Cisco Security Operations Virtual Summit Введение Алексей Лукацкий 12 ноября 2018 Бизнес-консультант по кибербезопасности
Cisco Security Operations Virtual Summit ВведениеАлексей Лукацкий
12 ноября 2018Бизнес-консультант по кибербезопасности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Традиционный подход к ИБИсточники данных
Место обнаружения
Расследование
Цель
Время
Активность
Форензика
Только логи
Периметр
Use Case и корреляция событий
Сбор данных и генерация alert
Время от времени
Реактивный (после инцидента)
Ручные инструменты
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Главные препятствия на пути укрепления безопасности
55 %организаций пользуются услугами от 6 до 50 (и больше) поставщиков решений безопасности
65 % организаций используют от 6 до 50 (и больше) продуктов по безопасности
2016 г. (n = 2850)
2016 г. (n = 2860)
Поставщики
Продукты
1–5 (45 %) 6–10 (29 %)
11–20 (18 %) 21–50 (7 %) Более 50 (3 %)
1–5 (35 %) 6–10 (29 %)
11–20 (21 %) 21–50 (11 %)Более 50 (6 %)
Большое количество поставщиков
Большое количество продуктов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
При этом среднее время обнаружения (TTD)
Bitglass
205
Trustwave
188
Mandiant
229
Ponemon
206
HP
416Symantec
305
Cisco
200
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Почему?
Большинство заказчиков готово к событиям безопасности, но не готово к инцидентам
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Повседневная операционная деятельность в области кибербезопасности. Не включает в себя инсталляцию и настройку средств защиты. Сдвиг от продукто-ориентированного к процессо-ориентированному взгляду на кибербезопасность
Security Operations
Мониторинг Анализ Реагирование на инциденты
Engineering (intelligence, платформы)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Проблемы Security Operations
Ресурсы Продукты Алерты
Статичность Скорость ЦенаСтоимость продолжает
растиСкорость обнаружения,
приоритезации и времени реагирования
Статические независимые средств защиты без
оркестрации
Нехватка более 1 миллиона специалистов
Точечные продукты Рост объема числа сигналов тревоги
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Типичный цикл события безопасности Получение данных
Внешняя проверка
Внутренний хантинг
Мониторинг
Внесение изменений
Запуск заданий
Уведомления
Любоесредствозащиты
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Может ли один продукт решить все задачи?
Сигнатура файлаАнализ метаданных
Анализ поведенияАнализ сетевого взаимодействия
УведомлениеУдаление / карантин / запуск / ограничение
Анализ встречаемости файла в сети и почтеРетроспектива
Блокирование файлаБлокирование C&C
Блокирование домена / DNS
EDR(например, Cisco AMP4E)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Может ли один продукт решить все задачи?
Анализ заголовка и тела письмаРепутация отправителя и почтового сервера
Анализ вложенияАнализ внешних ссылок
УведомлениеУдаление / карантин / перезапись / доставка
Анализ встречаемости файла в сетиРетроспектива
Анализ поведения и взаимодействия вложенияБлокирование файла
Блокирование IP / домена / DNS
E-mail Security(например, Cisco ESA)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Почему?
SecOpsВнутренниймониторинг
ThreatIntelligence
Как это нас касается?
Как?
Это плохо?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOpsВнутренниймониторинг
ThreatIntelligence
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOpsВнутренниймониторинг
ThreatIntelligence
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOps
Внутренниймониторинг
ThreatIntelligence
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOps
ВнутренниймониторингIntelligence
Политика и их применение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOps
Политики и их применение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOps
EPP NGIPS DNSSecurity И т.д.
Анализфайлов
Репутациядомена
IPрепутация
И т.д.EPP logs
NGIPSlogs
DNSlogs И т.д.
SecuriySolutions
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SecOps
Анализфайлов
Репутациядомена
IPрепутация
И т.д.EPP logs
NGIPSlogs
DNSlogs И т.д.
EPP NGIPS DNSSecurity И т.д.
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Захват Расследование Локализация Уведомление Документирование
Захват в режиме Poll
Захват в режиме Push
Установить статус
Установить приоритет
Создать артефакт
Анализ файла
Анализ домена
Анализ URL
Анализ IP
Анализ хоста
Заблокировать пользователя
Блокировать хэш
Блокировать URL / домен
Блокировать IP / порт / MAC
Карантин
Задача для SOC
Чат
Звонок
Сигнал тревоги
Создать тикет
Обновить тикет
Закрыть тикет
Передать тикет
Запросить тикет
Не только обогащение с помощью TI
Генерация запроса
Получение событий
Блокировать процесс
Отключить сеть
Эскалация Обновить playbook
Создать use case
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Пример: анализ файла
• Cisco Threat Grid• VirusTotal• Cuckoo Sandbox
• Блокировать файл• Блокировать IP• Блокировать домен• Блокировать URL• Репутация URL• Репутация домена• Репутация IP• Изменить приоритет• Карантин узла• Получить разрешение• Анализировать файл
• Блокировать процесс• Получить системную
информацию• Запросить TI-информацию• Сохранить файл• Обновить белый/черный список• Запросить аналитика• Послать e-mail• Создать тикет
ВзаимодействиеДействия (операции)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Жизненный цикл Security Operations
События Нормализация / категоризация Корреляция Triage
ИнцидентПравилаХранение
False Positive
Расследованиеи реагирование R&D
Контроль качества
Внешние службы
Извлечение уроков
Playbook / WikiОбогащение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Регламентация процессов и процедур
Use Сase Playbook
Runbook
1
2
3
Use Case – набор тригеров / правил для обнаружения угроз и инцидентов
Playbook – сценарий, описывающий набор действий по обнаружению, анализу, нейтрализации, реагированию на инциденты и восстановлению после них
Runbook – последовательность шагов при использовании конкретной технологии
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Security Operations ≠ технологии
Команда
Технологии
Процессы
Окружение Intelligence
Стратегия Миссия / цели
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
От Security Operations к SOC
• Мониторинг ключевых сервисов
Network Operations
• Мониторинг приложений и продуктов по ИБ
Enterprise Operations • Процесс
мониторинга ИБ
Security Operations
• Интеграция SOC и ИТ-операций
Cyber Operations Center • Управление
рисками предприятия
Business Fusion Center
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
В чем разница?
Традиционный подход к ИБ
• В среднем 150 дней• В течение часов• В течение дней
• В течение часов• В течение дней• В течение недель
Подход на базе правильных SecOps
• Непрерывно• В реальном времени• Менее часа
• За минуты• В течение часов• В течение дней
Возможности
• Обнаружение угроз• Классификация угроз• Анализ инцидентов и
составление плана реагирования
• Локализация угрозы• Восстановление от угрозы• Время на возврат к исходному
состоянию
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Несоответствие стратегии
Недостаточно компетентный персонал
Неуправляемые ожидания
Низкая точность
Недостаточные инвестиции
Неверная модель реализации
Типичные причины провалов
SOC
К сожалению многие SOCи не оправдывают ожиданий
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сервисная стратегия SOCДрайвера, ожидания заказчика, ключевые принципы и ожидаемый результат
Видениестратегии
Описание сервисов SOC – модель реализации, владелец, вход и выход для сервиса, компоненты
Резюме посервисам
Описание ключевых процессов, необходимых для реализации сервисов SOC
Ключевыепроцессы
Описание структуры команды SOC и всех ролейОрганизационнаястратегия
Описание технологического стека SOCТехнологическаястратегия
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Что дальше?
1
2
3
4
5
Захват данных или alerting
Внешняя проверка
Внутренняя проверка
Мониторинг / анализ
Действия
6
7
Уведомления
Что дальше?