Date post: | 18-Jan-2015 |
Category: |
Documents |
Upload: | denis-batrankov |
View: | 1,386 times |
Download: | 3 times |
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Как сократить путь от SIEM* к SOC** The shortest way from SIEM to SOC
Денис Батранков
архитектор по безопасности
HP Enterprise Security
*SIEM - Security information and event management **SOC – Security Operation Center
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
О чем пойдет речь?
SIEM это лишь очень хороший инструмент
SOC это продукты*люди*процессы
SOC на верхнем уровне зрелости включает более 140 процессов
Аналитики в SOC больше 1-3 лет не выдерживают режима анализа логов
При правильной настройке SIEM та же команда аналитиков обрабатывает в сотни раз большее число событий в сети
Как достичь зрелого SOC
HP помогло построить более сотни SOC
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Что такое HP Enterprise Security
1400 безопасников из команд ArcSight, Fortify, TippingPoint
1500 безопасников из сервисного подразделения HP Enterprise Security
Services
Лидер рынка согласно квадратам Gartner (SIEM, Log Mgt, AppSec, Network
Security)
Лидер согласно квадрату Gartner Одна команда, одно видение
ATALLA DATA SECURITY
Увеличивающаяся доля рынка
среди самых крупных вендоров по безопасности
5-й
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
На примере HP ArcSight
Что такое SIEM
HP ArcSight Многокомпонентная платформа для своевременного выявления атак и контроля требований безопасности • Сбор любых журналов с любых систем • Управление и хранение всех событий • Анализ событий в реальном времени • Идентификация необычного поведения на уровне пользователей • Реагировать своевременно, чтобы предотвратить потери
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Что такое SOC Контроль всех процессов безопасности в любой точке компании из
одного центра –> высокая эффективность мониторинга.
Бизнес требования реализуются сразу при разработке решения.
Дополнительные меры безопасности или новые требования
индустрии реализуются бесплатно либо с незначительными
расходами.
Создает платформу для любого вида мониторинга и отчетности.
Начать справляться с потоком событий и управлять ими.
Миссия: Отслеживать,
обнаруживать и эскалировать
важные события информационной
безопасности для гарантии
конфиденциальности,
целостности и доступности во
всей компании.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
SOC (и SIEM) требует стратегии
• Безопасность
• ISO 27002
• Соответствие требованиям
• PCI-DSS
• Операции ИТ
• Процедуры и политики компании
Например
Compliance Security
IT Operations
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Вопросы перед созданием SOC. Зачем?
• Какие потребности у организации будут удовлетворены в SOC?
• Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.)
• Кто потребитель информации, которую собирает и рапортует SOC?
• Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC?
• Какие события безопасности должен «переваривать» SOC?
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Примеры использования SOC (от одного из заказчиков)
Мониторинг распространения вредоносного кода
Мониторинг сереров Windows
Мониторинг Active Directory
Мониторинг утечек данных (DLP)
Мониторинг устройств топ-менеджеров (VIP мониторинг)
Мониторинг IPS
Контроль соответствия PCI: отчетность и оповещение
Мониторинг привилегированных пользователей
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Основные бизнес драйверы к появлению SOC
Создание SOC стоит того, чтобы знать и предотвращать атаки
SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы
Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение
Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP)
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Стратегическое видение безопасного
функционирования компании с использованием
SOC
ТЕХНОЛОГИИ ПРОЦЕССЫ
Владельцы сети и систем
Разбор инцидента
Закрыт
Эскалация
ЛЮДИ
Уровень 1 Уровень 2
инженер
1
Firewall
Router
Intrusion Detection
Web Server
Proxy Server
ESM Server
3
4
2
5
6
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Задача – найти события, на которые надо реагировать
Firewalls/ VPN
Intrusion Detection Systems
Vulnerability Assessment
Сетевое оборудование
Сервера и рабочие станции
Антивирусы Приложения БД
Физическая инфраструктура
Identity Management
Directory Services
System Health Information
Web Traffic
Приоритезация на основе рисков
На поверхности сразу
критичные события
Знакомые
уже угрозы
Известные уязвимости
Критичные для бизнеса
ИТ ресурсы
Миллионы
разных событий
Тысячи
событий относящихся
к безопасности
Сотни
событий в результате корреляции
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
На какие события реагировать?
Что ищем? (UseCase) Источники данных Критерий для реакции Действие
Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Intelligence
Соединения от или к известным вредоносным сайтам
Показ активности на экране SOC
Распространение вирусов Антивирус 3 одинаковых вируса на разных хостах за 10 минут
Начать контроль на экране SOC, оповестить отвественных за рабочие станции
Успешная атака на сервер IDS/IPS, информация об уязвимости
Атакованный сервер реально содержит данную уязвимость
Оповестить серверную команду / начать контроль за действиями сервера / вывести на экран SOC
SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое время
Вывести на экран аналитика
Фишинг Threat Intelligence, Firewall, IDS, Proxy, Mail
Connection to or from known malicious host or domain
Display in analyst active channel
Неавторизованный удаленный доступ
VPN, Applications Successful VPN authentication from a non domain member
Display in analyst active channel / Page network team
Новая уязвимость на хосте в ДМЗ
Vulnerability Новая уязвимость найдена на публично доступной системе
Email daily report to vulnerability team
Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Escalating watch lists (recon, exploit, brute force, etc.)
Email daily suspicious user activity report to level 1
Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Server
Moving average variation of X magnitude in specified time frame
Display alerts in situational awareness dashboard
Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Server
Раньше так себя не вели системы Display in analyst active channel
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Подбор правильного персонала в SOC
Обучение Роли и должностные обязанности
Аналитики 1 и 2 уровня
Разборщик инцидентов
Инженер SIEM
Менеджер SOC
Основы ИТ безопасности
Обучение в процессе работы
Обучение SIEM
Logger Search & Reporting
Logger Admin & Operations
ESM Security Analyst
ESM Administrator
Connector Foundations
Connector Appliance
GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Оргструктура
Security Operations Senior Manager
SOC Security Device Management
Business Office
Дневная смена (2)
Уровень-1 & Уровень 2
Ночная смена (2)
Уровень-1 & Уровень-2
Security Device Engineering
ArcSight Engineering
(Admin, Ops, Eng.)
SIRT –
группа разбора инцидентов
SOC 24x7x365 = 10 аналитиков, работающих в смену
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Аналитик это
Оппонент хакерам
Очень стрессоустойчивый человек
Знает сетевые технологии
Знает как выглядят исходные коды
Знает шестнадцатиричную систему счисления
Понимает как проходят атаки
Понимает как работает вредоносный код
Умеет делать выводы
Любит учиться
Любит ковыряться в продуктах
Не спит
Не болеет
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Программа тренировок аналитика
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Кто еще нужен для работы SOC?
Администраторы различных систем: серверов, баз данных, виртуализации, сети и т.д.
Группа разбора инцидентов
Администраторы системам безопасности
Юристы
Отдел кадров
Отдел PR
Руководители подразделений
Да и всем сотрудникам стоит оповещать SOC о том, что видят глазами: фишинговые письма, краденое оборудование, потери данных и т.д.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Процессы и процедуры SOC
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Совершенствование процессов
CMMI - Capability Maturity Model® Integration –
методология совершенствования процессов в организациях
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Сбор Анализ Использование
• Security news • Geopolitical news • Technology news • CERTs
• iDefense • DeepSight • Secunia • FIRST
• Google alerts • Internal news • Investor news • Industry news
• Intrusion detection • Network monitoring • Weekly threat report
Inductive • Nodal analysis • Pattern analysis • Statistical analysis • Indications & warnings • Inference • Trained intuition
Deductive • Analogy • Fact collection • Visual analysis • Time sequence • Traffic analysis • Intrusion analysis
Daily Intel Summary
Quarterly Threat Report
This is tactical intelligence for the primary use of the SOC analysts to enable them to identify events of interest.
This is strategic intelligence for the use of managers and executives who are making long term technology decisions.
Обобщение информации
Mechanisms • Email • Dashboard • Formal document • Briefing
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Обработка событий людьми –
cамый важный процесс SOC
Категории Уровни приоритета SIEM
0-2 3-4 5-6 7-8 9-10
Неавторизованный админ A A A C1 C1
Неавторизованый пользователь A A I2 C2 C1
Попытка неавторизованного доступа
A A A I3 C3
Успешный DoS A A I2 C2 C1
Нарушение политики A A T3 T2 T1
Сканирование A A A I3 I2
Вредоносный код A A T3 T2 C2
Обозначения
C1: Реакция в теч. 15 мин
C2: Реакция в теч. 30 мин
C3: Реакция 2 часа
I2: Срочное расследование
I3: Обычное расследование
T1: Критичный тикет
T2: Срочный тикет
T3: Обычный тикет
A: активный мониторинг
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Как измерить эффективность работы SOC
22
Week Raw Correlated Analysts Raw / Analyst Correlated / Analyst
Week 1 38,697,210 97,922 10 3,869,721 9,792.20
Week 2 60,581,457 66,102 10 6,058,146 6,610.20
Week 4 55,585,228 19,116 10 5,558,523 1,911.60
Week 5 55,917,976 23,755 10 5,591,798 2,375.50
Week 6 54,044,928 18,340 10 5,404,493 1,834.00
Week 7 59,840,026 18,340 10 5,984,003 1,834.00
Week 8 72,364,038 33,866 10 7,236,404 3,386.60
Week 9 71,964,115 30,927 10 7,196,412 3,092.70
Week 10 71,500,000 28,900 10 7,150,000 2,890.00
Week 11 59,600,000 19,300 10 5,960,000 1,930.00
Week 12 51,200,000 11,400 10 5,120,000 1,140.00
Week 13 67,600,000 17,600 10 6,760,000 1,760.00
Week 14 76,600,000 30,000 10 7,660,000 3,000.00
Week 15 75,300,000 22,000 10 7,530,000 2,200.00
Week 16 69,200,000 17,000 10 6,920,000 1,700.00
Week 17 97,800,000 17,800 10 9,780,000 1,780.00
Week 18 108,500,000 11,500 10 10,850,000 1,150.00
Week 19 183,200,000 5,600 10 18,320,000 560.00
Week 20 182,400,000 5,100 10 18,240,000 510.00
Week 21 170,000,000 4,800 10 17,000,000 480.00
Week 22 182,400,000 7,600 10 18,240,000 760.00
Week 23 219,000,000 11,300 10 21,900,000 1,130.00
Week 24 168,800,000 8,100 10 16,880,000 810.00
Week 25 151,500,000 6,876 10 15,150,000 687.60
Week 26 170,500,000 7,813 10 17,050,000 781.30
Week 27 165,300,000 28,247 10 16,530,000 2,824.70
Week 28 161,500,000 4,569 10 16,150,000 456.90
Week 29 186,700,000 6,164 10 18,670,000 616.40
Week 30 173,600,000 5,632 10 17,360,000 563.20
Average 112,454,999 20,195 11,245,500 2,020
Median 76,600,000 17,600 7,660,000 1,760
Weekly Analysis of Events per Analyst
y = 589551x + 2E+06
-
5,000,000
10,000,000
15,000,000
20,000,000
25,000,000
1 2 3 4 5 6 7 8 9 10111213 141516 17181920 212223 24252627 2829
Raw Events / Analyst
y = -150.3x + 4274
(2,000.00)
-
2,000.00
4,000.00
6,000.00
8,000.00
10,000.00
12,000.00
1 2 3 4 5 6 7 8 9 10 1112 1314 1516 1718 1920 2122 2324 2526 2728 29
Correlated Events / Analyst
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
SOC отчитывается по определенным KPI
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
SOC KPI
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Зрелость процессов SOC
1: Хаотично
2: Повторяемо
3: Задано
4: Управляемо
5: Само-оптимизируемо
Всегда по-разному
Можно повторить
Повторяется и улучшается
Измеряется и улучшается
Постоянно улучшается
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Оценка зрелости SOC
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Workshop & Roadmap
Построение SOC и одновременно снижение риска
Последний рывок
Разработка стратегии
Проект полностью готов
SOC полностью работает
SOC мирового класса
Упражняемся
30 days 90 days 180 days
Разработка решения
Реализация Взросление и сетификация
270 days
Аудит
365 days
Легко принять
SOC начал работу
Архитектура и операции задокументированы
• Staffing • Training • Process / Procedure • Deploying Technology • Building content • Maturity
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Спасибо
Денис Батранков,
Архитектор по безопасности
HP Enterprise Security