От HP ArcSight к Security Operations Center Практика управления инцидентами Бейбутов Эльман Руководитель направления SOC [email protected] 11 марта 2014 г. Вместо введения Развитие Security Operations Center • 5 поколений SOC: переход от 3G/4G к 5G Уровни зрелости SOC по четырем направлениям • Подход HP к оценке зрелости Security Operations • Оценка крупнейших SOC глазами HP Российские тренды в создании SOC • Распределение Jet-проектов SIEM/SOC по секторам экономики • Глубина погружения в SOC компаний Переход к докладам бизнес-завтрака Больше чем безопасность © 2014 Инфосистемы Джет 2 Становление SOC: - анализ IDS, Vuln. - формализация задач SOC - появление SIEM - первые MSSP SOC 2007-2012 Тюнинг SOC: - анализ и отражение специфичных атак - подключение новых средств защиты (WAF, DPI,..) 3 Generation 1996-2001 5 Generation Зарождение SOC: - рутинный анализ событий с FW, AV 2 Generation 1975-1995 4 Generation 1 Generation Развитие Security Operations Center 2002-2006 Распространение SOC: - отражение угроз botnet - требования к анализу событий ИБ (PCIDSS) 2013-… Проактивность SOC: - обнаружение неизвестных атак (BigData, Pattern Discovery) - автоматизация ответных действий * По материалам HP Security Intelligence and Operations Consulting (SIOC) Больше чем безопасность © 2014 Инфосистемы Джет 3 Уровни зрелости SOC HP SIOC предложил Security operations maturity model (SOMM) для оценки уровней зрелости SOC Уровень SOMM Оценка SOC Описание Уровень 0 Недостаточный Ключевые составляющие SOC отсутствуют Уровень 1 Начальный Ведется мониторинг, но нет документированных процессов. Реагирование по ситуации Уровень 2 Базовый Выполнение нормативных и бизнес- требований. Большинство процессов документированы, но пересматриваются по ситуации Уровень 3 Надлежащий Процессы хорошо документированы, регулярно пересматриваются с учетом текущих лучших практик Уровень 4 Осмысленный Эффективность SOC регулярно оценивается по метрикам производительности. Процессы выстраиваются для достижения KPI от бизнеса Уровень 5 Экстремальный По всем направлениям SOC приняты программы развития. Процессы максимально конкретизированы и отточены. Поддержание этого уровня требует больше инвестиций, чем возможная отдача от них (ROI <= 0) Больше чем безопасность © 2014 Инфосистемы Джет 4 Оцениваемые параметры SOC Четыре направления для оценки уровня зрелости: Бизнес Люди Процессы Технологии Миссия SOC Базовые метрики Базовые метрики Архитектура Прозрачность и измеримость Обучение Эксплуатация SOC Сбор данных Финансирование Сертификации Аналитика и расследование угроз Мониторинг и анализ Отчетность Опыт ИТ-процессы SOC Корреляция событий Взаимосвязь с производителями Аттестации Взаимодействие с бизнесом Обслуживание систем Карьерный рост Руководство Больше чем безопасность © 2014 Инфосистемы Джет 5 Оценка зрелости SOC в мире Количество проведенных оценок HP SIOC с 2008 года (93 обследования в 69 SOC) 24% SOC не дотягивают до 1 уровня Только 30% SOC соответствуют базовому (2) уровню Уровень SOMM по индустриям в 13 странах мира (Канада, США, Китай, Англия, Германия, ЮАР и др.) Больше чем безопасность © 2014 Инфосистемы Джет 6 SOC в России по опыту проектов Jet Количество выполненных проектов по SIEM с 2010 года Уровень SOMM по индустриям Больше чем безопасность © 2014 Инфосистемы Джет 7 Тренды развития SOC в России Бизнес • Вовлечение SOC в Compliance • Достижение KPI от бизнеса • Поддержка и финансирование на высшем уровне менеджмента • • • Технологии • Люди Переход на высокопроизводительную CORR- версию HP ArcSight Обнаружение известных угроз (RepSM) Подключение дополнительных источников событий (WAF, DPI) - 4G Обнаружение неизвестных угроз (PatternDiscovery) – 5G • Создание команд специалистов в первых зрелых SOC в финансовых и телеком индустриях • Запуск аутсорсинговой модели оказания услуг на базе JSOC • Накопление и систематизация информации об инцидентах • Документирование не только SIEM, как части ИТ-инфраструктуры, но эксплуатационных процедур SOC Процессы Больше чем безопасность © 2014 Инфосистемы Джет 8 Доклады бизнес-завтрака Система взломана, а инцидента нет? Взгляд на SIEM Эльман Бейбутов, глазами хакера «Инфосистемы Джет» Поиск угроз в потоке событий с помощь Pattern Discovery от HP ArcSight Евгений Афонин, HP Решение проблем управления инцидентами в JSOC от «Джет» Владимир Дрюков, «Инфосистемы Джет» Больше чем безопасность © 2014 Инфосистемы Джет 9