Дрюков Владимир Руководитель jsoc · Зачем нужен...
TRANSCRIPT
5 причин запустить SOC в банке
Дрюков Владимир
Руководитель JSOC
solarsecurity.ru +7 (499) 755-07-70
Проблематика. Зачем нужен мониторинг ИБ
2
Безопасности нужны глаза:
ИБ не может быть настроена раз и навсегда – она должна подстраиваться под каждодневные
изменения, только понимание того что именно сейчас происходит в системе позволяет сделать
систему ИБ реально работающей;
Прежний подход к ИБ – все заблокировать и быть уверенным, что «враг не пройдет» – уже не
работает. Современные бизнес-требования предполагают максимальную гибкость и открытость ИТ,
а для этого нужен новый подход и к
ИБ – безопасности через целевой мониторинг, а не через запреты;
Целенаправленные атаки не детектируются стандартными средствами защиты, и единственный
способ их выявления – специальный мониторинг косвенных признаков, глубокий анализ и
расследования.
Только реализация полноценной функции мониторинга безопасности и security operations center-а (SOC)
сделают систему ИБ живой и адекватной текущим угрозам.
solarsecurity.ru +7 (499) 755-07-70
Функции Security Operations Center
3
SOC – ситуационный центр по ИБ, обеспечивающий оперативное управление
инцидентами и уровнем защищенности с учетом как изменений в инфраструктуре и
бизнес-процессах внутри, так и появлением новых угроз и векторов атаки снаружи
Функции SOC:
Мониторинг, выявление и анализ инцидентов
информационной безопасности;
Техническое противодействие атакам;
Контроль состояния защищенности,
выявление уязвимостей, ошибок настройки;
Техническое расследование возникающих
критичных инцидентов;
Аналитика по выявляемым инцидентам, их
причинам для принятия решений.
solarsecurity.ru +7 (499) 755-07-70
Use Case мониторинга – внешние
злоумышленники
4
Что случилось:
ИТ – администратор скачал warez для работы
Warez содержал себе 0day ПО
Снес антивирусного агента, создал fake образ
Результат:
Около 10 зараженных машин
Зафиксирована попытка заражения АРМ главного бухгалтера
Без финансового ущерба
Как защитить:
Контроль критичных АРМ
Контроль обращений к c&c серверам
solarsecurity.ru +7 (499) 755-07-70
Use Case мониторинга – внешние
злоумышленники
5
Что случилось:
Сотрудник расчетного центра подключил домашнее USB
Файл skazki_dlya_bolshih_i_malenkih.pdf.exe c 0day
Встроился в системные процессы, затаился
Результат:
Машина оставалась зараженной более 1 года
Велись снимки экрана (раз в 15 минут) и сбор паролей
Без финансового ущерба
Как защитить:
Контроль критичных АРМ
Контроль обращений к c&c серверам
solarsecurity.ru +7 (499) 755-07-70
Use Case мониторинга – внутренние
злоумышленники
6
Что случилось:
Новая программа кредитов с VIP-условиями
Согласование: подчиненный – начальник
Начальник поделился учеткой с подчиненным
Результат:
2 кредита на тестя и тещу с VIP - условиями
10 кредитов по знакомству
Объявление на avito «5% скидки за 0,5%»
Как защитить:
Анализ профилей подключения к CRM критичных учеток
Анализ и разработка спец.сценариев для бизнес-процессов
solarsecurity.ru +7 (499) 755-07-70
Use Case мониторинга – ошибки ИТ
7
Что случилось:
ИТ публиковали новый сервис в интернет
Ошиблись маской подсети – вместо /31 - /30
Результат:
Опубликовали 4 внутренних хоста вместо 2
Два лишних – prodlike сервера VOIP
Итог – сервер взломан, звонки на интересные сервера в Бразилию
Как защитить:
Мониторить периметр через JSOC, фиксировать новые хосты
Контролировать изменения конфигураций
solarsecurity.ru +7 (499) 755-07-70
Use Case мониторинга – ошибки ИТ
8
Что случилось:
Секретарь VIPa покупала ему тур
Прокси мешал – попросила прямой доступ
Ошибка в заявке – IT дал АРМ белый IP
Отзыва доступа так и не было
Результат:
10 ботнетов на машине
Скомпрометирована все финансовые отчеты компании
На машине выводили деньги через paypal, раздавали торренты и т.д
Как защитить:
Следить за фактами отстука к C&C
Подключать критичные хосты
solarsecurity.ru +7 (499) 755-07-70
Что нужно сделать для построения SOC?
9
Провести инвентаризацию и оценку активов:
solarsecurity.ru +7 (499) 755-07-70
Что необходимо будет сделать при построении
SOC?
10
Выстроить процесс:
solarsecurity.ru +7 (499) 755-07-70
Что необходимо будет сделать при построении
SOC?
11
Агрегировать и использовать данные Threat Intelligence:
solarsecurity.ru +7 (499) 755-07-70
Что необходимо будет сделать при построении
SOC?
12
Интегрировать SIEM и Incident Response для уменьшения времени
реакции на инциденты:
SIEM: Карточка инцидента:
solarsecurity.ru +7 (499) 755-07-70
Что необходимо будет сделать при построении
SOC?
13
Разработать формы отчетности:
solarsecurity.ru +7 (499) 755-07-70
Дорогу осилит идущий
14
Ваши вопросы?