+ All Categories
Home > Documents > Как правильно сделать SOC на базе SIEM

Как правильно сделать SOC на базе SIEM

Date post: 18-Jan-2015
Category:
Upload: denis-batrankov
View: 1,386 times
Download: 3 times
Share this document with a friend
Description:
Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.
Popular Tags:
28
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Как сократить путь от SIEM * к SOC ** The shortest way from SIEM to SOC Денис Батранков архитектор по безопасности HP Enterprise Security * SIEM - Security information and event management ** SOC – Security Operation Center
Transcript
Page 1: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Как сократить путь от SIEM* к SOC** The shortest way from SIEM to SOC

Денис Батранков

архитектор по безопасности

HP Enterprise Security

*SIEM - Security information and event management **SOC – Security Operation Center

Page 2: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

О чем пойдет речь?

SIEM это лишь очень хороший инструмент

SOC это продукты*люди*процессы

SOC на верхнем уровне зрелости включает более 140 процессов

Аналитики в SOC больше 1-3 лет не выдерживают режима анализа логов

При правильной настройке SIEM та же команда аналитиков обрабатывает в сотни раз большее число событий в сети

Как достичь зрелого SOC

HP помогло построить более сотни SOC

Page 3: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Что такое HP Enterprise Security

1400 безопасников из команд ArcSight, Fortify, TippingPoint

1500 безопасников из сервисного подразделения HP Enterprise Security

Services

Лидер рынка согласно квадратам Gartner (SIEM, Log Mgt, AppSec, Network

Security)

Лидер согласно квадрату Gartner Одна команда, одно видение

ATALLA DATA SECURITY

Увеличивающаяся доля рынка

среди самых крупных вендоров по безопасности

5-й

Page 4: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

На примере HP ArcSight

Что такое SIEM

HP ArcSight Многокомпонентная платформа для своевременного выявления атак и контроля требований безопасности • Сбор любых журналов с любых систем • Управление и хранение всех событий • Анализ событий в реальном времени • Идентификация необычного поведения на уровне пользователей • Реагировать своевременно, чтобы предотвратить потери

Page 5: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Что такое SOC Контроль всех процессов безопасности в любой точке компании из

одного центра –> высокая эффективность мониторинга.

Бизнес требования реализуются сразу при разработке решения.

Дополнительные меры безопасности или новые требования

индустрии реализуются бесплатно либо с незначительными

расходами.

Создает платформу для любого вида мониторинга и отчетности.

Начать справляться с потоком событий и управлять ими.

Миссия: Отслеживать,

обнаруживать и эскалировать

важные события информационной

безопасности для гарантии

конфиденциальности,

целостности и доступности во

всей компании.

Page 6: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

SOC (и SIEM) требует стратегии

• Безопасность

• ISO 27002

• Соответствие требованиям

• PCI-DSS

• Операции ИТ

• Процедуры и политики компании

Например

Compliance Security

IT Operations

Page 7: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Вопросы перед созданием SOC. Зачем?

• Какие потребности у организации будут удовлетворены в SOC?

• Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.)

• Кто потребитель информации, которую собирает и рапортует SOC?

• Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC?

• Какие события безопасности должен «переваривать» SOC?

Page 8: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Примеры использования SOC (от одного из заказчиков)

Мониторинг распространения вредоносного кода

Мониторинг сереров Windows

Мониторинг Active Directory

Мониторинг утечек данных (DLP)

Мониторинг устройств топ-менеджеров (VIP мониторинг)

Мониторинг IPS

Контроль соответствия PCI: отчетность и оповещение

Мониторинг привилегированных пользователей

Page 9: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Основные бизнес драйверы к появлению SOC

Создание SOC стоит того, чтобы знать и предотвращать атаки

SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы

Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение

Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP)

Page 10: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Стратегическое видение безопасного

функционирования компании с использованием

SOC

ТЕХНОЛОГИИ ПРОЦЕССЫ

Владельцы сети и систем

Разбор инцидента

Закрыт

Эскалация

ЛЮДИ

Уровень 1 Уровень 2

инженер

1

Firewall

Router

Intrusion Detection

Web Server

Proxy Server

ESM Server

3

4

2

5

6

Page 11: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Задача – найти события, на которые надо реагировать

Firewalls/ VPN

Intrusion Detection Systems

Vulnerability Assessment

Сетевое оборудование

Сервера и рабочие станции

Антивирусы Приложения БД

Физическая инфраструктура

Identity Management

Directory Services

System Health Information

Web Traffic

Приоритезация на основе рисков

На поверхности сразу

критичные события

Знакомые

уже угрозы

Известные уязвимости

Критичные для бизнеса

ИТ ресурсы

Миллионы

разных событий

Тысячи

событий относящихся

к безопасности

Сотни

событий в результате корреляции

Page 12: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

На какие события реагировать?

Что ищем? (UseCase) Источники данных Критерий для реакции Действие

Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Intelligence

Соединения от или к известным вредоносным сайтам

Показ активности на экране SOC

Распространение вирусов Антивирус 3 одинаковых вируса на разных хостах за 10 минут

Начать контроль на экране SOC, оповестить отвественных за рабочие станции

Успешная атака на сервер IDS/IPS, информация об уязвимости

Атакованный сервер реально содержит данную уязвимость

Оповестить серверную команду / начать контроль за действиями сервера / вывести на экран SOC

SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое время

Вывести на экран аналитика

Фишинг Threat Intelligence, Firewall, IDS, Proxy, Mail

Connection to or from known malicious host or domain

Display in analyst active channel

Неавторизованный удаленный доступ

VPN, Applications Successful VPN authentication from a non domain member

Display in analyst active channel / Page network team

Новая уязвимость на хосте в ДМЗ

Vulnerability Новая уязвимость найдена на публично доступной системе

Email daily report to vulnerability team

Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Escalating watch lists (recon, exploit, brute force, etc.)

Email daily suspicious user activity report to level 1

Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Server

Moving average variation of X magnitude in specified time frame

Display alerts in situational awareness dashboard

Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Server

Раньше так себя не вели системы Display in analyst active channel

Page 13: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Подбор правильного персонала в SOC

Обучение Роли и должностные обязанности

Аналитики 1 и 2 уровня

Разборщик инцидентов

Инженер SIEM

Менеджер SOC

Основы ИТ безопасности

Обучение в процессе работы

Обучение SIEM

Logger Search & Reporting

Logger Admin & Operations

ESM Security Analyst

ESM Administrator

Connector Foundations

Connector Appliance

GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler

Page 14: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Оргструктура

Security Operations Senior Manager

SOC Security Device Management

Business Office

Дневная смена (2)

Уровень-1 & Уровень 2

Ночная смена (2)

Уровень-1 & Уровень-2

Security Device Engineering

ArcSight Engineering

(Admin, Ops, Eng.)

SIRT –

группа разбора инцидентов

SOC 24x7x365 = 10 аналитиков, работающих в смену

Page 15: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Аналитик это

Оппонент хакерам

Очень стрессоустойчивый человек

Знает сетевые технологии

Знает как выглядят исходные коды

Знает шестнадцатиричную систему счисления

Понимает как проходят атаки

Понимает как работает вредоносный код

Умеет делать выводы

Любит учиться

Любит ковыряться в продуктах

Не спит

Не болеет

Page 16: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Программа тренировок аналитика

Page 17: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Кто еще нужен для работы SOC?

Администраторы различных систем: серверов, баз данных, виртуализации, сети и т.д.

Группа разбора инцидентов

Администраторы системам безопасности

Юристы

Отдел кадров

Отдел PR

Руководители подразделений

Да и всем сотрудникам стоит оповещать SOC о том, что видят глазами: фишинговые письма, краденое оборудование, потери данных и т.д.

Page 18: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Процессы и процедуры SOC

Page 19: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Совершенствование процессов

CMMI - Capability Maturity Model® Integration –

методология совершенствования процессов в организациях

Page 20: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Сбор Анализ Использование

• Security news • Geopolitical news • Technology news • CERTs

• iDefense • DeepSight • Secunia • FIRST

• Google alerts • Internal news • Investor news • Industry news

• Intrusion detection • Network monitoring • Weekly threat report

Inductive • Nodal analysis • Pattern analysis • Statistical analysis • Indications & warnings • Inference • Trained intuition

Deductive • Analogy • Fact collection • Visual analysis • Time sequence • Traffic analysis • Intrusion analysis

Daily Intel Summary

Quarterly Threat Report

This is tactical intelligence for the primary use of the SOC analysts to enable them to identify events of interest.

This is strategic intelligence for the use of managers and executives who are making long term technology decisions.

Обобщение информации

Mechanisms • Email • Dashboard • Formal document • Briefing

Page 21: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Обработка событий людьми –

cамый важный процесс SOC

Категории Уровни приоритета SIEM

0-2 3-4 5-6 7-8 9-10

Неавторизованный админ A A A C1 C1

Неавторизованый пользователь A A I2 C2 C1

Попытка неавторизованного доступа

A A A I3 C3

Успешный DoS A A I2 C2 C1

Нарушение политики A A T3 T2 T1

Сканирование A A A I3 I2

Вредоносный код A A T3 T2 C2

Обозначения

C1: Реакция в теч. 15 мин

C2: Реакция в теч. 30 мин

C3: Реакция 2 часа

I2: Срочное расследование

I3: Обычное расследование

T1: Критичный тикет

T2: Срочный тикет

T3: Обычный тикет

A: активный мониторинг

Page 22: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Как измерить эффективность работы SOC

22

Week Raw Correlated Analysts Raw / Analyst Correlated / Analyst

Week 1 38,697,210 97,922 10 3,869,721 9,792.20

Week 2 60,581,457 66,102 10 6,058,146 6,610.20

Week 4 55,585,228 19,116 10 5,558,523 1,911.60

Week 5 55,917,976 23,755 10 5,591,798 2,375.50

Week 6 54,044,928 18,340 10 5,404,493 1,834.00

Week 7 59,840,026 18,340 10 5,984,003 1,834.00

Week 8 72,364,038 33,866 10 7,236,404 3,386.60

Week 9 71,964,115 30,927 10 7,196,412 3,092.70

Week 10 71,500,000 28,900 10 7,150,000 2,890.00

Week 11 59,600,000 19,300 10 5,960,000 1,930.00

Week 12 51,200,000 11,400 10 5,120,000 1,140.00

Week 13 67,600,000 17,600 10 6,760,000 1,760.00

Week 14 76,600,000 30,000 10 7,660,000 3,000.00

Week 15 75,300,000 22,000 10 7,530,000 2,200.00

Week 16 69,200,000 17,000 10 6,920,000 1,700.00

Week 17 97,800,000 17,800 10 9,780,000 1,780.00

Week 18 108,500,000 11,500 10 10,850,000 1,150.00

Week 19 183,200,000 5,600 10 18,320,000 560.00

Week 20 182,400,000 5,100 10 18,240,000 510.00

Week 21 170,000,000 4,800 10 17,000,000 480.00

Week 22 182,400,000 7,600 10 18,240,000 760.00

Week 23 219,000,000 11,300 10 21,900,000 1,130.00

Week 24 168,800,000 8,100 10 16,880,000 810.00

Week 25 151,500,000 6,876 10 15,150,000 687.60

Week 26 170,500,000 7,813 10 17,050,000 781.30

Week 27 165,300,000 28,247 10 16,530,000 2,824.70

Week 28 161,500,000 4,569 10 16,150,000 456.90

Week 29 186,700,000 6,164 10 18,670,000 616.40

Week 30 173,600,000 5,632 10 17,360,000 563.20

Average 112,454,999 20,195 11,245,500 2,020

Median 76,600,000 17,600 7,660,000 1,760

Weekly Analysis of Events per Analyst

y = 589551x + 2E+06

-

5,000,000

10,000,000

15,000,000

20,000,000

25,000,000

1 2 3 4 5 6 7 8 9 10111213 141516 17181920 212223 24252627 2829

Raw Events / Analyst

y = -150.3x + 4274

(2,000.00)

-

2,000.00

4,000.00

6,000.00

8,000.00

10,000.00

12,000.00

1 2 3 4 5 6 7 8 9 10 1112 1314 1516 1718 1920 2122 2324 2526 2728 29

Correlated Events / Analyst

Page 23: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

SOC отчитывается по определенным KPI

Page 24: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

SOC KPI

Page 25: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Зрелость процессов SOC

1: Хаотично

2: Повторяемо

3: Задано

4: Управляемо

5: Само-оптимизируемо

Всегда по-разному

Можно повторить

Повторяется и улучшается

Измеряется и улучшается

Постоянно улучшается

Page 26: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Оценка зрелости SOC

Page 27: Как правильно сделать SOC на базе SIEM

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Workshop & Roadmap

Построение SOC и одновременно снижение риска

Последний рывок

Разработка стратегии

Проект полностью готов

SOC полностью работает

SOC мирового класса

Упражняемся

30 days 90 days 180 days

Разработка решения

Реализация Взросление и сетификация

270 days

Аудит

365 days

Легко принять

SOC начал работу

Архитектура и операции задокументированы

• Staffing • Training • Process / Procedure • Deploying Technology • Building content • Maturity

Page 28: Как правильно сделать SOC на базе SIEM

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Спасибо

Денис Батранков,

Архитектор по безопасности

HP Enterprise Security


Recommended