От HP ArcSight к Security Operations Center Практика управления

реклама
От HP ArcSight к Security Operations Center
Практика управления инцидентами
Бейбутов Эльман
Руководитель направления SOC
[email protected]
11 марта 2014 г.
Вместо введения
Развитие Security Operations Center
• 5 поколений SOC: переход от 3G/4G к 5G
Уровни зрелости SOC по четырем направлениям
• Подход HP к оценке зрелости Security Operations
• Оценка крупнейших SOC глазами HP
Российские тренды в создании SOC
• Распределение Jet-проектов SIEM/SOC по секторам экономики
• Глубина погружения в SOC компаний
Переход к докладам бизнес-завтрака
Больше чем безопасность
© 2014 Инфосистемы Джет
2
Становление SOC:
- анализ IDS, Vuln.
- формализация
задач SOC
- появление SIEM
- первые MSSP SOC
2007-2012
Тюнинг SOC:
- анализ и отражение
специфичных атак
- подключение новых
средств защиты (WAF,
DPI,..)
3 Generation
1996-2001
5 Generation
Зарождение SOC:
- рутинный анализ
событий с FW, AV
2 Generation
1975-1995
4 Generation
1 Generation
Развитие Security Operations Center
2002-2006
Распространение
SOC:
- отражение угроз
botnet
- требования к
анализу событий ИБ
(PCIDSS)
2013-…
Проактивность SOC:
- обнаружение
неизвестных атак
(BigData, Pattern Discovery)
- автоматизация
ответных действий
* По материалам HP Security Intelligence and Operations Consulting (SIOC)
Больше чем безопасность
© 2014 Инфосистемы Джет
3
Уровни зрелости SOC
HP SIOC предложил Security operations maturity model (SOMM)
для оценки уровней зрелости SOC
Уровень
SOMM
Оценка SOC
Описание
Уровень 0
Недостаточный
Ключевые составляющие SOC отсутствуют
Уровень 1
Начальный
Ведется мониторинг, но нет документированных
процессов. Реагирование по ситуации
Уровень 2
Базовый
Выполнение нормативных и бизнес- требований.
Большинство процессов документированы, но
пересматриваются по ситуации
Уровень 3
Надлежащий
Процессы хорошо документированы, регулярно
пересматриваются с учетом текущих лучших практик
Уровень 4
Осмысленный
Эффективность SOC регулярно оценивается по
метрикам производительности. Процессы
выстраиваются для достижения KPI от бизнеса
Уровень 5
Экстремальный
По всем направлениям SOC приняты программы
развития. Процессы максимально конкретизированы и
отточены. Поддержание этого уровня требует больше
инвестиций, чем возможная отдача от них (ROI <= 0)
Больше чем безопасность
© 2014 Инфосистемы Джет
4
Оцениваемые параметры SOC
Четыре направления для оценки уровня зрелости:
Бизнес
Люди
Процессы
Технологии
Миссия SOC
Базовые метрики
Базовые метрики
Архитектура
Прозрачность и
измеримость
Обучение
Эксплуатация SOC
Сбор данных
Финансирование
Сертификации
Аналитика и
расследование
угроз
Мониторинг и
анализ
Отчетность
Опыт
ИТ-процессы SOC
Корреляция
событий
Взаимосвязь с
производителями
Аттестации
Взаимодействие с
бизнесом
Обслуживание
систем
Карьерный рост
Руководство
Больше чем безопасность
© 2014 Инфосистемы Джет
5
Оценка зрелости SOC в мире
Количество проведенных
оценок HP SIOC с 2008 года
(93 обследования в 69 SOC)
24% SOC не
дотягивают до 1
уровня
Только 30% SOC
соответствуют
базовому (2)
уровню
Уровень SOMM по
индустриям в 13 странах
мира (Канада, США, Китай,
Англия, Германия, ЮАР и др.)
Больше чем безопасность
© 2014 Инфосистемы Джет
6
SOC в России по опыту проектов Jet
Количество выполненных
проектов по SIEM с 2010 года
Уровень SOMM по
индустриям
Больше чем безопасность
© 2014 Инфосистемы Джет
7
Тренды развития SOC в России
Бизнес
• Вовлечение SOC в Compliance
• Достижение KPI от бизнеса
• Поддержка и финансирование на высшем уровне менеджмента
•
•
•
Технологии •
Люди
Переход на высокопроизводительную CORR- версию HP ArcSight
Обнаружение известных угроз (RepSM)
Подключение дополнительных источников событий (WAF, DPI) - 4G
Обнаружение неизвестных угроз (PatternDiscovery) – 5G
• Создание команд специалистов в первых зрелых SOC в финансовых и телеком
индустриях
• Запуск аутсорсинговой модели оказания услуг на базе JSOC
• Накопление и систематизация информации об инцидентах
• Документирование не только SIEM, как части ИТ-инфраструктуры, но эксплуатационных
процедур SOC
Процессы
Больше чем безопасность
© 2014 Инфосистемы Джет
8
Доклады бизнес-завтрака
Система взломана, а инцидента нет? Взгляд на SIEM Эльман Бейбутов,
глазами хакера
«Инфосистемы
Джет»
Поиск угроз в потоке событий с помощь Pattern
Discovery от HP ArcSight
Евгений Афонин,
HP
Решение проблем управления инцидентами в JSOC
от «Джет»
Владимир Дрюков,
«Инфосистемы
Джет»
Больше чем безопасность
© 2014 Инфосистемы Джет
9
Скачать