�ݺ�ߣ

Опыт построения и эксплуатации
коммерческого SOC
Владимир Дрюков
руководитель JSOC

solarsecurity.ru +7 (499) 755-07-70
SOC – определения
2

Функции SOC
3
 Готовность к отражению атаки –
контроль защищенности инфраструктуры
 Выявление и устранение уязвимостей
 Контроль конфигураций сетевого оборудования
 Обеспечение полноты покрытия и функционала СЗИ
 Своевременное выявление «болевых точек» инфраструктуры
и бизнес-процессов
 Сбор информации по киберугрозам,
разработка мер выявления и противодействия
 Управление инцидентами:
 Своевременное выявление и анализ атаки (как внешней,
так и внутренней)
 Оперативное противодействие (в течении нескольких часов или быстрее)
 Выработка мер по неповторению инцидента
 Технический контроль compliance:
 Внутренний анализ рисков и политика ИБ
 Требования регуляторов

Функции SOC, которые можно передать
на аутсорсинг
4
 Готовность к отражению атаки –
контроль защищенности инфраструктуры
 Выявление и устранение уязвимостей
 Контроль конфигураций сетевого оборудования
 Обеспечение полноты покрытия и функционала СЗИ
 Своевременное выявление «болевых точек» инфраструктуры
и бизнес-процессов
 Сбор информации по киберугрозам,
разработка мер выявления и противодействия
 Управление инцидентами:
 Своевременное выявление и анализ атаки (как внешней,
так и внутренней)
 Оперативное противодействие (в течении нескольких часов или быстрее)
 Выработка мер по неповторению инцидента
 Технический контроль compliance:
 Внутренний анализ рисков и политика ИБ
 Требования регуляторов

JSOC – TTX
5
26
клиентов
192
инцидента ИБ
в день
82
системы ИБ
в эксплуатации
80+
запросов эксплуатации
в день
10 мин
Время реакции
на инцидент
30 мин
Время анализа/
противодействия
Основные сервисы:
 Мониторинг и реагирование на инциденты
 Контроль защищенности инфраструктуры
 Защита онлайн сервисов
 Эксплуатация систем ИБ

Стартовые показатели JSOC:
 ДВА инженера мониторинга
 Аналитик
 Руководитель направления
 ДВА сервера в кластерной конфигурации
 ОДИН заказчик, ТРИ пилотных проекта
 Работа 8*5
 Время реакции – 30 МИНУТ
 Время анализа – 2 ЧАСА
solarsecurity.ru +7 (499) 755-07-70 5

JSOC – основные вехи
7
Q3-Q4 2012
Первые сервисы
проактивной безопасности
8 авг 2013
запуск 24*7
14 апр 2013
Официальное
рождение JSOC
6 мая 2014
Первый эффективный
кейс бизнес-мониторинга
(26 Use Case, 3 связанные
бизнес-системы)
10 сент 2014
Столкновение с APT
30 апр 2015
Запуск мониторинга
критичной инфр-ры
клиента за 4 дня

5 граблей на пути к SOC
8
 Можно доверять «ноу-хау»
и практикам вендоров
 1-я линия может работать
по базовым инструкциям
 Нужно контролировать длинные
векторы атаки
 Репутационные базы вендоров –
просто и удобно
 ИТ и ИБ заказчика все знает
о своей инфраструктуре и процессах

solarsecurity.ru +7 (499) 755-07-70 9
Инфраструктура JSOC

Оргструктура JSOC
10
Группа разбора инцидентов
Руководитель департамента JSOC
Группа эксплуатации
Группа развития JSOC
(пресейл-аналитик, архитектор,
ведущий аналитик)
Инженеры реагирования
и противодействия – 12*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(НН, 6 человек)
2-ая линия
администрирования – 12*5
(Москва+НН, 5 человек)
1-ая линия
администрирования – 24*7
(НН, 6 человек)
Выделенные аналитики
(Москва+НН, 5 человек)
Группа управления качеством
и бизнес-анализа
(сервис-менеджеры,
4 человека)
Администраторы ИБ – эксперты
(Москва, 2 человека)

Процессы JSOC
11

Задачи JSOC
12
 Быстрое предоставление функции безопасности
клиенту
 Получение объективной картины защищенности
и состояния ИБ компании
 Сбор эффективной информация о киберугрозах
и противодействие атакам
 Бизнес-анализ ИБ, выявление и контроль
ключевых болевых точек

Дрюков Владимир,
Solar JSOC
v.dryukov@solarsecurity.ru
+7 (926) 589 92 85

�ݺ�ߣ

Опыт построения и эксплуатации коммерческого SOC

More Related Content

Опыт построения и эксплуатации коммерческого SOC