Устройство и Сервисы JSOC
- 1. Устройство и Сервисы JSOC Эльман Бейбутов, Толкатель бизнеса аутсорсинга ИБ
- 2. solarsecurity.ru +7 (499) 755-07-70 Почему аутсорсинг стал интересен в России 2 От SIEM к SOC – Дорогу осилит смотрящий? Когда-то мы внедрили более 35 SIEM «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека Примерно 80% компаний так и не построили SOC У 20% компаний через год обнаружились сложности с доступом в консоль SIEM из-за забытых логинов и паролей Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ, КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!
- 3. solarsecurity.ru +7 (499) 755-07-70 Зрелость SOC в России 3 Количество выполненных проектов по SIEM с 2010 года Уровень зрелости SOC по индустриям, по 5-ти бальной шкале 17 6 3 3 1 3 Финансы ТЭК Госсектор Телеком Ритейл ИТ-сервисы 0 0,5 1 1,5 2 2,5 ИТ-сервисы Ритейл Финансы Госсектор ТЭК Телекомы
- 4. solarsecurity.ru +7 (499) 755-07-70 Почему используют аутсорсинг 4 32% 22% 18% 12% 10% 6% НЕХВАТКА ПЕРСОНАЛА ОРГАНИЗАЦИЯ СЕРВИСОВ 24*7 НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ НЕОБХОДИМОСТЬ РАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ
- 5. solarsecurity.ru +7 (499) 755-07-70 Опыт MSSP заграницей* 5 Сервисы, доступные за рубежом Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN) Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом Малодоступные услуги западных MSSP Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection) SIEM as a Service (не путать с SOC!) Практически не встречается – SOC as a Service *Gartner, MSSP report, декабрь 2014
- 6. solarsecurity.ru +7 (499) 755-07-70 У нас есть, что предложить… 6 Контроль защищенности Противодействие кибепреступности Эксплуатация систем ИБ Анализ кода Защита web-приложений Анти-DDoS Мониторинг инцидентов ПРЕДЛАГАЕМ SECaaS
- 7. solarsecurity.ru +7 (499) 755-07-70 Проблемы, решаемые JSOC Дорого и долго строить полноценный SOC внутри компании Сложно найти готовых специалистов, способных противостоять таргетированным атакам Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность Необходимость обеспечения защиты web-приложений, в том числе от DDoS 1 2 3 4 5
- 8. solarsecurity.ru +7 (499) 755-07-70 Архитектура сервисов JSOC 9
- 9. solarsecurity.ru +7 (499) 755-07-70 Команда JSOC 10 Группа разбора инцидентов Руководитель департамента JSOC (Дрюков Владимир) Группа администрирования Группа развития JSOC (пресейл-аналитик, архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 11*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 7 человек) 2-ая линия администрирования – 11*5 (Москва, 3 человека) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва, 3 человека) Группа управления качеством (сервис-менеджеры, 4 человека) Администраторы ИБ (Москва, 2 человека)
- 10. solarsecurity.ru +7 (499) 755-07-70 Гарантии выполнения SLA 11 Параметры сервиса Базовый Расширенный Премиум Время обслуживания 8*5 24*7 24*7 Время обнаружения инцидента (мин) Критичные инциденты 15-30 10-20 5-10 Прочие инциденты до 60 до 60 до 45 Время базовой диагностики и информирования заказчика (мин) Критичные инциденты 45 30 20 Прочие инциденты до 120 до 120 до 90 Время выдачи рекомендаций по противодействию Критичные инциденты до 2 ч до 1,5 ч до 45 мин Прочие инциденты до 8 ч до 6 ч до 4 ч
- 11. solarsecurity.ru +7 (499) 755-07-70 JSOC: Мониторинг инцидентов – если SIEM нет 12 Как это выглядит: Оборудование и лицензии – арендная схема Мониторинг и анализ инцидентов – силами JSOC Подключение – установка сервера коннекторов и настройка источников Преимущества: Нет стартовых капитальных вложений Быстрый запуск услуги – до 1,5 месяцев Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня Агрегация информации об угрозах в одном центре мониторинга Мониторинг инцидентов
- 12. solarsecurity.ru +7 (499) 755-07-70 JSOC: Мониторинг инцидентов – если ArcSight уже есть 13 Как это выглядит: Оборудование и лицензии – в собственности клиента Правила SIEM обогащаются сценариями JSOC Команда JSOC анализирует все инциденты в SIEM Преимущества: Обновление SIEM, тюнинг источников под задачи Более 1500 корреляционных правил, объединенных в 174 таргетированных сценариев инцидентов ИБ Мониторинг и разбор инцидентов в режиме 24*7 при полном соблюдении гарантированного уровня SLA Мониторинг инцидентов
- 13. solarsecurity.ru +7 (499) 755-07-70 Факты, преимущества и выгоды 14 Факты •1-я линия дежурной смены 24х7 обрабатывает более 75 000 событий с подозрением на инциденты в год •Штат JSOC насчитывает более 30 человек •Реагирование в течение 15 минут •Катастрофоустойчивая платформа на ArcSight •Партнерские соглашения с ведущими CERT и другими аналитическими центрами ИБ для оперативного противодействия киберпреступности Преимущества •Более 170 детектируемых векторов атак •Перекрестное информирование клиентов об обнаруженных атаках •Использование информации о хакерских группировках, бот-сетях и не доверенных IP-адресах от нескольких ведущих зарубежных и российских аналитических центров •Мониторинг инцидентов и противодействие киберпреступности в режиме 24х7 при полном соблюдении уровня SLA Выгоды •Получение готового сервиса по мониторингу инцидентов без капитальных затрат спустя 1 месяц после подписания контракта •Compliance в части управления инцидентами, защиты web-приложений и анализа кода •Информированность и готовность к атакам нулевого дня •Высвобождение ресурсов своих сотрудников для новых проектов после передачи администрирования систем ИБ в JSOC
- 14. solarsecurity.ru +7 (499) 755-07-70 JSOC – Противодействие киберпреступности 15 Как это выглядит: Мы сообщим о том, что ваши учетные записи были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов Преимущества: Наиболее релевантная российскому рынку информация об атаках, основанная на информации бот-сетей и сенсорах, установленных в компаниях Информирование об атаке, когда она случилась у других, а не у вас Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка Противодействие киберпреступности
- 15. solarsecurity.ru +7 (499) 755-07-70 JSOC – Эксплуатация систем ИБ 16 Как это выглядит: Обеспечение работоспособности систем ИБ: • Мониторинг «здоровья» систем, восстановление работоспособности; • Обновление версий, администрирование и профилактика Эксплуатация систем ИБ: • Администрирование, разработка и оптимизация политик; • Оповещение о новых угрозах и обновление сигнатур Преимущества: Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной смены специалистов JSOC; Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности; Эксплуатация систем ИБ
- 16. solarsecurity.ru +7 (499) 755-07-70 JSOC – безопасность внешних сервисов 17 Как это выглядит: Защита от DDoS • Мониторинг атак и переключение трафика на очистку в облако Kaspersky • Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor Web application firewall • Предоставление WAF в аренду с полным администрированием из JSOC • Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек Преимущества: Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и конфиденциальность Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз Анти-DDoS WAF
- 17. solarsecurity.ru +7 (499) 755-07-70 JSOC – Контроль защищенности 18 Как это выглядит: Инвентаризация систем Инструментальный анализ уязвимостей Адаптация отчетов о сканировании Формирование конечных рекомендаций для ИТ-специалистов по устранению критичных уязвимостей Сопровождение устранения уязвимостей Регулярная оценка защищённости от zero-day Преимущества: Получение реальной картины уязвимостей инфраструктуры с учетом всех особенностей архитектуры Технический и организационный контроль процесса закрытия уязвимостей ИТ-службами Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования Контроль защищенности
- 18. solarsecurity.ru +7 (499) 755-07-70 JSOC – Анализ кода 19 Как это выглядит: Проверка исходного кода Java, PHP, C# и более десятка других языков по запросу Анализ безопасности мобильных приложений iOS, Android по бинарному файлу Встраивание проверки безопасности кода в процесс разработки ПО в компании Преимущества: Результаты анализа предоставляются в формате конкретных рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений; Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода; Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших Анализ кода
- 19. solarsecurity.ru +7 (499) 755-07-70 Что дороже аутсорсинг или инсорсинг? 20
- 20. solarsecurity.ru +7 (499) 755-07-70 Подключайтесь к JSOC! 21 Среди наших клиентов Лето-Банк УБРиР И многие другие… Среди наших партнеров
- 21. ОТВЕЧАЮ ЗА РАЗВИТИЕ БИЗНЕСА JSOC Эльман Бейбутов +7 985 721 66 22 e.beybutov@solarsecurity.ru Ваши вопросы?