View
13.837
Download
0
Category
Preview:
Citation preview
Этапыпостроенияцентрамониторингаиреагирования
наинцидентыИБ
ПрозоровАндрей,CISMРуководительэкспертногонаправления
КомпанияSolarSecurity
Мойблог: 80na20.blogspot.comМойтвиттер:twitter.com/3dwave
2017-02
I. НемноговводнойинформациипроSOCII. SOCпоФСТЭКРоссииIII. Рекомендациипропостроение
центрамониторингаиреагированиянаинцидентыИБ
2
Очемэтапрезентация?
Мониторинг: Систематическое или непрерывноенаблюдение за объектом с обеспечением контроля и/илиизмерения его параметров, а также проведение анализа сцелью предсказания изменчивости параметров и принятиярешения о необходимости и составе корректирующих ипредупреждающих действий.
3
Базовыйтермин
ГОСТР53114-2008«Защитаинформации.Обеспечениеинформационнойбезопасностиворганизации.Основныетерминыиопределения»
I
4
• ИзмерениеИБ(общее)
• …
• Анализугрозирисков• АнализуязвимостейИС• Анализкодаприложений• Анализправдоступа• УправлениесобытиямиИБ• Тестированиенапроникновение
• Контрольустраненияранеевыявленныхуязвимостей
• Контрольвыполнениятребований(тех.аудит)
• …
• АдминистрированиеСЗИ
• Обучениеиповышениеосведомленности
• Управлениеинцидентами
• …
Мониторинг SOC
5
ОтчетыпоинцидентамИБ
http://solarsecurity.ru/analytics/reports/
6
• ИспользованиеTORнахосте(нарушениеправилработыиливредоносноеПО)• Проблемысучетнымизаписями(критичныепривилегииигруппы,
кратковременноепревышение привилегий,созданиевовнерабочее времяипр.)• Обнаружение невылеченных вредоносных объектов на рабочих станциях• Модификация критичных веток реестра• Большоеколичествообнаруженныхиневылеченныхобъектовкатегорииnot-a-
virus(могут«докачивать»исполняемыефайлы)• ОбнаружениеиндикаторовкомпрометацииThreatIntelligence• Использованиесредствудаленногоадминистрирования (teamviewer,ammyy
admin)• Успешныепопыткиподключенияизразличныхстранвкорпоративнуюсеть• Подозрительнаяактивностьвночноевремя,выходныеипраздники• Значительныеобъемытрафиканаразличныеоблачныехранилищаисторонние
почтовыесерверы• Очисткажурналоваудита• …
7
Типовыеинциденты* (ежедневно)
*ИзотчетовпоинцидентамИБ,выявленнымSolarJSOC, ворганахгос.властиигос.компаниях
ДляИБважносвоевременно:• обнаруживать«слабости»ИБ• обнаруживатьинциденты ИБ• реагировать наних
8
9
Решение- SOC
Технологии
Процессы
Люди
• 1ялиния(обнаружение)• 2ялиния(расследованиеиреагирование)• 3ялиния(экспертнаяподдержка,
руководство,юр.вопросы)
Технологии,обеспечивающие:• Взаимодействиеперсонала• ИнвентаризациюИСиконтроль
конфигурации• Выявлениеуязвимостей• АнализсобытийИБ• Учетиобработку инцидентов• Управлениязнаниями
• Анализкода(прикладноеПО,вредоносноеПО)
• Сборцифровыхдоказательств
• СЗИ(МСЭ,IPS,DLP,Sandbox, ипр.)
• …
• Инвентаризация• Анализугроз/рисков• Выявлениеуязвимостей• Тестированиенапроникновение• Контрольустраненияранее
выявленныхуязвимостей• Контрольвыполнениятребований(аудит)• Анализкодаприложений• Обучениеиповышениеосведомленности• УправлениесобытиямиИБ• Управлениеинцидентами• ...
10
ПроцессобнаруженияиреагированиянаинцидентыИБ
SOCвПриказ17/21/31
V.Регистрациясобытийбезопасности(РСБ)
VII.Обнаружениевторжений(СОВ)
XIV.Обеспечениебезопаснойразработки
прикладного(специального)ПОразработчиком(ОБР)
XVIII. Информированиеиобучениеперсонала(ИПО)
XIX.Анализугрозбезопасностиинформацииирисковотихреализации
(УБИ)
VIII.Контроль(анализ)защищенности
информации(АНЗ)
XX.Выявлениеинцидентовиреагированиенаних
(ИНЦ)
XXI.Управлениеконфигурацией
автоматизированнойсистемыуправленияиеесистемызащиты(УКФ)
II
ПП РФ N 79 «О лицензировании деятельностипо технической защите конфиденциальнойинформации» (с 17.06.2017):4. При осуществлении лицензируемого видадеятельности лицензированию подлежат:в) услуги по мониторингу информационнойбезопасности средств и систем информатизации.
По сути, это новый вид лицензируемойдеятельности…
12
ЛицензиянаТЗКИ
13
ОборудованиеSOC(поФСТЭК)• Программноесредствоконтроля
целостностипрограммипрограммныхкомплексов
• Системаконтроля(анализа)защищенностиИС
• Средства,предназначенныедляосуществлениятестированиянапроникновение
• Межсетевойэкрануровнявеб-сервера• Межсетевойэкрануровнясети• Средство(средства)антивирусной
защиты,предназначенное(предназначенные)дляприменениянасерверахиавтоматизированныхрабочихместахИСисредство(средства)ихцентрализованногоадминистрирования
• Системаобнаружениявторжений• Средствоавтоматизированного
реагированиянаинцидентыИБ• Замкнутаясистема(среда)
предварительноговыполненияпрограмм(обращениякобъектамфайловойсистемы)
• Системауправленияинформациейобугрозахбезопасностиинформации
• Системауправлениясобытиямибезопасностиинформации
• СистемауправленияинцидентамиИБ• Средство(средства)защитыканалов
передачиданных
• Информационнаясистема,предназначеннаядлямониторингаИБ
НеобходимасертификацияСЗИНеобходимовыполнитьтребованияПриказа№17
14
ТиповыепроблемыпостроенияSOC
III
Ресурсные Организационные• Нетбюджета• Неткадров• Отсутствие
методологий(рекомендаций)
• Отсутствиекурсовповышенияквалификации
• …
• Ориентирна«бумажнуюбезопасность»(compliance)
• Слабоевзаимодействиесрегулятором• НизкийуровеньзрелостипроцессовИБ(СЗИ
закуплены,нопрактическинеиспользуются)• Отсутствие поддержкируководства• Надосрочно…• Непонятносчегоначинать• …
• ТипI:Внутренний(собственный)SOC
• ТипII:Общий(ведомственный)SOC
• ТипIII:ВнешнийSOC(аутсорсинг)
15
МоделиSOC
ТипI ТипII ТипIIIПричинавыбора Наличиересурсови
желаниевседелатьсамостоятельно
Требование материнскойкомпании/регулятора
Желаниеоптимизироватьресурсы/ ихнехватка
Затраты CAPEX + OPEX, частьзатратможетбытьскрытым
OPEX (номожетбытьбесплатно), предсказуемые
OPEX,предсказуемые
Кол-воперсонала(Заказчик)
Большоеподразделение(3линииSOC)
1сервис менеджер 1сервис менеджер
Скорость запуска Медленно,надопостроитьSOC
Быстро, надоподключитьуслуги
Быстро, надоподключитьуслуги
Пониманиеконтекста
Высокое Среднее Низкое
Режимработы Обычно8х5 или12х5 Обычно24х7 Обычно24х7
Доступ кИСиСЗИ Внутренний Внешний Внешний
Возможностипореагированиюигибкость
Полные Расширенные Врамках SLA
ЛицензиянаТЗКИ(мониторинг)
Нет Да Да
16
СравнениемоделейSOC
17
ЭтапывнедренияSOC
ТипI ТипII ТипIII
Обоснованиебюджета Обоснованиебюджета Обоснованиебюджета
Инвентаризацияиаудит Выборсервисов Выборпровайдераисервисов
Проектированиерешения Согласованиетребований(SLA) ипланаинтеграции
Согласованиетребований(SLA) ипланаинтеграции
Закупка, внедрение,настройка,обучениеперсонала.Опытная
эксплуатация
Пилотное внедрение Пилотное внедрение
Переводвпромышленнуюэксплуатацию
Переводвпромышленнуюэксплуатацию
Переводвпромышленнуюэксплуатацию
Оценкаипланированиесовершенствования
Оценкаипланированиесовершенствования
Оценкаипланированиесовершенствования
ВажнопониматьпроSOC
• SOC– этолюди,процессыитехнологии• ВажнопониматьцелиизадачиSOC(мониторинг,
реагирование,единыйцентркомпетенцийилидр.)• НевозможносовмещатьпроцессыSOCсдругой
деятельностью• ОсноваSOC– аналитики.Нужныквалифицированныеи
мотивированныекадры!• Начинатьстоитсрежимаработы8х5,нозадатьцелью24х7• Каждыйинцидент– поводдляразвитиясистемыИБ• ВажнообеспечитьвзаимодействиесдругимиSOC / CERT /
Гос.организациями,ответственнымизаИБ.Клуб«SOCвРоссии»- http://soc-club.ru
На следующую неделю• ПеречитайтеПриказ№17 иМетодические рекомендации кнему…• Оцените зрелость процессов, необходимых для SOC
На 3 месяца• Поймите и примите необходимость управления инцидентами и
донесите эту мысль до руководства• Актуализируйте перечень важных информационных ресурсов• Определите уместный тип SOC (I, II, III)• Определите необходимыересурсы (люди, процессы, технологии)• Решите с лицензией на ТЗКИ• Подготовьте верхнеуровневыйплан работ
На год• Запустите процессы: Управление уязвимостями, Управление
событиями ИБ и Управлениеинцидентами
19
Простыерекомендации
Спасибозавнимание!
ПрозоровАндрей,CISM
Мойблог:80na20.blogspot.comМойтвиттер:twitter.com/3dwave
Мояпочта:a.prozorov@solarsecurity.ru
Recommended