрирования, то это

Фото не для публичного показа


Повседневная работа отличается от картинок


Красиво и эффективно?


Динамические карты атак. А зачем?


Все SOC одинаковы



Размер имеет значение

Visa's Operations Center East


SOC должен быть физическим

• В SOC важно не физическое местоположение, а люди и выстроенные процессы


Threat IntelligenceFeeds

Обогащенные данные

SOC – это SIEM

Full packet capture

Protocol metadata

NetFlow

Machine exhaust (logs)

Неструктурированная телеметрия

Другая потоковая телеметрия

Parse +

Format

Enrich Alert

Log Mining and Analytics

Big Data Exploration,Predictive Modelling

Network Packet Mining and PCAP

Reconstruction

Приложения + аналитика


Люди Данные

Технологии

SOC – это технологическое решение / система

Аналитика


Не все SOC одинаково полезны

Известные угрозыРазнообразиеЗрелость80% решений

Deterministic Rules-Based Analytics (DRB)

Statistical Rules-Based Analytics (SRB)

Data Science-Centric Analytics (DSC)

ТюнингКонтекстПолиморфизмBig Data

Обнаружение аномалийПрогнозирование

Ложные срабатыванияОдномерностьХранение

Озера данныхОбщая модель данныхКлассификация событийПрофили поведения

Ориентация на конкретные задачиПривязан к заказчику


Учет цепочки реализации атаки (Kill Chain)Recon Weaponize Deliver Exploit Install C&C Action

DGA Model

Typosquatting Model

SRBDRB DSC-U

Scan Analysis

Static Malware Family Classifier

Dynamic Malware Family Model

Attribution Model Alerts ClusteringAsset Categorization

Dossier Creation

User Behavioral Model

Asset Behavioral Model

Protocol Anomaly Detection

Burst Detection

DSC-S

Horizontal Movement Anomaly Detection

Frequency Domain

Hash Signature Rules

IP Blacklist Rules

Trend Forecasting

Session Anomaly Detection

User Categorization Forensic Rules

Compliance Rules

User Sentiment Model

Social Media Mining

Exfiltration Policy

HTTP Attack Rules

ASN Belief Networks Computer Vision – Binary/GUI

SPAM Classifier

Javascript Clustering

FastFlux DetectorSocial Network Scraper


Внешний SOC позволяет реагировать на инциденты ИБ

Модель CAPEX Модель OPEXВладение средствами защиты Заказчик Провайдер SOCВладение средствами мониторинга Провайдер SOC Провайдер SOCЛицо, принимающее решение по инцидентам Заказчик Провайдер SOCВладение средствами контроля состояния и поддержки средств защиты Заказчик Провайдер SOC

Управление жизненным циклом средств защиты (например, замена, регламентные работы) Заказчик Провайдер SOC

• SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не реагированием на нихЭто неверная трактовка, но именно в этом случае миф является правдой

• В полноценном SOC помимо функции мониторинга возможна реализации и других функций ИБ и администрирования


SOC может бороться с инцидентами

• У вас определено понятие «инцидента ИБ»?

• Что для вас норма, а что нет? Как вы проводите границу?

• Знаете ли вы кто, куда, когда, зачем и как имеют доступ в вашей сети?


SOC борется с уже произошедшими событиями

• «Hunting Team», которые ищут индикаторы компрометации и предварительные следы несанкционированной активности

• Red/Blue Team проводят реальные попытки взлома организации до того, как это сделают злоумышленники

• Учет цепочки реализации атаки


В SOC работают квалифицированные специалисты

• Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков?

• Уровень квалификации зависит от линии поддержки


Cisco SOC

РАЗВЕДКА & ИССЛЕДОВАНИЯ

АНАЛИТИКА

26ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ

network logs system logs user attribution analysis tools case tools deep packet

analysiscollaboration

tools intel feeds

РАССЛЕДОВАНИЯ

4APT

1422


NATO NCIRC

Данные не для публичного показа


Все SOCи имеют документированные процедуры

• Ad-Hoc: Процессы типично недокументированы и неконтролируемы. Реализация минимума по мере необходимости

• Повторяемый, но недисциплинированный: Процессы повторяются с более предсказуемыми результатами

• Контролируемый: операции четко определены и документированы и регулярно подвергаются пересмотру и совершенствованию

• Оптимизированный: Активности стандартизованы и вводя показатели деятельности для оценки эффективности

• Адаптивный: основное внимание уделяется постоянному совершенствованию процессов


SOC может вариться в собственном соку

Intel

Signature

Flows

Intel

Signature Behavior

Flows

Intel

Signature

В прошлом 2012 2013

Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования


Правила корреляции – это нетрудно

• Кто должен создавать правила корреляции – поставщик услуг или заказчик?

• Надо ли иметь опыт проведения пентестови атак для создания адекватных правил?


Надо собирать все данные для анализа


Можно нормализовать все данные и снизить объем хранилища

Image: http://www.pn-design.co.uk/design_blogs/images/resolution-as-mosaic.jpg

• Детальные данные могут понадобиться при проведении расследований и передаче дела в следственные органы

• Детальные данные потребуют больших системных ресурсов для хранения, индексации, поиска и формирования отчетов


Аутсорсинговый SOC дороже

• При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к операционным

Требования Ожидаемые ежегодные затраты

Ежегодные затраты на внешний SOC

Персонал SOC – 11 человек• 3 смены аналитиков ИБ для мониторинга 24x7• Также требуется: Менеджер SOC, системные администраторы и аналитики инцидентов

$1,100,000 Включено

Оборудование*, лицензии на ПО*, поддержка, инфраструктура SOC $960,000 Включено

Подписка на Threat Intelligence $200,000 Включено

Real Time Analytics Engine (базируется на Hadoop 2.0) – машинное обучение, анализ графов, обнаружение аномалий

$1M+ Включено

Разработка Workflow, процессы и методология автоматизации ? Включено

ВСЕГО $3M+ $2,000,000


Пишите на security-[email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/


Благодарюза внимание

"Сочные"мифы. Заблуждения, связанные с soc

Technology