Этапыпостроенияцентрамониторингаиреагирования

наинцидентыИБ

ПрозоровАндрей,CISMРуководительэкспертногонаправления

КомпанияSolarSecurity

Мойблог: 80na20.blogspot.comМойтвиттер:twitter.com/3dwave

2017-02

I. НемноговводнойинформациипроSOCII. SOCпоФСТЭКРоссииIII. Рекомендациипропостроение

центрамониторингаиреагированиянаинцидентыИБ

2

Очемэтапрезентация?

Мониторинг: Систематическое или непрерывноенаблюдение за объектом с обеспечением контроля и/илиизмерения его параметров, а также проведение анализа сцелью предсказания изменчивости параметров и принятиярешения о необходимости и составе корректирующих ипредупреждающих действий.

3

Базовыйтермин

ГОСТР53114-2008«Защитаинформации.Обеспечениеинформационнойбезопасностиворганизации.Основныетерминыиопределения»

I

4

• ИзмерениеИБ(общее)

• …

• Анализугрозирисков• АнализуязвимостейИС• Анализкодаприложений• Анализправдоступа• УправлениесобытиямиИБ• Тестированиенапроникновение

• Контрольустраненияранеевыявленныхуязвимостей

• Контрольвыполнениятребований(тех.аудит)

• …

• АдминистрированиеСЗИ

• Обучениеиповышениеосведомленности

• Управлениеинцидентами

• …

Мониторинг SOC

5

ОтчетыпоинцидентамИБ

http://solarsecurity.ru/analytics/reports/

6

• ИспользованиеTORнахосте(нарушениеправилработыиливредоносноеПО)• Проблемысучетнымизаписями(критичныепривилегииигруппы,

кратковременноепревышение привилегий,созданиевовнерабочее времяипр.)• Обнаружение невылеченных вредоносных объектов на рабочих станциях• Модификация критичных веток реестра• Большоеколичествообнаруженныхиневылеченныхобъектовкатегорииnot-a-

virus(могут«докачивать»исполняемыефайлы)• ОбнаружениеиндикаторовкомпрометацииThreatIntelligence• Использованиесредствудаленногоадминистрирования (teamviewer,ammyy

admin)• Успешныепопыткиподключенияизразличныхстранвкорпоративнуюсеть• Подозрительнаяактивностьвночноевремя,выходныеипраздники• Значительныеобъемытрафиканаразличныеоблачныехранилищаисторонние

почтовыесерверы• Очисткажурналоваудита• …

7

Типовыеинциденты* (ежедневно)

*ИзотчетовпоинцидентамИБ,выявленнымSolarJSOC, ворганахгос.властиигос.компаниях

ДляИБважносвоевременно:• обнаруживать«слабости»ИБ• обнаруживатьинциденты ИБ• реагировать наних

8

9

Решение- SOC

Технологии

Процессы

Люди

• 1ялиния(обнаружение)• 2ялиния(расследованиеиреагирование)• 3ялиния(экспертнаяподдержка,

руководство,юр.вопросы)

Технологии,обеспечивающие:• Взаимодействиеперсонала• ИнвентаризациюИСиконтроль

конфигурации• Выявлениеуязвимостей• АнализсобытийИБ• Учетиобработку инцидентов• Управлениязнаниями

• Анализкода(прикладноеПО,вредоносноеПО)

• Сборцифровыхдоказательств

• СЗИ(МСЭ,IPS,DLP,Sandbox, ипр.)

• …

• Инвентаризация• Анализугроз/рисков• Выявлениеуязвимостей• Тестированиенапроникновение• Контрольустраненияранее

выявленныхуязвимостей• Контрольвыполнениятребований(аудит)• Анализкодаприложений• Обучениеиповышениеосведомленности• УправлениесобытиямиИБ• Управлениеинцидентами• ...

10

ПроцессобнаруженияиреагированиянаинцидентыИБ

SOCвПриказ17/21/31

V.Регистрациясобытийбезопасности(РСБ)

VII.Обнаружениевторжений(СОВ)

XIV.Обеспечениебезопаснойразработки

прикладного(специального)ПОразработчиком(ОБР)

XVIII. Информированиеиобучениеперсонала(ИПО)

XIX.Анализугрозбезопасностиинформацииирисковотихреализации

(УБИ)

VIII.Контроль(анализ)защищенности

информации(АНЗ)

XX.Выявлениеинцидентовиреагированиенаних

(ИНЦ)

XXI.Управлениеконфигурацией

автоматизированнойсистемыуправленияиеесистемызащиты(УКФ)

II

ПП РФ N 79 «О лицензировании деятельностипо технической защите конфиденциальнойинформации» (с 17.06.2017):4. При осуществлении лицензируемого видадеятельности лицензированию подлежат:в) услуги по мониторингу информационнойбезопасности средств и систем информатизации.

По сути, это новый вид лицензируемойдеятельности…

12

ЛицензиянаТЗКИ

13

ОборудованиеSOC(поФСТЭК)• Программноесредствоконтроля

целостностипрограммипрограммныхкомплексов

• Системаконтроля(анализа)защищенностиИС

• Средства,предназначенныедляосуществлениятестированиянапроникновение

• Межсетевойэкрануровнявеб-сервера• Межсетевойэкрануровнясети• Средство(средства)антивирусной

защиты,предназначенное(предназначенные)дляприменениянасерверахиавтоматизированныхрабочихместахИСисредство(средства)ихцентрализованногоадминистрирования

• Системаобнаружениявторжений• Средствоавтоматизированного

реагированиянаинцидентыИБ• Замкнутаясистема(среда)

предварительноговыполненияпрограмм(обращениякобъектамфайловойсистемы)

• Системауправленияинформациейобугрозахбезопасностиинформации

• Системауправлениясобытиямибезопасностиинформации

• СистемауправленияинцидентамиИБ• Средство(средства)защитыканалов

передачиданных

• Информационнаясистема,предназначеннаядлямониторингаИБ

НеобходимасертификацияСЗИНеобходимовыполнитьтребованияПриказа№17

14

ТиповыепроблемыпостроенияSOC

III

Ресурсные Организационные• Нетбюджета• Неткадров• Отсутствие

методологий(рекомендаций)

• Отсутствиекурсовповышенияквалификации

• …

• Ориентирна«бумажнуюбезопасность»(compliance)

• Слабоевзаимодействиесрегулятором• НизкийуровеньзрелостипроцессовИБ(СЗИ

закуплены,нопрактическинеиспользуются)• Отсутствие поддержкируководства• Надосрочно…• Непонятносчегоначинать• …

• ТипI:Внутренний(собственный)SOC

• ТипII:Общий(ведомственный)SOC

• ТипIII:ВнешнийSOC(аутсорсинг)

15

МоделиSOC

ТипI ТипII ТипIIIПричинавыбора Наличиересурсови

желаниевседелатьсамостоятельно

Требование материнскойкомпании/регулятора

Желаниеоптимизироватьресурсы/ ихнехватка

Затраты CAPEX + OPEX, частьзатратможетбытьскрытым

OPEX (номожетбытьбесплатно), предсказуемые

OPEX,предсказуемые

Кол-воперсонала(Заказчик)

Большоеподразделение(3линииSOC)

1сервис менеджер 1сервис менеджер

Скорость запуска Медленно,надопостроитьSOC

Быстро, надоподключитьуслуги

Быстро, надоподключитьуслуги

Пониманиеконтекста

Высокое Среднее Низкое

Режимработы Обычно8х5 или12х5 Обычно24х7 Обычно24х7

Доступ кИСиСЗИ Внутренний Внешний Внешний

Возможностипореагированиюигибкость

Полные Расширенные Врамках SLA

ЛицензиянаТЗКИ(мониторинг)

Нет Да Да

16

СравнениемоделейSOC

17

ЭтапывнедренияSOC

ТипI ТипII ТипIII

Обоснованиебюджета Обоснованиебюджета Обоснованиебюджета

Инвентаризацияиаудит Выборсервисов Выборпровайдераисервисов

Проектированиерешения Согласованиетребований(SLA) ипланаинтеграции

Согласованиетребований(SLA) ипланаинтеграции

Закупка, внедрение,настройка,обучениеперсонала.Опытная

эксплуатация

Пилотное внедрение Пилотное внедрение

Переводвпромышленнуюэксплуатацию

Переводвпромышленнуюэксплуатацию

Переводвпромышленнуюэксплуатацию

Оценкаипланированиесовершенствования

Оценкаипланированиесовершенствования

Оценкаипланированиесовершенствования

ВажнопониматьпроSOC

• SOC– этолюди,процессыитехнологии• ВажнопониматьцелиизадачиSOC(мониторинг,

реагирование,единыйцентркомпетенцийилидр.)• НевозможносовмещатьпроцессыSOCсдругой

деятельностью• ОсноваSOC– аналитики.Нужныквалифицированныеи

мотивированныекадры!• Начинатьстоитсрежимаработы8х5,нозадатьцелью24х7• Каждыйинцидент– поводдляразвитиясистемыИБ• ВажнообеспечитьвзаимодействиесдругимиSOC / CERT /

Гос.организациями,ответственнымизаИБ.Клуб«SOCвРоссии»- http://soc-club.ru

На следующую неделю• ПеречитайтеПриказ№17 иМетодические рекомендации кнему…• Оцените зрелость процессов, необходимых для SOC

На 3 месяца• Поймите и примите необходимость управления инцидентами и

донесите эту мысль до руководства• Актуализируйте перечень важных информационных ресурсов• Определите уместный тип SOC (I, II, III)• Определите необходимыересурсы (люди, процессы, технологии)• Решите с лицензией на ТЗКИ• Подготовьте верхнеуровневыйплан работ

На год• Запустите процессы: Управление уязвимостями, Управление

событиями ИБ и Управлениеинцидентами

19

Простыерекомендации

Спасибозавнимание!

ПрозоровАндрей,CISM

Мойблог:80na20.blogspot.comМойтвиттер:twitter.com/3dwave

Мояпочта:a.prozorov@solarsecurity.ru