Cisco Security Operations Virtual Summit · Cisco Security Operations Virtual Summit Введение Алексей Лукацкий 12 ноября 2018 Бизнес-консультант

Cisco Security Operations Virtual Summit ВведениеАлексей Лукацкий

12 ноября 2018Бизнес-консультант по кибербезопасности

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Традиционный подход к ИБИсточники данных

Место обнаружения

Расследование

Цель

Время

Активность

Форензика

Только логи

Периметр

Use Case и корреляция событий

Сбор данных и генерация alert

Время от времени

Реактивный (после инцидента)

Ручные инструменты


Главные препятствия на пути укрепления безопасности

55 %организаций пользуются услугами от 6 до 50 (и больше) поставщиков решений безопасности

65 % организаций используют от 6 до 50 (и больше) продуктов по безопасности

2016 г. (n = 2850)

2016 г. (n = 2860)

Поставщики

Продукты

1–5 (45 %) 6–10 (29 %)

11–20 (18 %) 21–50 (7 %) Более 50 (3 %)

1–5 (35 %) 6–10 (29 %)

11–20 (21 %) 21–50 (11 %)Более 50 (6 %)

Большое количество поставщиков

Большое количество продуктов


При этом среднее время обнаружения (TTD)

Bitglass

205

Trustwave

188

Mandiant

229

Ponemon

206

HP

416Symantec

305

Cisco

200


Почему?

Большинство заказчиков готово к событиям безопасности, но не готово к инцидентам


Повседневная операционная деятельность в области кибербезопасности. Не включает в себя инсталляцию и настройку средств защиты. Сдвиг от продукто-ориентированного к процессо-ориентированному взгляду на кибербезопасность

Security Operations

Мониторинг Анализ Реагирование на инциденты

Engineering (intelligence, платформы)


Проблемы Security Operations

Ресурсы Продукты Алерты

Статичность Скорость ЦенаСтоимость продолжает

растиСкорость обнаружения,

приоритезации и времени реагирования

Статические независимые средств защиты без

оркестрации

Нехватка более 1 миллиона специалистов

Точечные продукты Рост объема числа сигналов тревоги


Типичный цикл события безопасности Получение данных

Внешняя проверка

Внутренний хантинг

Мониторинг

Внесение изменений

Запуск заданий

Уведомления

Любоесредствозащиты


Может ли один продукт решить все задачи?

Сигнатура файлаАнализ метаданных

Анализ поведенияАнализ сетевого взаимодействия

УведомлениеУдаление / карантин / запуск / ограничение

Анализ встречаемости файла в сети и почтеРетроспектива

Блокирование файлаБлокирование C&C

Блокирование домена / DNS

EDR(например, Cisco AMP4E)


Может ли один продукт решить все задачи?

Анализ заголовка и тела письмаРепутация отправителя и почтового сервера

Анализ вложенияАнализ внешних ссылок

УведомлениеУдаление / карантин / перезапись / доставка

Анализ встречаемости файла в сетиРетроспектива

Анализ поведения и взаимодействия вложенияБлокирование файла

Блокирование IP / домена / DNS

E-mail Security(например, Cisco ESA)


Почему?

SecOpsВнутренниймониторинг

ThreatIntelligence

Как это нас касается?

Как?

Это плохо?



ThreatIntelligence



ThreatIntelligence


SecOps

Внутренниймониторинг

ThreatIntelligence


SecOps

ВнутренниймониторингIntelligence

Политика и их применение


SecOps

Политики и их применение


SecOps

EPP NGIPS DNSSecurity И т.д.

Анализфайлов

Репутациядомена

IPрепутация

И т.д.EPP logs

NGIPSlogs

DNSlogs И т.д.

SecuriySolutions


SecOps

Анализфайлов

Репутациядомена

IPрепутация

И т.д.EPP logs

NGIPSlogs

DNSlogs И т.д.

EPP NGIPS DNSSecurity И т.д.


Захват Расследование Локализация Уведомление Документирование

Захват в режиме Poll

Захват в режиме Push

Установить статус

Установить приоритет

Создать артефакт

Анализ файла

Анализ домена

Анализ URL

Анализ IP

Анализ хоста

Заблокировать пользователя

Блокировать хэш

Блокировать URL / домен

Блокировать IP / порт / MAC

Карантин

E-mail

Задача для SOC

Чат

Звонок

Сигнал тревоги

Создать тикет

Обновить тикет

Закрыть тикет

Передать тикет

Запросить тикет

Не только обогащение с помощью TI

Генерация запроса

Получение событий

Блокировать процесс

Отключить сеть

Эскалация Обновить playbook

Создать use case


Пример: анализ файла

• Cisco Threat Grid• VirusTotal• Cuckoo Sandbox

• Блокировать файл• Блокировать IP• Блокировать домен• Блокировать URL• Репутация URL• Репутация домена• Репутация IP• Изменить приоритет• Карантин узла• Получить разрешение• Анализировать файл

• Блокировать процесс• Получить системную

информацию• Запросить TI-информацию• Сохранить файл• Обновить белый/черный список• Запросить аналитика• Послать e-mail• Создать тикет

ВзаимодействиеДействия (операции)


Жизненный цикл Security Operations

События Нормализация / категоризация Корреляция Triage

ИнцидентПравилаХранение

False Positive

Расследованиеи реагирование R&D

Контроль качества

Внешние службы

Извлечение уроков

Playbook / WikiОбогащение


Регламентация процессов и процедур

Use Сase Playbook

Runbook

1

2

3

Use Case – набор тригеров / правил для обнаружения угроз и инцидентов

Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них

Runbook – последовательность шагов при использовании конкретной технологии


Security Operations ≠ технологии

Команда

Технологии

Процессы

Окружение Intelligence

Стратегия Миссия / цели


От Security Operations к SOC

• Мониторинг ключевых сервисов

Network Operations

• Мониторинг приложений и продуктов по ИБ

Enterprise Operations • Процесс

мониторинга ИБ

Security Operations

• Интеграция SOC и ИТ-операций

Cyber Operations Center • Управление

рисками предприятия

Business Fusion Center


В чем разница?

Традиционный подход к ИБ

• В среднем 150 дней• В течение часов• В течение дней

• В течение часов• В течение дней• В течение недель

Подход на базе правильных SecOps

• Непрерывно• В реальном времени• Менее часа

• За минуты• В течение часов• В течение дней

Возможности

• Обнаружение угроз• Классификация угроз• Анализ инцидентов и

составление плана реагирования

• Локализация угрозы• Восстановление от угрозы• Время на возврат к исходному

состоянию


Несоответствие стратегии

Недостаточно компетентный персонал

Неуправляемые ожидания

Низкая точность

Недостаточные инвестиции

Неверная модель реализации

Типичные причины провалов

SOC

К сожалению многие SOCи не оправдывают ожиданий


Сервисная стратегия SOCДрайвера, ожидания заказчика, ключевые принципы и ожидаемый результат

Видениестратегии

Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты

Резюме посервисам

Описание ключевых процессов, необходимых для реализации сервисов SOC

Ключевыепроцессы

Описание структуры команды SOC и всех ролейОрганизационнаястратегия

Описание технологического стека SOCТехнологическаястратегия


Что дальше?

1

2

3

4

5

Захват данных или alerting

Внешняя проверка

Внутренняя проверка

Мониторинг / анализ

Действия

6

7

Уведомления

Что дальше?

Cisco Security Operations Virtual Summit · Cisco Security Operations Virtual Summit Введение Алексей Лукацкий 12 ноября 2018 Бизнес-консультант

Documents