Владимир Дрюков,

Руководитель направления аутсорсинга ИБ

Центр Информационной Безопасности

JSOC мы строили-строили и

построили

4 июня 2014 г.

© 2014 Инфосистемы Джет Больше чем безопасность

2

Международный опыт

MSS – Managed Security Services

• Рынок MSS в 2012 году составил $6,6 млрд

• Из них SOC – $1,2 млрд

• Прогноз: к 2016 году рынок MSSP достигнет $15,6 млрд

Пример: HP

• 14 лет на рынке MSS

• Более 55 Global MSSP партнеров, 40 по ArcSight

• Более тысячи заказчиков (в том числе Vodafone, Swisscom)

© 2014 Инфосистемы Джет Больше чем безопасность

3

JSOC: TTX

• Услуге уже полтора года

• 12 Заказчиков

• 135 инцидентов в день

• Процент выполнения SLA – 98,5%

• Этап подключения занимает

от 2 недель до месяца

• За первый месяц выявляются:

• около 10 инцидентов несанкционированного доступа

• не менее 5 утечек конфиденциальной информации

• 8–10 пользователей, нарушающих политики доступа в интернет

• непрофильное использование технологических учетных записей и боевых систем

© 2014 Инфосистемы Джет Больше чем безопасность

4

JSOC - начало

Стартовые показатели:

• 2 инженера мониторинга

• Аналитик

• Руководитель направления

• 2 сервера в кластерной

конфигурации

• 1 Заказчик, 3 пилотных проекта

• Время реакции – 30 минут

• Время анализа – 2 часа

© 2014 Инфосистемы Джет Больше чем безопасность

5

Какой опыт мы вынесли

Технически: ● Контроль состояния источников

● Стандартные коннекторы переписаны

● Кейс-менеджмент в ArcSight

Организационно: ● SOC должен быть 24*7

● 1-ую линию нельзя отдать в ИТ

● Заказчики не строят 24*7

© 2014 Инфосистемы Джет Больше чем безопасность

6

Расходы на SOC – скрытая угроза

Разовые затраты:

• Закупка оборудования и лицензий

• Проектирование

• Пусконаладка

Ежегодно:

• Сервис вендора/интегратора

• Обеспечение SLA – 1-я линия

• Развитие системы – свой аналитик

• Развитие системы – интегратор

• Компетенции – обучение

• Кадровые вопросы

© 2014 Инфосистемы Джет Больше чем безопасность

7

Сравнение стоимости – 100 источников

0

100

200

300

400

500

600

700

800

900

1000

Свой SOC

JSOC

Старт выявления инцидентов ИБ

1 год 2 год 3 год 4 год

© 2014 Инфосистемы Джет Больше чем безопасность

8

Архитектура

© 2014 Инфосистемы Джет Больше чем безопасность

9

Люди

Группа разбора инцидентов

Руководитель JSOC

Группа администрирования

Группа развития JSOC

(архитектор, ведущий

аналитик)

Инженеры реагирования и

противодействия – 11*5

(Москва, 2 человека)

Инженеры мониторинга – 24*7

(Нижний Новгород, 7 человек)

2-ая линия

администрирования – 11*5

(Москва, 3 человека)

1-ая линия

администрирования -24*7

(Нижний Новгород, 8 человек)

Выделенные аналитики

(Москва, 3 человека)

Группа управления качеством

(сервис-менеджеры,

4 человека)

Администраторы ИБ

(Москва, 2 человека)

© 2014 Инфосистемы Джет Больше чем безопасность

10

Процессы

Выявление инцидента,Первоначальная классификация,Первоначальная приоритезация

Назначение исполнителя из 1-ой линии

Анализ инцидента,Протоколирование исследования

Необходима эскалация по экспертизе?

Передача инцидента 2-ой линии/аналитику

ДА

НЕТ

False Positive? Закрытие как FP

Информирование Заказчика, предоставление информации по инциденту и требуемых отчетов

Нужна дополнительная информация?

Закрытие задачи

НЕТ

Необходима эскалация по критичности?

Уведомление Заказчика и аналитика, формирование группы разбора инцидента

ДА

НЕТ

ДА

ДА

НЕТ

Администрируем ли СЗИ? ДА

ДА

Передача задачи по устранению группе администрирования

© 2014 Инфосистемы Джет Больше чем безопасность

11

SLA

Параметры сервиса Базовый Расширенный Премиум

Время обслуживания 8*5 24*7 24*7

Время

обнаружения

инцидента (мин)

Критичные инциденты 15-30 10-20 5-10

Прочие инциденты до 60 до 60 до 45

Время базовой

диагностики и

информирования

заказчика (мин)

Критичные инциденты 45 30 20

Прочие инциденты до 120 до 120 до 90

Время выдачи

рекомендаций по

противодействию

Критичные инциденты до 2 ч до 1,5 ч до 45 мин

Прочие инциденты до 8 ч до 6 ч до 4 ч

© 2014 Инфосистемы Джет Больше чем безопасность

12

Подключение – если SIEM нет

Как это выглядит: 1. Оборудование и лицензии – арендная схема

2. Мониторинг и анализ инцидентов – силами

Джет

3. Подключение – установка сервера

коннекторов и настройка источников

Преимущества: • Нет стартовых вложений

• Быстрый запуск услуги – до 1,5 месяцев

• Минимизация расходов на персонал

© 2014 Инфосистемы Джет Больше чем безопасность

13

Подключение - если SIEM уже есть

Как это выглядит: 1. Оборудование и лицензии – в

собственности Заказчика

2. Правила SIEM обогащаются сценариями

JSOC

3. Команда JSOC анализирует все

инциденты в SIEM

Преимущества: • При отказе от услуги остается настроенный SIEM

• Стоимость услуги ниже – нет аренды лицензий и оборудования

Ограничения: • Отказоустойчивость системы – в рамках площадки

• Расширение услуги требует закупки лицензий

© 2014 Инфосистемы Джет Больше чем безопасность

14

Программы обслуживания

Compliance: ● Источники из scope PCI DSS

● Сценарии, определенные стандартом

● Время на подключение – 2 недели

Мониторинг инцидентов ИБ ● Источники – инфраструктура и бизнес-приложения

● Время на подключение – от 1 до 2 месяцев

Мониторинг и противодействие • Включая управление СЗИ

• Время подключения – от 1 до 2 месяцев

© 2014 Инфосистемы Джет Больше чем безопасность

15

Первый шаг к JSOC – пробное подключение

Немного информации:

• Сейчас - бесплатно

• Минимум работ ИТ-подразделений

• Срок – от 1 до 2 месяцев

• Типовые источники и инциденты

• Режим 24*7

Преимущества JSOC:

• Попробовать услугу без финансовых трат

• Оценить состояние безопасности

• Посчитать количество источников для подключения

• Выбрать максимально комфортный SLA

© 2014 Инфосистемы Джет Больше чем безопасность

16

Roadmap JSOC

Контроль

защищенности

DDoS as a service

Security

Dashboard

DLP as a service

WAF as a service

Q1 2014 Q2 2014 Q3 2014 Q2 2015 Q3 2015

Roadmap

Контакты:

Владимир Дрюков