ݺߣ

ݺߣShare a Scribd company logo

Сколько надо SOC?

Sergey Soldatov
Sergey Soldatov

SOC Forum 2022

1 of 48
Download to read offline
- SOC свешайте! - Сколько вешать в граммах? Сергей Солдатов Руководитель SOC Название навеяно этой рекламой https://youtu.be/aIZi2q1zyhE
Аналитика SOC и DFIR https://securelist.com/the-nature-of-cyber-incidents/107119/ https://securelist.com/managed-detection-and-response-in-2021/106540/
Аналитика SOC и DFIR https://www.brighttalk.com/webcast/18657/556471 https://www.brighttalk.com/webcast/18972/547327
О чем поговорим? • [Иногда] есть языковая проблема межу CISO и ЛПР • Решение – красивые картинки • Картинки – это: • Метрики операционной ИБ • Метрики атакующих • Взятые из той же операционной ИБ • Аналитические отчеты: • Сравнение своих метрик с лидерами • Старт, когда своих метрик пока не наработали
Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
Проблемы Бизнеса • Сколько Безопасности достаточно? • От чего защищаться? • Сколько и чего для этого нужно? • CapEx • OpEx • Как измерять успех?
Метрики • Доказать свою нужность • Оценить операционную эффективность и результативность • Оценить загрузку команды • Найти проблемы и пути решения • Выявить тенденции и предсказать будущее • Как долго не замечают? • Что в итоге хотят? • Кого ломают? • Как ломают? • Чем пользуются? • Как обнаруживают? Сопоставить свои возможности с реальным ландшафтом угроз!
9 Атакующие
10 Атакующие
Кого ломают? • Мой регион? • Моя отрасль? • Посмотреть тенденции…
Как ломают? • Защита и мониторинг этих векторов? • Я могу обнаружить такую активность?
Как обнаруживают? (1/2) • Я могу обнаружить такую активность? • Мониторинг конечной точки? • Мониторинг сети? • Что такое «подозрительная активность»? • Что такое «инцидент»? • Как ошибаются аналитики?
Как обнаруживают? (2/2) • Можно сравнить себя с коллегами по цеху
Как долго не замечают? (1/2) • Каков мой MTTD? • Какова эффективность обнаружения при входе с этого вектора? • Какова вероятность ошибки аналитика?
Как долго не замечают? (2/2) • Каков мой MTTD при таком типе атаки? • Мой MTTD меньше продолжительности самой быстрой атаки?
Как долго расследуют и восстанавливают? • У меня есть столько ресурсов, сколько надо на худший сценарий? • А лучше х2
Чего в итоге хотят? • Как в моей сети атакующий будет достигать этой цели? • Какие контроли ИБ на своем пути он встретит? • Где и как я смогу это увидеть?
Чем пользуются? • Как я обнаруживаю использования LOLBins? • Как я обнаруживаю использования специализированных инструментов?
20 Защитники
21 Защитники
Операционная эффективность • Почему не обнаруживают с 1 алерта? • Последующие алерты приходят в период реагирования? • Как это связано с критичностью инцидента?
Операционная эффективность • Почему есть инциденты Низкой и Средней критичности, отработанных неэффективно после первого алерта? • Какие типы инцидентов отрабатываются неэффективно? • Какие типы инцидентов вообще есть?
Инциденты высокой критичности Тип Комментарий APT Управляемая человеком RT Анализ защищенности/Red teaming Артефакты APT/RT Артефакты работы человека MW c ущербом ВПО с большим влиянием (эпидемия шифровальщика и т.п.) Публично доступные уязвимости Могут быть успешно атакованы с периметра DOS с ущербом [Распределенный] отказ в обслуживании с большим влиянием Инсайдер с ущербом Атака с участием инсайдера с большим влиянием Успешная социалка с ущербом Успешная социальная инженерия с большим влиянием • Работают люди • Фактический или потенциальный большой ущерб • Обычно нужны DFIR
Инциденты средней критичности Тип Комментарий MW «Обычное» ВПО Майнеры Обнаружение майнеров Успешная социалка без ущерба Социалка успешна, но ущерба не было DOS без ущерба [Распределенный] отказ в обслуживании без влияния Уязвимость Уязвимость, не подходящая для инцидента высокой критичности Инсайдер без ущерба Инцидент с инсайдером без ущерба Рекогносцировка Сканирование и любая инвентаризация без развития • Нет видимых признаков работы людей • Те же типы, но нет большого ущерба • Можно эффективно отработать автоматом
Инциденты низкой критичности Тип Комментарий PUP Потенциально нежелательное ПО (не подходит для Высокой и Средней критичности) Не активное MW Артефакты ВПО, но оно не активно Некорректное использование без последствий Любые некорректные действия, без последствий (Если заметен умысел классифицируется, как Инсайдер) • Potentially unwanted program • То, что не может классифицировано как Высокого и Среднего уровня • Нет фактического ущерба, потенциальный – допустим или нематериален • Можно эффективно отработать автоматом
Кого как атакуют?
Ожидаемое количество инцидентов Инцидентов на 10 000 ПК
Сколько времени уйдет на понимание? • А вы сколько думали? • Вас устраивает такое время? • Декомпозируем на этапы и поймем где можно ускориться… • Какая автоматизация нужна? …сбор релевантных событий/алертов и оформление
Достаточность команды? • Объем работы: алерты, инциденты и время их обработки • Возможности команды: аналитиков «в онлайне»
Косвенно о достаточности команды • Длина очереди • Как долго алерты стоят в очереди
Ошибки аналитиков • Выборочная перепроверка • Приоритезация • Подробный разбор, документирование • Отслеживание тенденций Критичность Комментарий (упрощенно) Низкая Ошибки оформления, не дописал Средняя Не дорасследовал (не все релевантные события найдены) Высокая Неправильная интерпретация происходящего
Конверсия и Вклад • Отличный инструмент приоритезации… • Перепроверки аналитиков • Переработки логики обнаружения • Автоматизации • …
34 Зачем всё это?
Голубые vs. Красные Чёрные Используемые TTP Время до цели Потенциальная цель, мотивация
Голубые vs. Чёрные Используемые TTP Есть сценарии предотвращения Есть телеметрия Есть правила обнаружения Есть работа с FP и ошибками Время до цели Время обнаружения Время реагирования Потенциальная цель, мотивация Есть данные TI Есть ресурсы расследовать своевременно
Время до цели vs. MTTD+MTTR Обнаружили и изолировали Время до цели Период наблюдения Время
Объем работы vs. Доступность команды Доступность команды Объем работы Период наблюдения Часы
Объем работы vs. Доступность команды
Результативность – это понятно! А как же эффективность?
Дополнительно • Конверсия и Вклад по каждому правилу обнаружения • Конверсия и Вклад по каждому аналитику • Время расследования по каждому типу инцидента • Длина очереди по каждому аналитику • Статистика ошибок аналитиков • Эффективность систем обнаружения • Те же Вклад и Конверсия • И т.п. * * Мы не ставим задачу раскрыть полностью тему Метрик SOC
42 Откуда брать метрики?
Исходные данные для аналитики* • Таймлайн алерта • Время создания событий алерта • Время создания алерта • Время взятия алерта в работу • Время закрытия алерта как FP или импорта в кейс • Таймлайн кейса • Время создания, публикации • Время приостановки, возобновления • Время эскалаций • Время смены статусов • Время доступности аналитиков • Количество алертов, кейсов, инцидентов • Количество сырых событий • Количество объектов мониторинга • Количество тенантов/клиентов • Ожидания • Алертов с объекта мониторинга • Конверсия Алерта в Инцидент • Объектов мониторинга на одного аналитика * Приведен неполный список, но с этого можно начать
Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
Данные аналитики Управление инцидентами Скорость обнаружения Скорость реагирования MTTD MTTR Покрытие телеметрией Трудоемкость обнаружения и триажа (SOC) Трудоемкость расследования и восстановления Покрытие правилами Тенденции Природа инцидента Мотивация атакующих Ошибки FP - Inr - Tech Ошибки аналитиков
Выводы • CMM* – отличный инструмент оценки, но простые термины MTTD и MTTR понятнее • Аналитика DFIR – разносторонняя демонстрация фактических возможностей атакующих • Постоянное вычисление метрик SOC дает объективное представление возможностей защитников • Профилирование работы аналитиков – базис для объективной оценки производительности команды • Возможности атакующих покажут требования к защитникам • Объем работ – требования к производительности команды * https://www.soc-cmm.com/
Спасибо за внимание!

More Related Content

Сколько надо SOC?

  • 1. - SOC свешайте! - Сколько вешать в граммах? Сергей Солдатов Руководитель SOC Название навеяно этой рекламой https://youtu.be/aIZi2q1zyhE
  • 2. Аналитика SOC и DFIR https://securelist.com/the-nature-of-cyber-incidents/107119/ https://securelist.com/managed-detection-and-response-in-2021/106540/
  • 3. Аналитика SOC и DFIR https://www.brighttalk.com/webcast/18657/556471 https://www.brighttalk.com/webcast/18972/547327
  • 4. О чем поговорим? • [Иногда] есть языковая проблема межу CISO и ЛПР • Решение – красивые картинки • Картинки – это: • Метрики операционной ИБ • Метрики атакующих • Взятые из той же операционной ИБ • Аналитические отчеты: • Сравнение своих метрик с лидерами • Старт, когда своих метрик пока не наработали
  • 5. Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
  • 6. Диалоги • EBITDA • IFRS & GAAP • P&L • Cost-Benefit • CapEx & OpEx • Cash flow • B2B & B2C • … • NGFW • NTA • SIEM • EPP • Pentest • Threat intelligence • DFIR • …
  • 7. Проблемы Бизнеса • Сколько Безопасности достаточно? • От чего защищаться? • Сколько и чего для этого нужно? • CapEx • OpEx • Как измерять успех?
  • 8. Метрики • Доказать свою нужность • Оценить операционную эффективность и результативность • Оценить загрузку команды • Найти проблемы и пути решения • Выявить тенденции и предсказать будущее • Как долго не замечают? • Что в итоге хотят? • Кого ломают? • Как ломают? • Чем пользуются? • Как обнаруживают? Сопоставить свои возможности с реальным ландшафтом угроз!
  • 11. Кого ломают? • Мой регион? • Моя отрасль? • Посмотреть тенденции…
  • 12. Как ломают? • Защита и мониторинг этих векторов? • Я могу обнаружить такую активность?
  • 13. Как обнаруживают? (1/2) • Я могу обнаружить такую активность? • Мониторинг конечной точки? • Мониторинг сети? • Что такое «подозрительная активность»? • Что такое «инцидент»? • Как ошибаются аналитики?
  • 14. Как обнаруживают? (2/2) • Можно сравнить себя с коллегами по цеху
  • 15. Как долго не замечают? (1/2) • Каков мой MTTD? • Какова эффективность обнаружения при входе с этого вектора? • Какова вероятность ошибки аналитика?
  • 16. Как долго не замечают? (2/2) • Каков мой MTTD при таком типе атаки? • Мой MTTD меньше продолжительности самой быстрой атаки?
  • 17. Как долго расследуют и восстанавливают? • У меня есть столько ресурсов, сколько надо на худший сценарий? • А лучше х2
  • 18. Чего в итоге хотят? • Как в моей сети атакующий будет достигать этой цели? • Какие контроли ИБ на своем пути он встретит? • Где и как я смогу это увидеть?
  • 19. Чем пользуются? • Как я обнаруживаю использования LOLBins? • Как я обнаруживаю использования специализированных инструментов?
  • 22. Операционная эффективность • Почему не обнаруживают с 1 алерта? • Последующие алерты приходят в период реагирования? • Как это связано с критичностью инцидента?
  • 23. Операционная эффективность • Почему есть инциденты Низкой и Средней критичности, отработанных неэффективно после первого алерта? • Какие типы инцидентов отрабатываются неэффективно? • Какие типы инцидентов вообще есть?
  • 24. Инциденты высокой критичности Тип Комментарий APT Управляемая человеком RT Анализ защищенности/Red teaming Артефакты APT/RT Артефакты работы человека MW c ущербом ВПО с большим влиянием (эпидемия шифровальщика и т.п.) Публично доступные уязвимости Могут быть успешно атакованы с периметра DOS с ущербом [Распределенный] отказ в обслуживании с большим влиянием Инсайдер с ущербом Атака с участием инсайдера с большим влиянием Успешная социалка с ущербом Успешная социальная инженерия с большим влиянием • Работают люди • Фактический или потенциальный большой ущерб • Обычно нужны DFIR
  • 25. Инциденты средней критичности Тип Комментарий MW «Обычное» ВПО Майнеры Обнаружение майнеров Успешная социалка без ущерба Социалка успешна, но ущерба не было DOS без ущерба [Распределенный] отказ в обслуживании без влияния Уязвимость Уязвимость, не подходящая для инцидента высокой критичности Инсайдер без ущерба Инцидент с инсайдером без ущерба Рекогносцировка Сканирование и любая инвентаризация без развития • Нет видимых признаков работы людей • Те же типы, но нет большого ущерба • Можно эффективно отработать автоматом
  • 26. Инциденты низкой критичности Тип Комментарий PUP Потенциально нежелательное ПО (не подходит для Высокой и Средней критичности) Не активное MW Артефакты ВПО, но оно не активно Некорректное использование без последствий Любые некорректные действия, без последствий (Если заметен умысел классифицируется, как Инсайдер) • Potentially unwanted program • То, что не может классифицировано как Высокого и Среднего уровня • Нет фактического ущерба, потенциальный – допустим или нематериален • Можно эффективно отработать автоматом
  • 29. Сколько времени уйдет на понимание? • А вы сколько думали? • Вас устраивает такое время? • Декомпозируем на этапы и поймем где можно ускориться… • Какая автоматизация нужна? …сбор релевантных событий/алертов и оформление
  • 30. Достаточность команды? • Объем работы: алерты, инциденты и время их обработки • Возможности команды: аналитиков «в онлайне»
  • 31. Косвенно о достаточности команды • Длина очереди • Как долго алерты стоят в очереди
  • 32. Ошибки аналитиков • Выборочная перепроверка • Приоритезация • Подробный разбор, документирование • Отслеживание тенденций Критичность Комментарий (упрощенно) Низкая Ошибки оформления, не дописал Средняя Не дорасследовал (не все релевантные события найдены) Высокая Неправильная интерпретация происходящего
  • 33. Конверсия и Вклад • Отличный инструмент приоритезации… • Перепроверки аналитиков • Переработки логики обнаружения • Автоматизации • …
  • 35. Голубые vs. Красные Чёрные Используемые TTP Время до цели Потенциальная цель, мотивация
  • 36. Голубые vs. Чёрные Используемые TTP Есть сценарии предотвращения Есть телеметрия Есть правила обнаружения Есть работа с FP и ошибками Время до цели Время обнаружения Время реагирования Потенциальная цель, мотивация Есть данные TI Есть ресурсы расследовать своевременно
  • 37. Время до цели vs. MTTD+MTTR Обнаружили и изолировали Время до цели Период наблюдения Время
  • 38. Объем работы vs. Доступность команды Доступность команды Объем работы Период наблюдения Часы
  • 39. Объем работы vs. Доступность команды
  • 40. Результативность – это понятно! А как же эффективность?
  • 41. Дополнительно • Конверсия и Вклад по каждому правилу обнаружения • Конверсия и Вклад по каждому аналитику • Время расследования по каждому типу инцидента • Длина очереди по каждому аналитику • Статистика ошибок аналитиков • Эффективность систем обнаружения • Те же Вклад и Конверсия • И т.п. * * Мы не ставим задачу раскрыть полностью тему Метрик SOC
  • 43. Исходные данные для аналитики* • Таймлайн алерта • Время создания событий алерта • Время создания алерта • Время взятия алерта в работу • Время закрытия алерта как FP или импорта в кейс • Таймлайн кейса • Время создания, публикации • Время приостановки, возобновления • Время эскалаций • Время смены статусов • Время доступности аналитиков • Количество алертов, кейсов, инцидентов • Количество сырых событий • Количество объектов мониторинга • Количество тенантов/клиентов • Ожидания • Алертов с объекта мониторинга • Конверсия Алерта в Инцидент • Объектов мониторинга на одного аналитика * Приведен неполный список, но с этого можно начать
  • 44. Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
  • 45. Процессная модель SOC Мониторинг безопасности Активный поиск угроз Управление инцидентами Управление данными об угрозах Анализ вредоносного ПО Цифровая криминалистика Управление сценариями обнаружения Управление сценариями реагирования Управление знаниями Управление сервисами Сопровождение инфраструктуры Отчетность Управление кадрами Образцы ВПО в рамках выявленных инцидентов Артефакты в рамках выявленных инцидентов Выявление сложных скрытых атак Выявление атак Детектирующая логика Тактики, техники, процедуры и инструменты атак Сценарии реагирования на типовые инциденты Оценка требуемых ресурсов Кадровое обеспечение всех процессов SOC Метрики и КПЭ для всех процессов SOC Информационное обеспечение всех процессов SOC Извлеченные уроки Данные Обеспечение параметров работы всей инфраструктуры SOC Мониторинг и триаж Реагирование на инциденты Управление Исследования и Анализ угроз Сопровождение инфраструктуры Легенда
  • 46. Данные аналитики Управление инцидентами Скорость обнаружения Скорость реагирования MTTD MTTR Покрытие телеметрией Трудоемкость обнаружения и триажа (SOC) Трудоемкость расследования и восстановления Покрытие правилами Тенденции Природа инцидента Мотивация атакующих Ошибки FP - Inr - Tech Ошибки аналитиков
  • 47. Выводы • CMM* – отличный инструмент оценки, но простые термины MTTD и MTTR понятнее • Аналитика DFIR – разносторонняя демонстрация фактических возможностей атакующих • Постоянное вычисление метрик SOC дает объективное представление возможностей защитников • Профилирование работы аналитиков – базис для объективной оценки производительности команды • Возможности атакующих покажут требования к защитникам • Объем работ – требования к производительности команды * https://www.soc-cmm.com/