Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
ISOC: МОНИТОРИНГИ РАССЛЕДОВАНИЕ ИНЦИДЕНТОВИБ НА БАЗЕPT MAXPATROL SIEM
ЗАЧЕМ НУЖЕН SOC
Снижение рисков хищения данных иденежных средств
Обеспечение непрерывности бизнеса
Снижение тяжести последствийинцидентов
ЦЕЛИ
РЕЗУЛЬТАТ
Выявление кибератак на ранних стадиях
Максимально быстрый разборинцидентов в большом количествеинформационных систем
SOCЦентр мониторингаи реагирования наинциденты ИБ
Сотрудники
Процессы
Технологии
ВАРИАНТЫ ПОСТРОЕНИЯ SOC
ВНУТРЕННИЙ SOC
Компания заключает договор спровайдером на сервис SOC с
установленным SLA (Service Level Agreement)
Компания делегируетчасть функций SOC
сервис-провайдеру, остальныефункции поддерживает
самостоятельно
Компания сама или с помощьюконсультантов строит процессы, обучает специалистов, создает
и поддерживает SOC
SOC AS SERVICE ГИБРИДНЫЙ SOC
PT MaxPatrol SIEM+ Консалтинг ISOC
ISOC + PT MaxPatrol SIEM
ВАРИАНТЫ ПОСТРОЕНИЯ SOC. В ЧЕМ РАЗНИЦА
ВНУТРЕННИЙ SOC
$ SIEM (Лицензия)$ Инфраструктура$$ Внедрение системы$$ Сервис 24/7
$$$ SIEM (Лицензия)$$$ Инфраструктура$$ Внедрение системы$$ Сервис 24/7
SOC AS SERVICE ГИБРИДНЫЙ SOC
Скорость внедрения
Стоимость
Преимущества
$$$ SIEM (Лицензия)$$$ Инфраструктура$$$ Внедрение системы$$$ Сервис 24/7
От 12 месяцев 3-4 месяца 6-12 месяцев
Обработка и хранение событий насвоей стороне
Гибкость в предоставлении сервисаОбработка и хранение событий насвоей сторонеГибкость в предоставлении сервиса
ПРЕИМУЩЕСТВА СЕРВИС-ПРОВАЙДЕРА
ЭКОНОМИЯ РЕСУРСОВ
Снижаются затраты (оборудование, персонал) на инфраструктурудля управления инцидентами*
РЕШЕНИЕ ПРОБЛЕМЫ КАДРОВ
ОЖИДАЕМЫЙ РЕЗУЛЬТАТ
Не нужно искать дорогих специалистови обучать своих: сервис сопровождаютпрофильные эксперты
Затраты и сроки внедрения сервисазаранее определены договором спровайдером
* В гибридном варианте на стороне клиента остается SIEM-система. Для сбора и корреляции событий используетсяMaxPatrol SIEM (Positive Technologies)
ФИКСИРОВАННЫЕ SLA
Клиент понимает, как быстро будетобработан инцидент или решенопределенный вопрос
ДОПОЛНИТЕЛЬНЫЕ СЕРВИСЫ
Сервис предоставляется в режиме 24/7, поэтому вся информацияоб угрозах и уязвимостях поступаетсвоевременно
Сервис-провайдер может взятьна сопровождение СЗИи IT-инфраструктуру клиента
ОПЕРАТИВНАЯ РЕАКЦИЯ
ТЕХНОЛОГИЧЕСКАЯ ПЛАТФОРМА
Positive Technologies
25% российского рынка SIEM
MAXPATROL SIEM
Система мониторинга событий ИБ и выявления инцидентовв реальном времени, разработанная компанией Positive Technologies
Полностью российская разработка, имеются сертификатыФСТЭК РФ иМинобороны РФ, входит в реестр отечественного ПО
КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА:
Своевременно детектирует новые типы угроз, получая обновления отэкспертного центра безопасности Positive Technologies (PT ESC)
Лицензирование по количеству активов — а не по потоку событий— позволяетменять источники для мониторинга, выбирать наиболее важные иподключать новые без дополнительных затрат
Автоматически строит топологию сети, что помогает лучше пониматьзащищаемую инфраструктуру, упрощает расследование инцидентов
Большое количество дашбордов позволяет получать самую разнообразнуюинформацию о работе системы
1
2
3
4
5
занялMaxPatrol SIEM в 2017 году (исследование IDC)
100 проектов внедрения
MaxPatrol SIEM и SIEM LE реализовано с 2015 года
230
Бесплатное подключение другихбизнес-систем, в том числеспецифических и самописных
преднастроенных
источников
ТРЕБОВАНИЯ
ТРЕБОВАНИЯ К PT MAXPATROL SIEM
Необходимы лицензии:• MP SIEM Server• MP SIEM Log Collector
ЛИЦЕНЗИИ
Поддерживается версия21 и выше
ВЕРСИЯ
Необходима вендорскаяподдержка PT MaxPatrol SIEM:
коннекторы должны обновляться
ПОДДЕРЖКА
АРХИТЕКТУРА ВЗАИМОДЕЙСТВИЯ
ПРИЕМНИК
СОБЫТИЙ
ЗАЩИЩЕННЫЙКАНАЛ
ИСТОЧНИКИ
СОБЫТИЙ
МОДУЛЬ
АНАЛИТИКИ
ДАШБОРДЫ
ОТЧЕТЫ
УПРАВЛЕНИЕ
ИНЦИДЕНТАМИ
РЕАГИРОВАНИЕ
НА ИНЦИДЕНТЫ
ЗАЩИЩЕННЫЙСЕГМЕНТ
ИНФОСЕКЬЮРИТИ
ISOC IRP (АВТОМАТИЗАЦИЯ)
ГосСОПКАFINCERT
ТЕРМИНАЛЬНЫЙСЕРВЕР
MaxPatrolSIEM
КОННЕКТОР
ISOC
ИС ЗАКАЗЧИКА
ПОДКЛЮЧЕНИЕ К ГОССОПКА
СОГЛАШЕНИЕ МЕЖДУ НКЦКИ И «ИНФОСЕКЬЮРИТИ» ПОЗВОЛЯЕТ НАМ ВЫСТУПАТЬ В РОЛИКОРПОРАТИВНОГО ЦЕНТРА ГОССОПКА КЛАССА «А»
ISOC: передача информации через коннектор
Сервис управления уязвимостями
ISOC: сервисы мониторинга, расследования, реагированияна инциденты
Консалтинг
Анализ событий
Прием сообщений о возможных инцидентах
Регистрация инцидентов
Составление перечня инцидентов
Эксплуатация средств обнаружения и реагирования
Ликвидация последствий
Анализ результатов ликвидации последствий
Установление причин инцидентов (расследование)
Инвентаризация
Выявление уязвимостей
Анализ угроз
Составление и актуализация перечня угроз
Разработка регламентирующих документов
Взаимодействие с НКЦКИ
Подготовка предложений по повышению уровня защищенности
ФУНКЦИИ ЦЕНТРА ГОССОПКА СООТВЕТСТВУЮЩИЕ УСЛУГИ
КАК РАБОТАЕТ СЕРВИС ISOCМОЖНО ВЫБРАТЬ НЕОБХОДИМЫЙ НАБОР УСЛУГ В ЗАВИСИМОСТИ ОТ СВОИХ ПОТРЕБНОСТЕЙ
Мониторинг Реагирование
Автоматическое созданиезаявки в IRP и email-
оповещение
Расширеннооповещениепо телефону
Первичный анализ иобработка инцидента
Применениеконтрмер в
инфраструктуре
Подключениеэксперта к online-
анализу
Расширеннаяподдержка
и консультации
PT MaxPatrolSIEM
PT
ЭКСПЕРТИЗА И ПРОЦЕССЫ ISOC
ЭФФЕКТИВНОСТЬ РАБОТЫ SOC ОБУСЛАВЛИВАЕТСЯ РЯДОМ УНИКАЛЬНЫХ ХАРАКТЕРИСТИК КОМПАНИИ
«ИНФОСЕКЬЮРИТИ»
8 лет управленияинцидентами ИБ
База знаний и use case по обработке инцидентов
Опыт предоставлениясервиса компаниис количеством сотрудниковболее 30.000
Участник FIRST, статус CERT
Соглашение НЦКИ позволяющее выступатьв роли корпоративного центра ГосСОПКА класса«А»
Использование актуальных данныхThreat Intelligence
Более 30 сотрудников, участвующихв мониторинге и реагировании, и более 60 профильных экспертов
КОМАНДА ISOC
ВТОРАЯ ЛИНИЯ ТРЕТЬЯ ЛИНИЯ
ПЕРВАЯ ЛИНИЯ
Мониторинг и оповещение 24/7
Анализ инцидентов 24/7 Расследования 8/5
РАЗРАБОТКА
Платформаи автоматизация
АНАЛИТИКА
Правила реагирования
ЭКСПЛУАТАЦИЯ ISOC
Сопровождениеинфраструктуры ISOC
СЕРВИСЫ ИБ
Реагированиена инциденты 24/7
В команде более 30 экспертов, занимающихся непосредственномониторингом и расследованиями
инцидентов.
Кроме того, с ними в непрерывном режимевзаимодействуют
более 60 профильных инженеровпо различным направлениям
информационной безопасности.
ЭТАПЫ ПОДКЛЮЧЕНИЯ*
1 АНАЛИТИКА И КОНСАЛТИНГ
• Анализ подключенных источников(ОС, СУБД, ПО, СЗИ, сетевое оборудование)
• Оптимизация правил корреляцииPT MaxPatrol SIEM для соответствия нашимполитикам реагирования
2 ОРГАНИЗАЦИЯ КАНАЛОВ СВЯЗИ
• Получение доступов• Настройка защищенного сетевого канала• Настройка защищенного почтового канала
3 ПОДГОТОВКА ИНФРАСТРУКТУРЫ
• Настройка коннектора к PT MaxPatrol SIEM в инфраструктуре заказчика
• Подключение дополнительных источников• Настройка оповещений и доступа к дашбордам
4 СОГЛАСОВАНИЕ ВЗАИМОДЕЙСТВИЯ
• Определение схемы подключения новыхисточников
• Определение схем оповещенияоб инцидентах и эскалации
* При условии наличия внедренной MaxPatrol SIEM у клиента. Мы также можем оказать услугипо развертыванию MaxPatrol SIEM в рамках отдельного проекта.
5 СОГЛАСОВАНИЕ SLA
• Установление режима работы• Определение приоритета и скорости реагированияна инциденты
• Определение параметров и сроков отчетности
6 ВВЕДЕНИЕ В ЭКСПЛУАТАЦИЮ
• Тестирование• Запуск мониторинга событийи реагирования на инциденты
ЦЕНООБРАЗОВАНИЕ
СТОИМОСТЬ СЕРВИСА ISOC РАССЧИТЫВАЕТСЯ ИСХОДЯ ИЗ НЕСКОЛЬКИХ ПАРАМЕТРОВ
Режимыреагирования
и работы третьейлинии
РЕЖИМ ОБРАБОТКА МАСШТАБ
Количествоинцидентовна обработку
Объем инфра-структуры(источники
разных типов)
1 линия
Forensics
2 линия
3 линия
Серверы
СЗИ
Рабочиестанции
Сетевоеоборудо-вание
Первичныйанализ
Реагирование
Экспертныйанализ
Расширеннаяподдержка
и консультации
> 120≤ 120
≤ 120 > 120
≤ 20 > 20
≤ 3 > 3
in4security.com