Upload
jetinformationsecurity
View
364
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
Эльман Бейбутов,
Руководитель направления безопасности БД и SOC
Центра информационной безопасности
Компании «Инфосистемы Джет»
От SIEM к SOC: дорогу осилит
смотрящий
4 июня 2014 г.
© 2014 Инфосистемы Джет Больше чем безопасность
2
Вместо введения
Развитие Security Operations Center:
• 5 поколений SOC: переход от 3G/4G к 5G.
Уровни зрелости SOC по четырем направлениям:
• Оценка зрелости Security Operations;
• Оценка зрелости крупнейших SOC в мире.
Российские тренды в создании SOC:
• Распределение Jet-проектов SIEM / SOC по секторам экономики;
• Глубина погружения в SOC компаний.
«Лучшие» практики создания SOC
© 2014 Инфосистемы Джет Больше чем безопасность
3
Развитие Security Operations Center 1 G
enera
tion
1975−1995 Зарождение SOC:
- рутинный анализ событий с FW, AV.
2 G
enera
tion
1996−2001 Становление SOC:
- анализ IDS, Vuln;
- формализация задач SOC;
- появление SIEM;
- первые MSSP SOC.
3 G
enera
tion
2002−2006 Распространение SOC:
- отражение угроз botnet;
- требования к анализу событий ИБ (PCI DSS).
4 G
en
era
tio
n
2007−2012 Тюнинг SOC:
- анализ и отражение специфичных атак;
- подключение новых средств защиты (WAF, DPI,..).
5 G
en
era
tio
n
2013−… Проактивность SOC:
- обнаружение неизвестных атак (Big
Data, Pattern / Anomaly);
- автоматизация ответных действий.
* По материалам HP Security Intelligence and Operations Consulting (SIOC)
© 2014 Инфосистемы Джет Больше чем безопасность
4
Уровни зрелости SOC
Уровень
SOMM
Оценка SOC Описание
Уровень 0 Недостаточный Ключевые составляющие SOC отсутствуют.
Уровень 1 Начальный Ведется мониторинг, но нет документированных
процессов. Реагирование по ситуации.
Уровень 2 Базовый Выполнение нормативных и бизнес-требований.
Большинство процессов документированы, но
пересматриваются по ситуации.
Уровень 3 Надлежащий Процессы хорошо документированы, регулярно
пересматриваются с учетом текущих лучших практик.
Уровень 4 Осмысленный Эффективность SOC регулярно оценивается по
метрикам производительности. Процессы
выстраиваются для достижения KPI от бизнеса.
Уровень 5 Экстремальный По всем направлениям SOC приняты программы
развития. Процессы максимально конкретизированы и
отточены. Поддержание этого уровня требует больше
инвестиций, чем возможная отдача от них (ROI <= 0).
HP SIOC предложил Security Operations Maturity Model (SOMM)
для оценки уровней зрелости SOC
© 2014 Инфосистемы Джет Больше чем безопасность
5
Оцениваемые параметры SOC
Бизнес Люди Процессы Технологии
Миссия SOC Базовые метрики Базовые метрики Архитектура
Прозрачность и
измеримость
Обучение Эксплуатация SOC Сбор данных
Финансирование Сертификации Аналитика и
расследование
угроз
Мониторинг и
анализ
Отчетность Опыт ИТ-процессы SOC Корреляция
событий
Взаимосвязь с
производителями
Аттестации Взаимодействие с
бизнесом
Обслуживание
систем
Карьерный рост
Руководство
Четыре направления для оценки уровня зрелости:
© 2014 Инфосистемы Джет Больше чем безопасность
6
Оценка зрелости SOC в мире
Уровень SOMM по
индустриям в 13 странах
мира (Канада, США, Китай,
Англия, Германия, ЮАР и др.)
Количество проведенных
оценок HP SIOC с 2008 года (93 обследования в 69 SOC)
24 % SOC не дотягивают до 1
уровня
Только 30 % SOC соответствуют базовому (2)
уровню
© 2014 Инфосистемы Джет Больше чем безопасность
7
SOC в России по опыту проектов компании
«Инфосистемы Джет»
Уровень SOMM по
индустриям
Количество выполненных
проектов по SIEM с 2010 года
© 2014 Инфосистемы Джет Больше чем безопасность
8
Тренды развития SOC в России
Бизнес
• Вовлечение SOC в Compliance;
• Достижение установленных бизнесом KPI;
• Поддержка и финансирование на высшем уровне менеджмента.
Технологии
• Переход на высокопроизводительные БД (CORR, Ariel);
• Обнаружение известных угроз (RepSM, X-Force, Kaspersky feeds);
• Подключение дополнительных источников событий (WAF, DPI) − 4G;
• Обнаружение неизвестных угроз (Pattern Discovery, Anomaly Detection, BigInsights) – 5G.
Люди
• Создание команд специалистов в первых зрелых SOC в финансовых и телекоммуникационных индустриях;
• Запуск аутсорсинговой модели оказания услуг на базе JSOC.
Процессы
• Накопление и систематизация информации об инцидентах;
• Документирование не только SIEM, как части ИТ-инфраструктуры, но и эксплуатационных процедур SOC.
© 2014 Инфосистемы Джет Больше чем безопасность
9
«Лучшие» практики внедрения SIEM
Сайзинг Сбор логов Синхрони-
зация источников
Настройка правил и контента
Мониторинг Анализ и тюнинг
Отчетность
Выглядит просто:
А как происходит на
самом деле?
© 2014 Инфосистемы Джет Больше чем безопасность
10
«Лучшие» практики внедрения SIEM
• «Давайте подключим все, что подключается?»
• «Не надо фильтровать, ведь можно упустить что-то важное!»
• «Хранить надо как можно дольше – на всякий случай…»
• «Собирать логи лучше по расписанию, чтобы не нагружать сеть в продуктивное время».
Вредные советы по сбору логов:
• Сайзинг ПО и оборудования по верхним оценкам масштабов всей ИТ-инфраструктуры;
• Огромный поток информации о незначительных событиях;
• Позднее и маловероятное обнаружение инцидентов.
Каков результат?
© 2014 Инфосистемы Джет Больше чем безопасность
11
«Лучшие» практики внедрения SIEM
• Нужно активировать все правила и отчеты «из коробки»;
• Настроить долгое время жизни Active Lists;
• Создать в автоматическом режиме модель активов;
• Выделить под каждую подсеть свою зону для самой подробной детализации.
Настройка правил и контента:
• Требуется еще больший объем памяти, чем рассчитывалось;
• Система начинает тормозить и вызывать негатив;
• Неправильная систематизация активов и разделение по зонам приводят к ложным срабатываниям и пропускам инцидентов.
Каков результат?
© 2014 Инфосистемы Джет Больше чем безопасность
12
Выбор источников событий – Bottom-up
Bottom-up или Top-down?
Снизу вверх:
• Не надо думать – подключаем всё, что есть, и смотрим…;
• А что если в компании: - 25000 рабочих станций; - 1500 серверов; - 1500 сетевого и прочего оборудования?
Результат:
• 2M$ на софт и железо;
• 500K$ на внедрение;
• 500K$ на сопровождение в год (команда, поддержка).
© 2014 Инфосистемы Джет Больше чем безопасность
13
Выбор источников событий – Top-down
Bottom-up или Top-down?
Сверху вниз:
• Определяем границы проекта (например, скоуп PCI DSS);
• Границы резко сокращаются: - 25 000 рабочих станций -> 100 сотрудников процессинга; - 1 500 серверов -> 35 серверов; - 1 500 сетевого и прочего оборудования -> 35 устройств.
Результат:
• Экономия на затратах по всем статьям!
• Десятки важных систем остались вне скоупа, в т.ч. периметровые средства защиты
• Ограниченные наборы правил корреляций
© 2014 Инфосистемы Джет Больше чем безопасность
14
Некрасиво получается…
Bottom-up или Top-down?
Может есть что-то еще?
© 2014 Инфосистемы Джет Больше чем безопасность
15
События источников
в качестве ингредиентов для сценариев
• В компании имеются «ингредиенты»: FW, AV, IDS, VPN, WAF, AD, Citrix, VMware$;
• Какие «коктейли» сценариев можно сделать?
Задача #1
• Нужен «коктейль» для отслеживания доступа к внутренним ресурсам из интернета;
• Какие «ингредиенты» нужно собрать?
Задача #2
© 2014 Инфосистемы Джет Больше чем безопасность
16
«Рецепты» сценариев атак
• Кто вспомнит рецепты десяти коктейлей?
• Недостаток в выборе портит настроение.
• Сложные коктейли имеют отрицательные последствия…
Проблемы с книгой рецептов:
• Опыт реализованных проектов;
• Лучшие практики SIEM-производителей;
• Compliance -требования, политики ИБ;
• Penetration tests;
• Anomaly Detection.
Источники новых сценариев атак:
© 2014 Инфосистемы Джет Больше чем безопасность
17
Каталог сценариев – основа правил SIEM
Практика использования SOC для предотвращения
несанкционированного доступа:
Инцидент Критерии Источники
Несанкционированный
доступ к ресурсам сети
извне
Осуществлено подключение по VPN к сети
организации под одной учетной записью.
Получение доступа к какой-либо системе
под другой учетной записью.
- VPN;
- ОС серверов \рабочих
станций, к которым
осуществляется доступ через
VPN.
Использование
неактуальных учетных
записей
Доступ к системам под учетными записями
уволенных сотрудников.
- Active Directory;
Опционально: ОС серверов.
Создание учетной записи
для
несанкционированного
доступа
Создание новой пользовательской учетной
записи.
Доступ под созданной учетной записью к
критичным файлам/системам.
Удаление учетной записи.
- Active Directory;
- ОС серверов, доступ к
которым необходимо
отслеживать.
Локальный доступ
отсутствующего
сотрудника
Системой контроля управления доступом
(СКУД) зафиксирован уход сотрудника с
работы.
Под учетной записью данного сотрудника
(с его АРМ) осуществляется доступ.
- СКУД;
- Active Directory;
Опционально:
- ОС серверов\рабочих
станций, доступ к которым
нужно отслеживать.
© 2014 Инфосистемы Джет Больше чем безопасность
18
Каталог сценариев – основа правил SIEM
Практика использования SOC для предотвращения
взлома учетной записи пользователя:
Инцидент Критерии Источники
Взлом учетной записи
легитимного
пользователя и отправка
критичных файлов
через почтовый сервер
Успешный вход в систему на АРМ/сервере
после нескольких ошибок.
В течение двух часов осуществлен доступ к
критичным файлам.
В течение этих же двух часов
зафиксирована отправка письма по
корпоративной почте (возможно на
внутренний адрес или на конкретные
домены конкурирующих организаций).
- Active Directory \ ОС
файловых серверах
- Почтовый сервер
-Средства контроля доступа к
файлам
- NetFlow \Межсетевые
экраны с данными между
пользовательским сегментом
и файловым сервером
Взлом учетной записи
легитимного пользователя
и отправка критичных
данных через Интернет в
нерабочее время
Успешный вход в систему на АРМ / сервере
после нескольких ошибок в нерабочее
время.
В течение двух часов осуществлен доступ к
критичным файлам.
В течение этих же двух часов
зафиксирован существенный объем
трафика в интернете.
- Active Directory\ ОС
файловых серверов
- Почтовый сервер
- Средства контроля доступа
к файлам
- NetFlow \ Межсетевые
экраны с данными между
пользовательским сегментом
и файловым сервером
© 2014 Инфосистемы Джет Больше чем безопасность
19
Каталог сценариев – основа правил SIEM
Практика использования SOC для предотвращения
вирусных атак:
Инцидент Критерии Источники
Внутренние SPAM-
рассылки (обнаружено
вирусное программное
обеспечение на рабочей
станции/сервере)
На АРМ / сервере не установлено
антивирусное ПО или вирусные базы не
обновлялись в течение двух дней.
С АРМ / сервера зафиксировано большое
количество событий по отправке
сообщений через электронную / веб-почту.
- Антивирусное программное
обеспечение
- Active Directory
- Почтовый сервер
Обнаружение сетевых
червей
На АРМ / сервере обнаружено большое
количество неуспешных попыток входа в
ОС под различными учетными записями.
Большинство событий в качестве адреса
источника имеют один и тот же IP \
hostname.
- Active Directory\ ОС Windows
- Межсетевой экран (ядра,
периметровый)
- IPS \ IDS
© 2014 Инфосистемы Джет Больше чем безопасность
20
Усиление SIEM: специфичные правила
• Определение ключевых активов;
• Логический анализ способов реализации атак на ключевые активы;
• Заказные итеративные внешние тесты на проникновение.
Тактика защиты от хакера:
• Определение полномочий групп пользователей;
• Усиление СЗИ и правил по принципу need-to-know;
• Заказные итеративные внутренние тесты на проникновение.
Тактика защиты от инсайдера:
© 2014 Инфосистемы Джет Больше чем безопасность
21
Работа с SIEM – это процесс
Мониторинг
Реагирование
Расследование
Усиление СрЗИ
Выявление новых атак
© 2014 Инфосистемы Джет Больше чем безопасность
23
Они такие лояльные, что не хотят
прощаться с CRM при увольнении
© 2014 Инфосистемы Джет Больше чем безопасность
24
Они такие лояльные, что не хотят
прощаться с CRM при увольнении
© 2014 Инфосистемы Джет Больше чем безопасность
25
Они такие лояльные, что не хотят
прощаться с CRM при увольнении
Реагирование на утечку данных
Анализ недавно уволившихся, опрос коллег, сливших учетки
Блокирование доступа по username, IP
Внутреннее расследование
Устраиваются работать в конкурирующие организации
Продолжают пользоваться ресурсами компании
Запросы с IP конкурентов
Десятки учетных записей сливают при увольнении
Учетки друзей, бумажки на мониторе, подсмотренный пароль “qwerty123”
Одновременные обращения с разных IP
© 2014 Инфосистемы Джет Больше чем безопасность
26
Храните деньги в сберегательной кассе!
© 2014 Инфосистемы Джет Больше чем безопасность
27
Храните деньги в сберегательной кассе!
© 2014 Инфосистемы Джет Больше чем безопасность
28
Очередное снятие наличных той же преступной группой
Поимка мошенников Предотвращение очередного
ограбления
Подделка паспорта, обращение в отделение банка для досрочного закрытия депозита
Вывод денежных средств Детектирование закрытия счета /
Реагирование на хищение
Пара человек в банке анализируют счета клиентов в «свободное» от работы время
Список богатых и редко обращающихся в банк людей
Аномальные запросы, выпадающие из профиля работы
Храните деньги в сберегательной кассе!