От SIEM к SOC дорогу осилит смотрящий

Эльман Бейбутов,

Руководитель направления безопасности БД и SOC

Центра информационной безопасности

Компании «Инфосистемы Джет»

От SIEM к SOC: дорогу осилит

смотрящий

4 июня 2014 г.

© 2014 Инфосистемы Джет Больше чем безопасность

2

Вместо введения

Развитие Security Operations Center:

• 5 поколений SOC: переход от 3G/4G к 5G.

Уровни зрелости SOC по четырем направлениям:

• Оценка зрелости Security Operations;

• Оценка зрелости крупнейших SOC в мире.

Российские тренды в создании SOC:

• Распределение Jet-проектов SIEM / SOC по секторам экономики;

• Глубина погружения в SOC компаний.

«Лучшие» практики создания SOC


3

Развитие Security Operations Center 1 G

enera

tion

1975−1995 Зарождение SOC:

- рутинный анализ событий с FW, AV.

2 G

enera

tion

1996−2001 Становление SOC:

- анализ IDS, Vuln;

- формализация задач SOC;

- появление SIEM;

- первые MSSP SOC.

3 G

enera

tion

2002−2006 Распространение SOC:

- отражение угроз botnet;

- требования к анализу событий ИБ (PCI DSS).

4 G

en

era

tio

n

2007−2012 Тюнинг SOC:

- анализ и отражение специфичных атак;

- подключение новых средств защиты (WAF, DPI,..).

5 G

en

era

tio

n

2013−… Проактивность SOC:

- обнаружение неизвестных атак (Big

Data, Pattern / Anomaly);

- автоматизация ответных действий.

* По материалам HP Security Intelligence and Operations Consulting (SIOC)


4

Уровни зрелости SOC

Уровень

SOMM

Оценка SOC Описание

Уровень 0 Недостаточный Ключевые составляющие SOC отсутствуют.

Уровень 1 Начальный Ведется мониторинг, но нет документированных

процессов. Реагирование по ситуации.

Уровень 2 Базовый Выполнение нормативных и бизнес-требований.

Большинство процессов документированы, но

пересматриваются по ситуации.

Уровень 3 Надлежащий Процессы хорошо документированы, регулярно

пересматриваются с учетом текущих лучших практик.

Уровень 4 Осмысленный Эффективность SOC регулярно оценивается по

метрикам производительности. Процессы

выстраиваются для достижения KPI от бизнеса.

Уровень 5 Экстремальный По всем направлениям SOC приняты программы

развития. Процессы максимально конкретизированы и

отточены. Поддержание этого уровня требует больше

инвестиций, чем возможная отдача от них (ROI <= 0).

HP SIOC предложил Security Operations Maturity Model (SOMM)

для оценки уровней зрелости SOC


5

Оцениваемые параметры SOC

Бизнес Люди Процессы Технологии

Миссия SOC Базовые метрики Базовые метрики Архитектура

Прозрачность и

измеримость

Обучение Эксплуатация SOC Сбор данных

Финансирование Сертификации Аналитика и

расследование

угроз

Мониторинг и

анализ

Отчетность Опыт ИТ-процессы SOC Корреляция

событий

Взаимосвязь с

производителями

Аттестации Взаимодействие с

бизнесом

Обслуживание

систем

Карьерный рост

Руководство

Четыре направления для оценки уровня зрелости:


6

Оценка зрелости SOC в мире

Уровень SOMM по

индустриям в 13 странах

мира (Канада, США, Китай,

Англия, Германия, ЮАР и др.)

Количество проведенных

оценок HP SIOC с 2008 года (93 обследования в 69 SOC)

24 % SOC не дотягивают до 1

уровня

Только 30 % SOC соответствуют базовому (2)

уровню


7

SOC в России по опыту проектов компании

«Инфосистемы Джет»

Уровень SOMM по

индустриям

Количество выполненных

проектов по SIEM с 2010 года


8

Тренды развития SOC в России

Бизнес

• Вовлечение SOC в Compliance;

• Достижение установленных бизнесом KPI;

• Поддержка и финансирование на высшем уровне менеджмента.

Технологии

• Переход на высокопроизводительные БД (CORR, Ariel);

• Обнаружение известных угроз (RepSM, X-Force, Kaspersky feeds);

• Подключение дополнительных источников событий (WAF, DPI) − 4G;

• Обнаружение неизвестных угроз (Pattern Discovery, Anomaly Detection, BigInsights) – 5G.

Люди

• Создание команд специалистов в первых зрелых SOC в финансовых и телекоммуникационных индустриях;

• Запуск аутсорсинговой модели оказания услуг на базе JSOC.

Процессы

• Накопление и систематизация информации об инцидентах;

• Документирование не только SIEM, как части ИТ-инфраструктуры, но и эксплуатационных процедур SOC.


9

«Лучшие» практики внедрения SIEM

Сайзинг Сбор логов Синхрони-

зация источников

Настройка правил и контента

Мониторинг Анализ и тюнинг

Отчетность

Выглядит просто:

А как происходит на

самом деле?


10


• «Давайте подключим все, что подключается?»

• «Не надо фильтровать, ведь можно упустить что-то важное!»

• «Хранить надо как можно дольше – на всякий случай…»

• «Собирать логи лучше по расписанию, чтобы не нагружать сеть в продуктивное время».

Вредные советы по сбору логов:

• Сайзинг ПО и оборудования по верхним оценкам масштабов всей ИТ-инфраструктуры;

• Огромный поток информации о незначительных событиях;

• Позднее и маловероятное обнаружение инцидентов.

Каков результат?


11


• Нужно активировать все правила и отчеты «из коробки»;

• Настроить долгое время жизни Active Lists;

• Создать в автоматическом режиме модель активов;

• Выделить под каждую подсеть свою зону для самой подробной детализации.

Настройка правил и контента:

• Требуется еще больший объем памяти, чем рассчитывалось;

• Система начинает тормозить и вызывать негатив;

• Неправильная систематизация активов и разделение по зонам приводят к ложным срабатываниям и пропускам инцидентов.

Каков результат?


12

Выбор источников событий – Bottom-up

Bottom-up или Top-down?

Снизу вверх:

• Не надо думать – подключаем всё, что есть, и смотрим…;

• А что если в компании: - 25000 рабочих станций; - 1500 серверов; - 1500 сетевого и прочего оборудования?

Результат:

• 2M$ на софт и железо;

• 500K$ на внедрение;

• 500K$ на сопровождение в год (команда, поддержка).


13

Выбор источников событий – Top-down


Сверху вниз:

• Определяем границы проекта (например, скоуп PCI DSS);

• Границы резко сокращаются: - 25 000 рабочих станций -> 100 сотрудников процессинга; - 1 500 серверов -> 35 серверов; - 1 500 сетевого и прочего оборудования -> 35 устройств.

Результат:

• Экономия на затратах по всем статьям!

• Десятки важных систем остались вне скоупа, в т.ч. периметровые средства защиты

• Ограниченные наборы правил корреляций


14

Некрасиво получается…


Может есть что-то еще?


15

События источников

в качестве ингредиентов для сценариев

• В компании имеются «ингредиенты»: FW, AV, IDS, VPN, WAF, AD, Citrix, VMware$;

• Какие «коктейли» сценариев можно сделать?

Задача #1

• Нужен «коктейль» для отслеживания доступа к внутренним ресурсам из интернета;

• Какие «ингредиенты» нужно собрать?

Задача #2


16

«Рецепты» сценариев атак

• Кто вспомнит рецепты десяти коктейлей?

• Недостаток в выборе портит настроение.

• Сложные коктейли имеют отрицательные последствия…

Проблемы с книгой рецептов:

• Опыт реализованных проектов;

• Лучшие практики SIEM-производителей;

• Compliance -требования, политики ИБ;

• Penetration tests;

• Anomaly Detection.

Источники новых сценариев атак:


17

Каталог сценариев – основа правил SIEM

Практика использования SOC для предотвращения

несанкционированного доступа:

Инцидент Критерии Источники

Несанкционированный

доступ к ресурсам сети

извне

Осуществлено подключение по VPN к сети

организации под одной учетной записью.

Получение доступа к какой-либо системе

под другой учетной записью.

- VPN;

- ОС серверов \рабочих

станций, к которым

осуществляется доступ через

VPN.

Использование

неактуальных учетных

записей

Доступ к системам под учетными записями

уволенных сотрудников.

- Active Directory;

Опционально: ОС серверов.

Создание учетной записи

для

несанкционированного

доступа

Создание новой пользовательской учетной

записи.

Доступ под созданной учетной записью к

критичным файлам/системам.

Удаление учетной записи.

- Active Directory;

- ОС серверов, доступ к

которым необходимо

отслеживать.

Локальный доступ

отсутствующего

сотрудника

Системой контроля управления доступом

(СКУД) зафиксирован уход сотрудника с

работы.

Под учетной записью данного сотрудника

(с его АРМ) осуществляется доступ.

- СКУД;

- Active Directory;

Опционально:

- ОС серверов\рабочих

станций, доступ к которым

нужно отслеживать.


18



взлома учетной записи пользователя:


Взлом учетной записи

легитимного

пользователя и отправка

критичных файлов

через почтовый сервер

Успешный вход в систему на АРМ/сервере

после нескольких ошибок.

В течение двух часов осуществлен доступ к

критичным файлам.

В течение этих же двух часов

зафиксирована отправка письма по

корпоративной почте (возможно на

внутренний адрес или на конкретные

домены конкурирующих организаций).

- Active Directory \ ОС

файловых серверах

- Почтовый сервер

-Средства контроля доступа к

файлам

- NetFlow \Межсетевые

экраны с данными между

пользовательским сегментом

и файловым сервером

Взлом учетной записи

легитимного пользователя

и отправка критичных

данных через Интернет в

нерабочее время

Успешный вход в систему на АРМ / сервере

после нескольких ошибок в нерабочее

время.

В течение двух часов осуществлен доступ к

критичным файлам.

В течение этих же двух часов

зафиксирован существенный объем

трафика в интернете.

- Active Directory\ ОС

файловых серверов


- Средства контроля доступа

к файлам

- NetFlow \ Межсетевые

экраны с данными между

пользовательским сегментом

и файловым сервером


19



вирусных атак:


Внутренние SPAM-

рассылки (обнаружено

вирусное программное

обеспечение на рабочей

станции/сервере)

На АРМ / сервере не установлено

антивирусное ПО или вирусные базы не

обновлялись в течение двух дней.

С АРМ / сервера зафиксировано большое

количество событий по отправке

сообщений через электронную / веб-почту.

- Антивирусное программное

обеспечение

- Active Directory


Обнаружение сетевых

червей

На АРМ / сервере обнаружено большое

количество неуспешных попыток входа в

ОС под различными учетными записями.

Большинство событий в качестве адреса

источника имеют один и тот же IP \

hostname.

- Active Directory\ ОС Windows

- Межсетевой экран (ядра,

периметровый)

- IPS \ IDS


20

Усиление SIEM: специфичные правила

• Определение ключевых активов;

• Логический анализ способов реализации атак на ключевые активы;

• Заказные итеративные внешние тесты на проникновение.

Тактика защиты от хакера:

• Определение полномочий групп пользователей;

• Усиление СЗИ и правил по принципу need-to-know;

• Заказные итеративные внутренние тесты на проникновение.

Тактика защиты от инсайдера:


21

Работа с SIEM – это процесс

Мониторинг

Реагирование

Расследование

Усиление СрЗИ

Выявление новых атак

[email protected]

+7 (495) 411-76-01

+7 (985) 721-66-22

Вопросы?

Эльман Бейбутов


23

Они такие лояльные, что не хотят

прощаться с CRM при увольнении


24




25



Реагирование на утечку данных

Анализ недавно уволившихся, опрос коллег, сливших учетки

Блокирование доступа по username, IP

Внутреннее расследование

Устраиваются работать в конкурирующие организации

Продолжают пользоваться ресурсами компании

Запросы с IP конкурентов

Десятки учетных записей сливают при увольнении

Учетки друзей, бумажки на мониторе, подсмотренный пароль “qwerty123”

Одновременные обращения с разных IP


26

Храните деньги в сберегательной кассе!


27



28

Очередное снятие наличных той же преступной группой

Поимка мошенников Предотвращение очередного

ограбления

Подделка паспорта, обращение в отделение банка для досрочного закрытия депозита

Вывод денежных средств Детектирование закрытия счета /

Реагирование на хищение

Пара человек в банке анализируют счета клиентов в «свободное» от работы время

Список богатых и редко обращающихся в банк людей

Аномальные запросы, выпадающие из профиля работы


[email protected]

+7 (495) 411-76-01

+7 (985) 721-66-22

Теперь всё!

Эльман Бейбутов

От SIEM к SOC дорогу осилит смотрящий

Technology

Transcript of От SIEM к SOC дорогу осилит смотрящий