T.: +7 495 411-76-01 | E.: [email protected] | W.: WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2018 Инфосистемы Джет
31/05/2018
Алексей Мальнев
Начальник отдела аутсорсинга ЦИБ «Инфосистемы Джет»
[email protected] / +7 985 849-89-33
JET CSIRT: ЕСЛИ НУЖНО БОЛЬШЕ ЧЕМ SOC
( 2 ) © 2018 Инфосистемы Джет
1
2
3
СОДЕРЖАНИЕ
Проблематика рынка аутсорсинга ИБ
Почему CSIRT, а не SOC?
Сервис Jet CSIRT: подход и архитектура
( 3 ) © 2018 Инфосистемы Джет
Проблемы аутсорсинга ИБ в трех плоскостях:
ПРОБЛЕМАТИКА РЫНКА АУТСОРСИНГА ИБ
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 3 ) © 2018 Инфосистемы Джет
( 4 ) © 2018 Инфосистемы Джет ( 4 ) © 2018 Инфосистемы Джет
CERT
CSIRT SOC
MDR
Threat Intelligence
MSSP
Security Intelligence
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
МНОГО МАРКЕТИНГА В ИБ
( 5 ) © 2018 Инфосистемы Джет
CSIRT – Computer Security Incident Response Team
CERT – Computer Emergency Incident Response Team
SOC – Security Operation Center
MDR – Managed Detection and Response Services
MSSP – Managed Security Service Provider
МНОГО МАРКЕТИНГА В ИБ
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 6 ) © 2018 Инфосистемы Джет
0
1
2
3
4
Мониторинг
Расследование/аналитика
Сдерживание Нейтрализация
Восстановление
Сервис-провайдеры рынка экспертного аутсорсинга*
SOC CSIRT CERT
* Анализ усредненный, сделанный по опыту работы с десятками клиентов рынка аутсорсинга ИБ. В расчете уровней зрелости учитывалась статистика MicroFocus
НЕСООТВЕТСТВИЕ ФОКУСА СЕРВИС- ПРОВАЙДЕРОВ И ОЖИДАНИЙ РЫНКА (1/2)
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 7 ) © 2018 Инфосистемы Джет
0
1
2
3
4
Мониторинг
Расследование/аналитика
Сдерживание Нейтрализация
Восстановление
Клиенты*
SOC клиентов с высоким уровнем зрелости (<10%) SOC типового клиента (>90%)
НЕСООТВЕТСТВИЕ ФОКУСА СЕРВИС- ПРОВАЙДЕРОВ И ОЖИДАНИЙ РЫНКА (2/2)
* Анализ усредненный, сделанный по опыту работы с десятками клиентов рынка аутсорсинга ИБ. В расчете уровней зрелости учитывалась статистика MicroFocus
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 8 ) © 2018 Инфосистемы Джет
КОНВЕЙЕРНЫЙ ПОДХОД
Проблемы конвейерного подхода:
SLA в ущерб процессам
Типовые сценарии
Облачный SIEM вместо SOC
Фундаментальные причины проблем:
Минимизация трудозатрат
Лояльность клиента не в приоритете
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 9 ) © 2018 Инфосистемы Джет
КАК НА ЭТО РЕАГИРУЕТ РЫНОК
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Security administration
Incident response
Security monitoring and detection
Compliance support
Remediation
Security architecture and engineering
Security roadmap and planning
Digital forensics
Threat research
eDiscovery and legal evidence collection
Other
Both Outside services In-House
Future SOC: SANS 2017 Security Operations Center Survey — https://www.sans.org/reading-room/whitepapers/analyst/future-soc-2017-security-operations-center-survey-37785
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 10 ) © 2018 Инфосистемы Джет
Preparation: аудит-проектирование-настройка, war rooms, методики, playbooks
Detection: обнаружение, аналитика, расследование, уведомление
Containment, Eradication & Recovery: сдерживание, нейтрализация, подавление, восстановление
Post-Incident Activity: документирование, улучшение процессов, закрытие
РЕАГИРОВАНИЕ
РЕАГИРОВАНИЕ БЫВАЕТ ОЧЕНЬ РАЗНЫМ
SP 800-61 Rev. 2 Computer Security Incident Handling —
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final, ISO/IEC 27035:2016
Preparation Detection
Containment,
Eradication &
Recovery
Post-Incident
Activity
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 11 ) © 2018 Инфосистемы Джет
Поиск
нарушения
Фильтр
легитимной
активности
Нахождение
подозрительной
активности
Углубленное
расследование
Обнаружение
злонамеренной
активности
Выявление
всей атаки
Нейтрализация Корректировка
Kill Chain
Starting The Hunt Refining the Hunt Root Cause Analysis Response Улучшение
Решается на стороне детектирования Необходимо тесное взаимодействие с др. ком-ми
THREAT HUNTING — ПРОАКТИВНЫЙ ПОИСК И ОБНАРУЖЕНИЕ УГРОЗ
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 12 ) © 2018 Инфосистемы Джет
Провайдер SOC Заказчик
Monitoring L1
Experts/ Analysts
Service Manager
Monitoring L2
(Investig)
Incident Response
Team
Network Admin
System Admin
Information Security Manager
НЕСОГЛАСОВАННОСТЬ IR-ВЗАИМОДЕЙСТВИЯ НА ПРАКТИКЕ
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
( 13 ) © 2018 Инфосистемы Джет
От компрометации до обнаружения ~30% от месяца и более, ~15% от двух дней до недели
От обнаружения до сдерживания ~20% от месяца и более, ~23% от двух дней до недели
От сдерживания до восстановления ~30% от месяца и более, ~30% от двух дней до недели
К ЧЕМУ ПРИВОДИТ НЕСОГЛАСОВАННОСТЬ IR-ВЗАИМОДЕЙСТВИЯ
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
Future SOC: SANS 2017 Security Operations Center Survey —
https://www.sans.org/reading-room/whitepapers/analyst/future-soc-2017-security-operations-center-survey-37785
( 13 ) © 2018 Инфосистемы Джет
( 14 ) © 2018 Инфосистемы Джет
Клиентам нужен сервис по многим процессам Incident Response
Реагирование имеет много специализаций
Мониторинг без реагирования теряет смысл
Желательно минимизировать кол-во сторон в процессах
ВЫВОДЫ
РЫНОК ПРОЦЕССЫ РЕАЛИЗАЦИЯ
JET CSIRT JET COMPUTER SECURITY INCIDENT RESPONSE TEAM
( 16 ) © 2018 Инфосистемы Джет
ПОЧЕМУ CSIRT?
Фактор фокуса на реагирование
Фактор ширины покрытия разных процессов
Сервисная ориентированность концепции CSIRT
Потому что Jet моJet
(крупнейшие в стране и регионе ресурсы ИБ,
сервисная ориентированность компании)
( 17 ) © 2018 Инфосистемы Джет
НАШ ОПЫТ В АУТСОРСИНГЕ
Более 170 специалистов в команде
и 400 специалистов сервисного центра
Более 200 заказчиков техподдержки ИБ
Около 50 заказчиков аутсорсинга ИБ
Более 20 лет на рынке аутсорсинга ИБ
Средняя длительность контракта более 5 лет
Исполнимость SLA 99% кейсов
В 95% случаев клиенты продлевают контракт
( 18 ) © 2018 Инфосистемы Джет
Выстраивание процессов
Команда и роли в ней
Технологии и архитектура
Соответствие
Метрики и оценка зрелости
№99-ФЗ, №187-ФЗ, ПП-79, ПП-541, СТО БР ИББС-1.0-2014
РС БР ИББС-2.5-2014
JET CSIRT. ЧЕМ ЕЩЕ РУКОВОДСТВУЕМСЯ ПОМИМО ОПЫТА
( 18 ) © 2018 Инфосистемы Джет
( 19 ) © 2018 Инфосистемы Джет
ОБЩАЯ АРХИТЕКТУРА JET CSIRT
Люди
Служба ИБ Заказчика
Эксперты
Технологии
СЗИ Заказчика: FW, IDS, AV
СЗИ CSIRT SIEM, VS, Sandbox
Процессы
Процессы на стороне
Заказчика
Процессы на аутсорсинге
© 2018 Инфосистемы Джет
( 20 ) © 2018 Инфосистемы Джет
Preparation
Penetration Testing
Security Audit
Survey
Incident Detection
Scenarios
Log Sources
Configuration
Incident Detection
Incident Reporting
Область предоставления услуги Услуга Функция (процесс)
FIRST CSIRT Framework
https://www.first.org/education/csirt_service-framework_v1.1
SP 800-61 Rev. 2 Computer Security Incident Handling
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final
Incident Management
Preparation
Implementation Incident
Management
Incident Handling
Incident Analysis
Development and Curation
of Security Intelligence
Услуга Функция (процесс) Область предоставления услуги
Detection
Analysis
Artifact Analysis
Media Analysis
Vulnerability Analysis
Information
Assurance
Risk Assessment
Operation Policy Support
Business Continuity and Disaster
Recovery Planning Support
Technical Security Support
Patch Management
ПРОЦЕССЫ CSIRT В ТЕОРИИ
Exploitation Vulnerability/Path Analysis
Root Cause Analysis
Remediation Analysis
Mitigation Analysis
Surface Analysis
Reverse Engineering
Run Time or Dynamic Analysis
Comparative Analysis
Source Identification and Inventory
Source Content Collection and Cataloguing
Information Sharing
Impact Analysis
Mitigation Analysis
Recovery Analysis
Containment
Incident Detection, Validation and
Classification
Incident Tracking
Information Collection
Artifact Collection
Evidence Collection
Coordination and Reporting
Communication with news media
Incident Handler Communications and
Facilities
Incident Analysis Hardware and Software
Incident Analysis Resources:
Incident Mitigation Software ё
( 21 ) © 2018 Инфосистемы Джет
Situation
Awareness
Metric Operations
Fusion and Correlation
Outreach
Communication
Security Awareness
Raising
Information Sharing
and Publication
Capacity
Development
Organization Metrics
Training and Education
Conducting Exercises
Technical Advice
Research
and Development
Development of Vulnerability
Discovery / Analysis / Remediation /
Root Cause Analysis Methodologies
Development of Technologies
and Processes for Gathering/ Fusing/
Correlating Security Intelligence
Development of Tools
Standards/ Specification Management
Data Storage Management
Data Processing Management
Data Access Management
Automation Support
Alert, feed receivers
TI, CERT Partnerships
Customer Relationship
Conferences and meeting
Government Relationships
Management Relationship Management
Security Equipment Management Licenses & Certifications
ПРОЦЕССЫ CSIRT В ТЕОРИИ
FIRST CSIRT Framework
https://www.first.org/education/csirt_service-framework_v1.1
SP 800-61 Rev. 2 Computer Security Incident Handling
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final
Область предоставления услуги Услуга Функция (процесс) Услуга Функция (процесс) Область предоставления услуги
Development and Curation
of Security Intelligence
Requirements Analysis
Data Source Identification
Data Acquisition
Results Management
Source Identification and Recovery
Source Content Collection and Cataloguing
Information sharing
Determine Fusion Algorithms
Fusion Analysis
Policy Consultancy
Legal Consultancy
Public Service Announcements
Publication of Information
Knowledge, Skill and Ability Requirements
Gathering
Development Education Materials
Delivery of Content
Mentoring
Professional Development
Skill Development
incl. Osint
( 21 ) © 2018 Инфосистемы Джет
( 22 ) © 2018 Инфосистемы Джет
JET CSIRT В СОСТАВЕ УСЛУГ ЦИБ
Аудит и
соответствие
Техническое
проектирование
Внедрение
Детектирование Ограничение
инцидентов
Подавление
инцидентов Восстановление
Техническая
поддержка СЗИ
Администри-
рование СЗИ
Обследование
Пентест
Аутсорсинг ИБ
Пост-инцидент
активность
Jet CSIRT
( 23 ) © 2018 Инфосистемы Джет
Мониторинг событий ИБ
Подключение
источников событий
Администрирование СЗИ
Расследование инцидентов ИБ
Техническое реагирование
Сдерживание и нейтрализация
Техническое реагирование
Восстановление
Управление уязвимостями
Кибераналитика
по внешним угрозам
Разработка уникальных сценариев
выявления инцидентов
Проактивный поиск
и обнаружение угроз
Управление жизненным циклом
инцидента (IRP Jet Signal)
Комплексное ИБ
консультирование
Изучение вредоносного кода
Аналитика по открытым
данным (OSINT)
Бизнес-ориентированная
аналитика
Предоставление
СЗИ по подписке
Стандарт Расширенный Премиум
Аудит и анализ защищенности
ОПЦИИ JET CSIRT
Форензика
( 24 ) © 2018 Инфосистемы Джет
Jet CSIRT
Руководитель
Группа мониторинга Группа реагирования Сервисный менеджер
2 чел
Tier 1
6 чел
Tier 3
2 чел
Инженер
8 чел
Ведущий инженер
2 чел Tier 2
2 чел
Архитектор
Группа эксплуатации CSRIT
2 чел
Сервисный центр
Группа
администрирования
18 чел
Отдел консалтинга и
аудита
Группа пентеста
Отдел проектирования
Отдел внедрения
Менеджер
по развитию
КОМАНДА JET CSIRT. ОРГСТРУКТУРА
( 25 ) © 2018 Инфосистемы Джет
КОМАНДА JET CSIRT. ГРУППА МОНИТОРИНГА
Tier 1
Tier 2
Tier 3
Передовая
Передовая
Мониторинг (Alert Monitoring)
Оповещение Заказчика
Контроль состояния SIEM
Сбор данных для Tier 2
Глубокий анализ инцидентов
Определение атакованных активов/
систем и фиксация атакующих
Консультации по вопросам восстановления
Участие в поиске новых аналитических
методов для обнаружения угроз
Vulnerability Management
Глубокое изучение инфраструктуры
Threat Intelligence
Расследование инцидентов
Malware Reverse Engineering
Incident Hunting
Threat Detection Tuning
Координация с группой реагирования
Управление командой
Разработка стратегии развития
Пресейл/маркетинг
SLA
Координация с руководством
Точка координации по оргвопросам
и критичным инцидентам
Сер
ви
сн
ый
цен
тр (
оп
ер
ато
ры
)
Руководитель
Jet CSIRT
Руководитель
группы
реагирования
Инженер
мониторинга
Инженер
мониторинга
Инцидент
Аналитик
Инцидент
Аналитик
Аналитик-
эксперт
Руководитель
группы
( 26 ) © 2018 Инфосистемы Джет
Инженер
реагирования Инженер
реагирования
Инженер
реагирования
Ведущий
инженер
DLP IDM
Инженер
реагирования
Инженер
реагирования Инженер
реагирования
Ведущий
инженер
FW/IDS Anti-
DDoS
Инженер
реагирования
Инженер
реагирования
Инженер
реагирования
Ведущий
инженер
WAF Anti-APT
Инженер
реагирования
Ведущий
инженер
Anti-Fraud
Инженер
реагирования
Honeypot
Руководитель
Jet CSIRT
Руководитель
группы
реагирования
Управление командой
Разработка стратегии развития
Пресейл/маркетинг
SLA
Координация с руководством
Координации по оргвопросам
и критичным инцидентам
Руководство сменами
Экспертная консультация
по инженерным вопросам
Координация с группой мониторинга
Аналитик-Tier 3
Руководитель
группы
OS
КОМАНДА JET CSIRT. ГРУППА РЕАГИРОВАНИЯ
© 2018 Инфосистемы Джет
( 27 ) © 2018 Инфосистемы Джет
СХЕМА ПОДКЛЮЧЕНИЯ JET CSIRT. ВАРИАНТ 1
Заказчик
Инфраструктура
Сегмент ИБ
Jet CSIRT
SIEM Collector
VPN
Нормализованные события
Syslog, WEF..
Отчеты, аналитика
SIEM Mngr/DB
Группа реагирования
Analytics
Группа мониторинга
Analytics
Служба ИТ
Служба ИБ
ВЦОД
Сдерживание, подавление, восстановление
( 28 ) © 2018 Инфосистемы Джет
СХЕМА ПОДКЛЮЧЕНИЯ JET CSIRT. ВАРИАНТ 2
Заказчик
Инфраструктура
Jet CSIRT
SIEM Collector
VPN
Нормализованные события
Syslog, WEF..
Отчеты, аналитика
Сдерживание, подавление, восстановление
Группа реагирования
Analytics
Группа мониторинга
Analytics
Служба ИТ
Служба ИБ
Сегмент ИБ
SIEM Mngr/DB
ВЦОД
( 29 ) © 2018 Инфосистемы Джет
Источники данных (телеметрия)
Сетевая инфраструктура
Сервера
Рабочие станции
Приложения
Средства защиты информации
Базы Данных
Мониторинг Управление жизненным циклом инцидента
Средства реагирования
JET
SIGNAL
Средства визуализации
ИНСТРУМЕНТЫ JET CSIRT
( 30 ) © 2018 Инфосистемы Джет
Срок пилота — 1 месяц (без оргподготовки)
Согласуем методику проведения пилота
Подключаем пилотный сегмент
(живой) с несколькими источниками
Опционально сканирование уязвимостей
Опционально Sandbox
Опционально реагирование
на инциденты (Cont/Erad/Recov)
КАК ПОПРОБОВАТЬ JET CSIRT
Заказчик
Инфраструктура
Jet CSIRT
SIEM Collector
VPN
Нормализованные события
Syslog, WEF..
Отчеты, аналитика
Сдерживание, подавление, восстановление
Группа реагирования
Analytics
Группа мониторинга
Analytics
Служба ИТ
Служба ИБ
Сегмент ИБ
SIEM Mngr/DB
ВЦОД
T.: +7 495 411-76-01 | E.: [email protected] | W.: WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2018 Инфосистемы Джет
31/05/2018
Алексей Мальнев
Начальник отдела аутсорсинга ЦИБ АО «Инфосистемы Джет»
[email protected] / +7 985 849-89-33
СПАСИБО ЗА ВНИМАНИЕ!
