View
10
Download
0
Category
Preview:
Citation preview
SOC Тест-драйв. Что нужно для построения эффективного SOC?
Джордже СтаменковичАО «Цеснабанк»
УРА! У НАС ЕСТЬ SOC!
2
НАСКОЛЬКО ЭФФЕКТИВЕН SOC?
Если SOC отчитываетсяоб отсутствии
серьезных угрозвнутри периметра сети, возникают вопросы…
Так ли это в действительности? Насколько эффективна работа SOC?
Видит ли SOC всё, что должен видеть?3
ЧЕГО ОПАСАТЬСЯ?
● ATMitch: зловред для банкоматов
● Банкер NukeBot
● Целевые атаки группировки Silence4
● проверить существующие механизмы защиты
● протестировать эффективность новых механизмов
● оценить готовность SOC к различным типам атак
SOC ТЕСТ-ДРАЙВ
5
Выбор опытной команды
для проведения имитации реальных атак
и оценки системы реагирования на них.
SOC ТЕСТ-ДРАЙВ
6
- Цель упражнения -протестировать защиту, когда "преступник" уже получил доступ к сети.
- Мы предоставили группе атакующих доступ к внутренней сети, но наша ИБ/SOC команда знала про время атаки.
БИТВА НАЧАЛАСЬ
Задача нашей команды – обнаружить и локализовать угрозы, проанализировать их и нейтрализовать
7
РАЗВИТИЕ АТАКИ
ОНИ МЫ
Нацелились на Win infrastructure, domain admin
Анализировали их действия, определяли цели атак
Сканирование, атаки, компрометация серверов/аккаунтов
Оперативное получение информации и реагирование на атаки: блокировка
доступа, смена паролей, локдаунсерверов
Захват некоторых систем Выдавливание из захваченных систем, чтобы атакующий не мог закрепиться
и развить атаку. 8
АНАЛИЗ АТАКИ - ОбнаружениеДля обнаружения и понимания вектора атак наибольшую пользу принесли механизмы, позволяющие обнаружить:• Сканирование сервисов
• Брут-форс атаки
• Инсталляцию подозрительных сервисов
• Запуск подозрительных файлов
• Присутствие вредоносного ПО
• Автоматизированную активность в ИС
Кроме того активно использовались еще и• Кибер-ловушки и хани-поты 9
АНАЛИЗ АТАКИ – Hunting, Forensics
10
A1 A2 A3 A4 A5 A6 A7 A8 A9 A10
B1 B2 B3 B4 B5 B6 B7 B8 B9 B10
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10
D1 D2 D3 D4 D5 D6 D7 D8 D9 D10
E1 E2 E3 E4 E5 E6 E7 E8 E9 E10
F1 F2 F3 F4 F5 F6 F7 F8 F9 F10
G1 G2 G3 G4 G5 G6 G7 G8 G9 G10
H1 H2 H3 H4 H5 H6 H7 H8 H9 H10
I1 I2 I3 I4 I5 I6 I7 I8 I9 I10
J1 J2 J3 J4 J5 J6 J7 J8 J9 J10
K1 K2 K3 K4 K5 K6 K7 K8 K9 K10
L1 L2 L3 L4 L5 L6 L7 L8 L9 L10
M1 M2 M3 M4 M5 M6 M7 M8 M9 M10
N1 N2 N3 N4 N5 N6 N7 N8 N9 N10
Наиболее эффективныеметоды защиты:
● Network Hardening (DAI,отключение протоколовLLMNR, NBNS, сегментация сети)
● Privileged UserManagement (LAPS, Admin VLAN, Admin Workstations)
● Нестандартные ИБ-решения
● SOC (обнаружение и реагирование)
АНАЛИЗ ЭФФЕКТИВНОСТИ ЗАЩИТЫ
11
ВЫВОДЫ
• Всегда будут уязвимости• Часто случаются нарушения
политик безопасности персоналом
• Всегда будут недостатки втехнических средствах контроля
НАШ ИНСАЙТ
Хорошо организованный SOCповышает общий уровень
безопасности организации икомпенсирует риски
неизвестных угроз 12
Покрытие системами мониторинга:Полное покрытие активов системой мониторинга позволяет обнаруживать атаки на ранней стадии.
детект атаки, когда она дошла до критического ресурса = поздно!
Инструменты анализа логов:Возможность проводить интерактивный полнотекстовый (#быстрый=своевременный) поиск в логах в ходе расследования.
информация, полученная после завершения атаки = бесполезно!
ВЫВОДЫ: Эффективный SOC - Технологии
13
14
SOC- стал стратегическим направлением развития- был выделен организационно из структуры ИБ- активно взаимодействует с Центром Компетенций, Red
Team, подразделениями ИТ и ИБ
ВЫВОДЫ: Эффективный SOC - Организация
15
SOC
IT
Inf.Security
SIEMvendor
Red Team
CompetenceCenter
Thre
ats
info
Threat intelligence
IoC
IoCSIEM Rules
Feedback
SIEM Rules
Inf.Security
CompetenceCenter
Threat intelligence
IT
Red Team
Inf.Security
CompetenceCenter
Threat intelligence
ВЫВОДЫ: Эффективный SOC - Организация
ЧЕМ НАСЫТИТЬ SIEM?
16
17
Recommended