Upload
jetinformationsecurity
View
201
Download
2
Embed Size (px)
DESCRIPTION
Информационная безопасность на аутсорсинге. Опыт построения первого мониторингового центра в России.
Citation preview
Владимир Дрюков,
Руководитель направления аутсорсинга ИБ
Центр Информационной Безопасности
JSOC мы строили-строили и
построили
4 июня 2014 г.
© 2014 Инфосистемы Джет Больше чем безопасность
2
Международный опыт
MSS – Managed Security Services
• Рынок MSS в 2012 году составил $6,6 млрд
• Из них SOC – $1,2 млрд
• Прогноз: к 2016 году рынок MSSP достигнет $15,6 млрд
Пример: HP
• 14 лет на рынке MSS
• Более 55 Global MSSP партнеров, 40 по ArcSight
• Более тысячи заказчиков (в том числе Vodafone, Swisscom)
© 2014 Инфосистемы Джет Больше чем безопасность
3
JSOC: TTX
• Услуге уже полтора года
• 12 Заказчиков
• 135 инцидентов в день
• Процент выполнения SLA – 98,5%
• Этап подключения занимает
от 2 недель до месяца
• За первый месяц выявляются:
• около 10 инцидентов несанкционированного доступа
• не менее 5 утечек конфиденциальной информации
• 8–10 пользователей, нарушающих политики доступа в интернет
• непрофильное использование технологических учетных записей и боевых систем
© 2014 Инфосистемы Джет Больше чем безопасность
4
JSOC - начало
Стартовые показатели:
• 2 инженера мониторинга
• Аналитик
• Руководитель направления
• 2 сервера в кластерной
конфигурации
• 1 Заказчик, 3 пилотных проекта
• Время реакции – 30 минут
• Время анализа – 2 часа
© 2014 Инфосистемы Джет Больше чем безопасность
5
Какой опыт мы вынесли
Технически: ● Контроль состояния источников
● Стандартные коннекторы переписаны
● Кейс-менеджмент в ArcSight
Организационно: ● SOC должен быть 24*7
● 1-ую линию нельзя отдать в ИТ
● Заказчики не строят 24*7
© 2014 Инфосистемы Джет Больше чем безопасность
6
Расходы на SOC – скрытая угроза
Разовые затраты:
• Закупка оборудования и лицензий
• Проектирование
• Пусконаладка
Ежегодно:
• Сервис вендора/интегратора
• Обеспечение SLA – 1-я линия
• Развитие системы – свой аналитик
• Развитие системы – интегратор
• Компетенции – обучение
• Кадровые вопросы
© 2014 Инфосистемы Джет Больше чем безопасность
7
Сравнение стоимости – 100 источников
0
100
200
300
400
500
600
700
800
900
1000
Свой SOC
JSOC
Старт выявления инцидентов ИБ
1 год 2 год 3 год 4 год
© 2014 Инфосистемы Джет Больше чем безопасность
8
Архитектура
© 2014 Инфосистемы Джет Больше чем безопасность
9
Люди
Группа разбора инцидентов
Руководитель JSOC
Группа администрирования
Группа развития JSOC
(архитектор, ведущий
аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
© 2014 Инфосистемы Джет Больше чем безопасность
10
Процессы
Выявление инцидента,Первоначальная классификация,Первоначальная приоритезация
Назначение исполнителя из 1-ой линии
Анализ инцидента,Протоколирование исследования
Необходима эскалация по экспертизе?
Передача инцидента 2-ой линии/аналитику
ДА
НЕТ
False Positive? Закрытие как FP
Информирование Заказчика, предоставление информации по инциденту и требуемых отчетов
Нужна дополнительная информация?
Закрытие задачи
НЕТ
Необходима эскалация по критичности?
Уведомление Заказчика и аналитика, формирование группы разбора инцидента
ДА
НЕТ
ДА
ДА
НЕТ
Администрируем ли СЗИ? ДА
ДА
Передача задачи по устранению группе администрирования
© 2014 Инфосистемы Джет Больше чем безопасность
11
SLA
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время
обнаружения
инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой
диагностики и
информирования
заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи
рекомендаций по
противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч
© 2014 Инфосистемы Джет Больше чем безопасность
12
Подключение – если SIEM нет
Как это выглядит: 1. Оборудование и лицензии – арендная схема
2. Мониторинг и анализ инцидентов – силами
Джет
3. Подключение – установка сервера
коннекторов и настройка источников
Преимущества: • Нет стартовых вложений
• Быстрый запуск услуги – до 1,5 месяцев
• Минимизация расходов на персонал
© 2014 Инфосистемы Джет Больше чем безопасность
13
Подключение - если SIEM уже есть
Как это выглядит: 1. Оборудование и лицензии – в
собственности Заказчика
2. Правила SIEM обогащаются сценариями
JSOC
3. Команда JSOC анализирует все
инциденты в SIEM
Преимущества: • При отказе от услуги остается настроенный SIEM
• Стоимость услуги ниже – нет аренды лицензий и оборудования
Ограничения: • Отказоустойчивость системы – в рамках площадки
• Расширение услуги требует закупки лицензий
© 2014 Инфосистемы Джет Больше чем безопасность
14
Программы обслуживания
Compliance: ● Источники из scope PCI DSS
● Сценарии, определенные стандартом
● Время на подключение – 2 недели
Мониторинг инцидентов ИБ ● Источники – инфраструктура и бизнес-приложения
● Время на подключение – от 1 до 2 месяцев
Мониторинг и противодействие • Включая управление СЗИ
• Время подключения – от 1 до 2 месяцев
© 2014 Инфосистемы Джет Больше чем безопасность
15
Первый шаг к JSOC – пробное подключение
Немного информации:
• Сейчас - бесплатно
• Минимум работ ИТ-подразделений
• Срок – от 1 до 2 месяцев
• Типовые источники и инциденты
• Режим 24*7
Преимущества JSOC:
• Попробовать услугу без финансовых трат
• Оценить состояние безопасности
• Посчитать количество источников для подключения
• Выбрать максимально комфортный SLA
© 2014 Инфосистемы Джет Больше чем безопасность
16
Roadmap JSOC
Контроль
защищенности
DDoS as a service
Security
Dashboard
DLP as a service
WAF as a service
Q1 2014 Q2 2014 Q3 2014 Q2 2015 Q3 2015
Roadmap
Контакты:
Владимир Дрюков