10 заблуждений при (внедрении | использовании | аутсорсинге) SOC

Description
Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.

Please download to get full document.

View again

of 29
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Information
Category:

Technology

Publish on:

Views: 0 | Pages: 29

Extension: PDF | Download: 0

Share
Transcript
  • 1. 12 апреля 2018 Бизнес-консультант по безопасности 10 типовых ошибок при работе с SOC Алексей Лукацкий
  • 2. Опыт Cisco в части построения SOC Cisco CSIRT SOC Enablement Service Cisco ATA Cisco SecOps Собственный «SOC» и служба реагирования на инциденты Cisco Услуги Cisco по построению SOC для заказчиков Аутсорсинговый SOC Cisco для заказчиков Аутсорсинговый SOC Cisco для промышленных предприятий
  • 3. Думая о мониторинге, не забывайте о реагировании №1
  • 4. Не гонитесь за красивыми плазмами №2
  • 5. Карты атак - красиво, но эффективно ли?
  • 6. Реальность не так красива, как на постановочных кадрах
  • 7. Не стройте SOC, не имея логов • Классическая концепция SOC базируется на мониторинге событий безопасности, которые генерятся различными средствами защиты, сетевым оборудованием, приложениями и т.п., обогащенными данными Threat Intelligence №3
  • 8. Не стройте SOC, не умея работать с логами SOC ≠ SIEM ≠ LM
  • 9. Основа SOC – это не только SIEM NTA EDR SIEM UEBA / CASB Cisco AMP for Endpoints Cisco Stealthwatch Cisco TrustSec Cisco CloudLock №4
  • 10. Комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  • 11. Мобильные пользователи Филиал Мониторинг только периметра создает чувство ложной защищенности Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
  • 12. Не ограничивайтесь мониторингом периметра, помните про внутреннюю сеть уникальный источник информации о событиях безопасности, который позволяет использовать каждый коммутатору и маршрутизатор в качестве распределенной системы обнаружения атак и аномалий Netflow Cisco Stealthwatch
  • 13. Вы хотите квалифицированных аналитиков? • Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков? • Уровень квалификации зависит от линии поддержки В Европе уровень ротации специалистов SOC - 90% №5
  • 14. Займитесь мотивацией аналитиков • Изо дня в день видеть огромное количество событий и при этом не знать, какие из них хорошие, а какие плохие • Боязнь совершить ошибку в ответственном мероприятии • Страх отвлекает аналитика SOC от смысла выполняемых действий; он фиксируется на мелочах, упуская главное • Страх сделать ошибку заставляет аналитика перепроверять свои выводы и свою работу, что приводит к лишней трате времени и сил и снижает продуктивность специалистов SOC №6
  • 15. Помните о психологической слепоте • Слепота невнимания (inattentional blindness), которая подразумевает неспособность наблюдать какой-либо объект, появляющийся внезапно • Половина людей имеет эту не физиологическую, а психологическую проблему зрения, связанную с тем, что люди слишком концентрируются на основной задаче, упуская второстепенные №7
  • 16. Пример №1: вы видите аномалию? Подсказка: обратите внимание на 6-ю строку Подсказка: все зависит от исходной гипотезы
  • 17. Пример №2: вы видите аномалию? Подсказка: обратите внимание на 3-ю строку
  • 18. Не пренебрегайте ИИ Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностичес- кая аналитика Почему это случилось? Предсказатель -ная аналитика Что случится? Предписываю- щая аналитика Что я должен сделать? Сложность Ценность №8
  • 19. Пример №3: Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD На примере Cisco ETA
  • 20. Пример №4: обнаружение tailgating 20 Обнаружение посторонних @ Cisco4
  • 21. Не все можно купить. Даже если у вас есть деньги • Решение iCAM разрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей • Готового решения мы не нашли №9
  • 22. iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL iCAM: внутренняя разработка Cisco
  • 23. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … Процесс работы iCAM в Cisco
  • 24. Доверяй, но будь готов! • Обращаясь к аутсорсингу SOC, не забудьте прописать SLA и ответственность №10
  • 25. Дополнительная информация • Презентация «Сочные мифы». Заблуждения, связанные с SOC» • Презентация «Нюансы эксплуатации SOC внутри Cisco» 26 Запросить можно по адресу: security-request@cisco.com
  • 26. А также блог Cisco СSIRT…
  • 27. …и книги 28
  • 28. Спасибо! alukatsk@cisco.com
  • Related Search
    Similar documents
    View more...
    We Need Your Support
    Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

    Thanks to everyone for your continued support.

    No, Thanks