Embed Size (px)
Citation preview
Устройство и Сервисы JSOC
Эльман Бейбутов,
Толкатель бизнеса аутсорсинга ИБ
solarsecurity.ru +7 (499) 755-07-70
Почему аутсорсинг стал интересен
в России
2
От SIEM к SOC – Дорогу осилит смотрящий? Когда-то мы внедрили более 35 SIEM
«В среднем по больнице» на стороне наших клиентов темой SIEM
занимается 0.5 – 1.5 человека
Примерно 80% компаний так и не построили SOC
У 20% компаний через год обнаружились сложности с доступом
в консоль SIEM из-за забытых логинов и паролей
Не более 15% компаний вышли на осознанные вторые этапы развития
SIEM и дозакупки оборудования и ПО
МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ,
КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!
solarsecurity.ru +7 (499) 755-07-70
Зрелость SOC в России
3
Количество выполненных
проектов по SIEM с 2010 года
Уровень зрелости SOC
по индустриям, по 5-ти бальной шкале
17
6
3
3
1
3Финансы
ТЭК
Госсектор
Телеком
Ритейл
ИТ-сервисы
0 0,5 1 1,5 2 2,5
ИТ-сервисы
Ритейл
Финансы
Госсектор
ТЭК
Телекомы
solarsecurity.ru +7 (499) 755-07-70
Почему используют аутсорсинг
4
32%
22%18%
12%
10%
6%
НЕХВАТКА ПЕРСОНАЛА
ОРГАНИЗАЦИЯСЕРВИСОВ 24*7
НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ
НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ
СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ
СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ
solarsecurity.ru +7 (499) 755-07-70
Опыт MSSP заграницей*
5
Сервисы, доступные за рубежом
Базовый мониторинг логов и хранение событий (Compliance)
периметральных СЗИ (FW, IPS, Proxy, VPN)
Предоставление Software as a Service (Web-, Email- security,
antiDDoS, MDM) в аренду с базовым мониторингом
Малодоступные услуги западных MSSP
Анализ хакерской активности в окружении конкретных
компаний-клиентов (APT detection)
SIEM as a Service (не путать с SOC!)
Практически не встречается – SOC as a Service
*Gartner, MSSP report, декабрь 2014
solarsecurity.ru +7 (499) 755-07-70
У нас есть, что предложить…
6
Контроль защищенности
Противодействие
кибепреступности
Эксплуатация
систем ИБ
Анализ кода
Защита
web-приложений
Анти-DDoS
Мониторинг
инцидентов
ПРЕДЛАГАЕМ
SECaaS
solarsecurity.ru +7 (499) 755-07-70
Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять
таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств
защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения,
а за инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
1
2
3
4
5
solarsecurity.ru +7 (499) 755-07-70
Архитектура сервисов JSOC
9
solarsecurity.ru +7 (499) 755-07-70
Команда JSOC
10
Группа разбора инцидентов
Руководитель департамента JSOC (Дрюков Владимир)
Группа администрирования
Группа развития JSOC(пресейл-аналитик, архитектор,
ведущий аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
solarsecurity.ru +7 (499) 755-07-70
Гарантии выполнения SLA
11
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время
обнаружения
инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой
диагностики и
информирования
заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи
рекомендаций по
противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч
solarsecurity.ru +7 (499) 755-07-70
JSOC: Мониторинг инцидентов –
если SIEM нет
12
Как это выглядит:
Оборудование и лицензии – арендная схема
Мониторинг и анализ инцидентов – силами JSOC
Подключение – установка сервера коннекторов
и настройка источников
Преимущества:
Нет стартовых капитальных вложений
Быстрый запуск услуги – до 1,5 месяцев
Перекрестное информирование схожих по инфраструктуре
клиентов об обнаруженных атаках нулевого дня
Агрегация информации об угрозах в одном центре мониторинга
Мониторинг
инцидентов
solarsecurity.ru +7 (499) 755-07-70
JSOC: Мониторинг инцидентов –
если ArcSight уже есть
13
Как это выглядит:
Оборудование и лицензии –
в собственности клиента
Правила SIEM обогащаются сценариями JSOC
Команда JSOC анализирует все инциденты
в SIEM
Преимущества:
Обновление SIEM, тюнинг источников под задачи
Более 1500 корреляционных правил, объединенных в 174
таргетированных сценариев инцидентов ИБ
Мониторинг и разбор инцидентов в режиме 24*7 при полном
соблюдении гарантированного уровня SLA
Мониторинг
инцидентов
solarsecurity.ru +7 (499) 755-07-70
Факты, преимущества и выгоды
14
Факты
•1-я линия дежурной смены 24х7 обрабатывает более 75 000 событий с подозрением на инциденты в год
•Штат JSOC насчитывает более 30 человек
•Реагирование в течение 15 минут
•Катастрофоустойчиваяплатформа на ArcSight
•Партнерские соглашения с ведущими CERT и другими аналитическими центрами ИБ для оперативного противодействия киберпреступности
Преимущества
•Более 170 детектируемых векторов атак
•Перекрестное информирование клиентов об обнаруженных атаках
•Использование информации о хакерских группировках, бот-сетях и не доверенных IP-адресах от нескольких ведущих зарубежных и российских аналитических центров
•Мониторинг инцидентов и противодействие киберпреступности в режиме 24х7 при полном соблюдении уровня SLA
Выгоды
•Получение готового сервиса по мониторингу инцидентов без капитальных затрат спустя 1 месяц после подписания контракта
•Compliance в части управления инцидентами, защиты web-приложений и анализа кода
•Информированность и готовность к атакам нулевого дня
•Высвобождение ресурсов своих сотрудников для новых проектов после передачи администрирования систем ИБ в JSOC
solarsecurity.ru +7 (499) 755-07-70
JSOC – Противодействие
киберпреступности
15
Как это выглядит:
Мы сообщим о том, что ваши учетные записи были
взломаны и выложены в Интернет.
Проведем анализ последствий такой компрометации
Оперативный поиск zero-day троянов, обнаруженных
через JSOC, Group-IB, Kaspersky
Круглосуточное выявление обращений к вредоносным
ресурсам и входящих подключений с опасных ресурсов
Преимущества:
Наиболее релевантная российскому рынку информация об атаках, основанная
на информации бот-сетей и сенсорах, установленных в компаниях
Информирование об атаке, когда она случилась у других, а не у вас
Защита на ранних стадиях атаки путем анализа трендов реализации целевых
угроз ИБ в различных сегментах российского рынка
Противодействие
киберпреступности
solarsecurity.ru +7 (499) 755-07-70
JSOC – Эксплуатация систем ИБ
16
Как это выглядит:
Обеспечение работоспособности систем ИБ:
• Мониторинг «здоровья» систем, восстановление
работоспособности;
• Обновление версий, администрирование и профилактика
Эксплуатация систем ИБ:
• Администрирование, разработка и оптимизация политик;
• Оповещение о новых угрозах и обновление сигнатур
Преимущества:
Круглосуточное обеспечение мониторинга работоспособности
систем силами дежурной смены специалистов JSOC;
Применение лучших практик и высокой экспертизы
команды JSOC для обеспечения вашей безопасности;
Эксплуатация
систем ИБ
solarsecurity.ru +7 (499) 755-07-70
JSOC – безопасность внешних сервисов
17
Как это выглядит:
Защита от DDoS
• Мониторинг атак и переключение трафика на очистку
в облако Kaspersky
• Для клиентов Ростелекома услуга по очистке трафика
и защита канала с помощью Arbor
Web application firewall
• Предоставление WAF в аренду с полным администрированием
из JSOC
• Подключение к JSOC имеющегося WAF (Imperva, F5)
и эксплуатация/рекомендации настроек
Преимущества:
Защита web-сервисов от наиболее распространенных угроз:
атакам на доступность и конфиденциальность
Минимальное вовлечение специалистов клиента
и оперативная настройка политик и сигнатур WAF
при обнаружении новых угроз
Анти-DDoS
WAF
solarsecurity.ru +7 (499) 755-07-70
JSOC – Контроль защищенности
18
Как это выглядит:
Инвентаризация систем
Инструментальный анализ уязвимостей
Адаптация отчетов о сканировании
Формирование конечных рекомендаций для
ИТ-специалистов по устранению критичных уязвимостей
Сопровождение устранения уязвимостей
Регулярная оценка защищённости от zero-day
Преимущества:
Получение реальной картины уязвимостей инфраструктуры с учетом всех
особенностей архитектуры
Технический и организационный контроль процесса закрытия уязвимостей
ИТ-службами
Возможность высвободить время собственных специалистов от рутинных задач
обработки отчетов сканирования
Контроль
защищенности
solarsecurity.ru +7 (499) 755-07-70
JSOC – Анализ кода
19
Как это выглядит:
Проверка исходного кода Java, PHP, C# и более
десятка других языков по запросу
Анализ безопасности мобильных приложений iOS,
Android по бинарному файлу
Встраивание проверки безопасности кода
в процесс разработки ПО в компании
Преимущества:
Результаты анализа предоставляются в формате конкретных рекомендаций
по устранению уязвимостей кода приложений с оценкой трудоемкости
исправлений;
Выдача детальных рекомендаций по настройке наложенных средств
защиты для закрытия уязвимостей без изменения кода;
Возможность анализа приложений, разработанных на любых языках
программирования: как современных, так и устаревших
Анализ кода
solarsecurity.ru +7 (499) 755-07-70
Что дороже аутсорсинг или инсорсинг?
20
solarsecurity.ru +7 (499) 755-07-70
Подключайтесь к JSOC!
21
Среди наших клиентов
Лето-Банк
УБРиР
И многие другие…
Среди наших партнеров
