Embed Size (px)
DESCRIPTION
Citation preview
Расследование инцидентов в телекоммуникационной отрасли
RISSPA 27.11.2008
Устюжанин Дмитрий
Сажин Сергей
План презентации
1. Знакомство
2. Security Operation Center
3. Используемые технологии
4. Примеры работы
5. Вопросы
1. Знакомство
2. Security Operation Center
3. Используемые технологии
4. Примеры работы
5. Вопросы
Служба обеспечения информационной безопасности Служба контроля информационной безопасности Служба информационной безопасности в странах СНГ
• Россия • СНГ • Международный бизнес » B2B » B2C » FTTB
Департамент Информационной Безопасности ОАО “ВымпелКом”:
Знакомство
1. Знакомство
2. Security Operation Center
3. Используемые технологии
4. Примеры работы
5. Вопросы
6
Инфраструктура Безопасности становится все более сложной:
• Управление тысячами устройств, часто гетерогенных. • Сбор и хранение множества событий (GB/day). • Разные Системы Управления для различных технологий (FW,
IDS/IPS, AV, 3A, и т.д). Требуется внедрение Управления инцидентами: • Рост ИТ и технической архитектур увеличивает сложность идентификации внутренних и внешних угроз и инцидентов.
• Трудно определить какое влияние угроза может иметь в контексте бизнеса.
• Высоко " Время к Реакции " из-за недостатка инструментов и процессов для быстрого обнаружения и управления инцидентов.
• Наблюдается недостаток специалистов для управления средствами безопасности.
• Отсутствие универсальных стандартов и руководящих процедур. Compliance Management & Reporting: • Трудности в обеспечении контроля и согласии внутренней политики безопасности
• Необходимость создания комплексных отчетов об угрозах, инцидентах, уровне безопасности Компании
Вызовы Информации Безопасности
Security Operation Center
Security Operation Center Общие принципы построения
Схема внутреннего взаимодействия
Security Operation Center
Построение с учетом купленных компаний и регионов
Security Operation Center
Почему SOC эффективен
Security Operation Center
Централизация безопасности
Обеспечение постоянного контроля за уровнем ИБ
Быстрая и профессиональная реакция на атаки, защита наиболее ценных активов
Автоматизация функции Compliance и SIM
R
A
C
I
Пример. RACI Model
Security Operation Center
Пример. Flight Guide
Security Operation Center
1. Знакомство
2. Security Operation Center
3. Используемые технологии
4. Примеры работы
5. Вопросы
Symantec Control Compliance Suit (Symantec BindView)
Система предназначена для сбора, хранения и предоставления в различных видах информации о соответствии серверов, рабочих станций и баз данных компании установленным стандартам информационной безопасности, а также помощи при автоматизации процесса приведения несоответствующих стандартам объектов (серверов и рабочих станций) к состоянию, удовлетворяющему этим стандартам безопасности.
CiscoWorks Network Compliance Manager
Система обеспечивает контроль выполнения корпоративной политики безопасности на активном сетевом оборудовании (CISCO и Nortel). Предметом контроля является как собственная безопасность сетевого оборудования, обеспечивающая инфраструктурную защиту, так и общепринятые в компании политики, обеспечивающие безопасную работу корпоративной сети.
Используемые технологии Security Compliance Management
SOX
Средства автоматизации
CobiT ISO
“Требования к паролям”
Методология
Требования
Контрольные цели
Политики и процедуры 4
3
2
1
Принцип формирования перечня проверок
Используемые технологии
Выбор регулирующего стандарта, например SOX 404
Выбор методологической модели, например ISO или CobiT
Проекция требований регулирующего стандарта на контрольные цели ИТ модели
Автоматизация выполнения проверок
Используемые технологии Symantec Security Compliance Suit
Используемые технологии Security Compliance Management. Результаты
Разработаны и согласованы стандарты: • MS SQL
• ORACLE
• Windows 2003/2000
• Windows XP
• Сетевое оборудование Cisco
Проверяются на соответствие стандартам все критичные по SOX сервера и базы данных
Результаты проверки доводятся до владельцев сиcтем
Используемые технологии Security Compliance Management. Результаты
Используемые технологии Security Information Management Solution
Используемые технологии Security Information Management Solution
Россия + 6 Стран в СНГ Осуществляется мониторинг ISS + SNORT +NESUS CheckPoint FW + PIX + ASA Активности баз данных Системные логи критичных серверов Порядка 12 Млн. событий/нед. в России Порядка 9 Млн. Событий/нед. в странах СНГ
Используемые технологии Security Information Management Solution. Пример
Используемые технологии Анализ логов прикладных систем
Security Log Tracker (SLOT) – система мониторинга активности пользователей, связанной с доступом к данным, критичным с точки зрения информационной безопасности компании.
Система анализа логов прикладных систем – это: сбор и долгосрочное хранение данных о пользовательской активности, полученных от бизнес-приложений компании,
автоматическое коррелирование данных различных бизнес-приложений,
единая точка доступа к данным, сбор и обработка статистики, формирование отчетов.
Используемые технологии Анализ логов прикладных систем
Архитектура системы основана на стандартных решениях компании Microsoft и учитывает передовые технологии и подходы, предлагаемые в области создания масштабируемых, надежных и производительных сервисов
Используемые технологии Анализ логов прикладных систем. Архитектура
План презентации
1. Знакомство
2. Security Operation Center
3. Используемые технологии
4. Примеры работы
5. Вопросы
Примеры работы Атака на внешние ресурсы компании
Trend and Anomality Monitoring
Specific Business Risk Monitoring
Business Process
Consistency in Meeting Security Incident Management SLA Commitments
Percentage resolution of SLA committed within agreed upon timeframes
SOC KPI and Reporting
ВОПРОСЫ ???
Всегда готов ответить на ваши вопросы, например так
Спасибо за внимание !!!
