10 типовых ошибок при работе с soc · 2018-04-16 ·...
TRANSCRIPT
-
12 апреля 2018
Бизнес-консультант по безопасности
10 типовых ошибок при работе с SOC
Алексей Лукацкий
-
Опыт Cisco в части построения SOC
Cisco CSIRT
SOCEnablement
Service
Cisco ATA
Cisco SecOps
Собственный «SOC» ислужба реагированияна инциденты Cisco
Услуги Cisco попостроению SOCдля заказчиков
Аутсорсинговый SOCCisco для заказчиков
Аутсорсинговый SOCCisco дляпромышленныхпредприятий
-
Думая о мониторинге, не забывайте о реагировании
№1
-
Не гонитесь за красивыми плазмами
№2
-
Карты атак - красиво, но эффективно ли?
-
Реальность не так красива, как на постановочных кадрах
-
Не стройте SOC, не имея логов
• Классическая концепция SOC базируется на мониторинге событий безопасности, которые генерятся различными средствами защиты, сетевым оборудованием, приложениями и т.п., обогащенными данными Threat Intelligence
№3
-
Не стройте SOC, не умея работать с логами
SOC≠
SIEM≠
LM
-
Основа SOC – это не только SIEM
NTA
EDR
SIEM
UEBA /
CASB
Cisco AMP for Endpoints
Cisco Stealthwatch
Cisco TrustSecCisco CloudLock
№4
-
Комбинируйте методы обнаружения
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
-
Мобильные пользователи
Филиал
Мониторинг только периметра создает чувство ложной защищенности
Облако
Сеть
Админ
ЦОД
Пользователи
ЗАПИСЫВАТЬкаждую коммуникацию
Понимать, что такое НОРМА
Предупреждать об ИЗМЕНЕНИЯХ
ЗНАТЬкаждый узел
Реагировать на УГРОЗЫ быстро
HQ
-
Не ограничивайтесь мониторингом периметра, помните про внутреннюю сеть
уникальный источник информации о событиях безопасности, который позволяет использовать каждый коммутатору и маршрутизатор в качестве распределенной системы обнаружения атак и аномалий
Netflow
Cisco Stealthwatch
-
Вы хотите квалифицированных аналитиков?• Подумайте логически, может ли в SOC быть несколько
десятков высококвалифицированных аналитиков?• Уровень квалификации зависит от линии поддержки
В Европе уровень ротации специалистов SOC - 90% №5
-
Займитесь мотивацией аналитиков
• Изо дня в день видеть огромное количество событий и при этом не знать, какие из них хорошие, а какие плохие
• Боязнь совершить ошибку в ответственном мероприятии
• Страх отвлекает аналитика SOC от смысла выполняемых действий; он фиксируется на мелочах, упуская главное
• Страх сделать ошибку заставляет аналитика перепроверять свои выводы и свою работу, что приводит к лишней трате времени и сил и снижает продуктивность специалистов SOC
№6
-
Помните о психологической слепоте
• Слепота невнимания (inattentional blindness), которая подразумевает неспособность наблюдать какой-либо объект, появляющийся внезапно
• Половина людей имеет эту не физиологическую, а психологическую проблему зрения, связанную с тем, что люди слишком концентрируются на основной задаче, упуская второстепенные
№7
-
Пример №1: вы видите аномалию?
Подсказка: обратите внимание на 6-ю строкуПодсказка: все зависит от исходной гипотезы
-
Пример №2: вы видите аномалию?
Подсказка: обратите внимание на 3-ю строку
-
Не пренебрегайте ИИ
Описательная аналитика
Что случилось?
Диагностичес-кая аналитика
Почему это случилось?
Предсказатель-ная аналитика
Что случится?
Предписываю-щая аналитика
Что я должен сделать?
Сложность
Цен
ност
ь
№8
-
Пример №3: Обнаружение ВПО в шифрованном трафике
Acc. FDRSPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP SPLT+BD
На примере Cisco ETA
-
Пример №4: обнаружение tailgating
20
Обнаружение посторонних @ Cisco4
-
Не все можно купить. Даже если у вас есть деньги• Решение iCAM
разрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей
• Готового решения мы не нашли
№9
-
iCAM People
Data Identity
Policy Identity
Data Center
Lab
End Points
Public Cloud
User Identity
Device Identity
Applications & Data
InfoSec
End User
HR/Legal
Manager
Raw EventsCorrective Action
AlertFeedback
CPR
HRMSLDAP
OnRamp
DCEISE
EMANCES
PSIRT
BI
DI
DLP
GDM
ARTCEPM
DSPL
iCAM: внутренняя разработка Cisco
-
Topic(Services)
BehaviorRules
Событияпользователей
Box
Jive
SFDC
End-User’sManager
Уведомление
1
Behavior DB
4
Аномальноеповедение
67
Обратная связьс менеджером
8
Анализповедения
5
Determine and Log the Cisco data at risk
Анализ событий3
Behavior ReconstructionBalance
Security and Productivity
Public Cloud
Обеспечениеконтекста
User Identity: DSX, CES, HRMS, CPRData Identity: Symantec DLP, DSPL, PSIRTDevice Identity: ISE, DCE, GDMNetwork Identity: EMAN
2
iCAM in greenOthers in violet
ENG DC
Topic
Alfresco
Private Cloud
CITEIS
ENG Lab
Data Lake
…
…
Процесс работы iCAM в Cisco
-
Доверяй, но будь готов!
• Обращаясь к аутсорсингу SOC, не забудьте прописать SLA и ответственность
№10
-
Дополнительная информация
• Презентация «Сочные мифы». Заблуждения, связанные с SOC»
• Презентация «Нюансы эксплуатации SOC внутри Cisco»
26
Запросить можно по адресу: [email protected]
-
А также блог Cisco СSIRT…
-
…и книги
28
-
Спасибо!
Слайд номер 1Опыт Cisco в части построения SOCДумая о мониторинге, не забывайте о реагированииНе гонитесь за красивыми плазмами Карты атак - красиво, но эффективно ли?Реальность не так красива, как на постановочных кадрахНе стройте SOC, не имея логов Не стройте SOC, не умея работать с логами Основа SOC – это не только SIEMКомбинируйте методы обнаруженияМониторинг только периметра создает чувство ложной защищенностиНе ограничивайтесь мониторингом периметра, помните про внутреннюю сетьВы хотите квалифицированных аналитиков?Займитесь мотивацией аналитиковПомните о психологической слепотеПример №1: вы видите аномалию?Пример №2: вы видите аномалию?Не пренебрегайте ИИПример №3: Обнаружение ВПО в шифрованном трафикеПример №4: обнаружение tailgatingСлайд номер 21Не все можно купить. Даже если у вас есть деньгиiCAM: внутренняя разработка CiscoПроцесс работы iCAM в CiscoДоверяй, но будь готов!Дополнительная информацияА также блог Cisco СSIRT……и книгиСлайд номер 29