SOC Тест-драйв. Что нужно для построения эффективного SOC?

Джордже СтаменковичАО «Цеснабанк»

УРА! У НАС ЕСТЬ SOC!

2

НАСКОЛЬКО ЭФФЕКТИВЕН SOC?

Если SOC отчитываетсяоб отсутствии

серьезных угрозвнутри периметра сети, возникают вопросы…

Так ли это в действительности? Насколько эффективна работа SOC?

Видит ли SOC всё, что должен видеть?3

ЧЕГО ОПАСАТЬСЯ?

● ATMitch: зловред для банкоматов

● Банкер NukeBot

● Целевые атаки группировки Silence4

● проверить существующие механизмы защиты

● протестировать эффективность новых механизмов

● оценить готовность SOC к различным типам атак

SOC ТЕСТ-ДРАЙВ

5

Выбор опытной команды

для проведения имитации реальных атак

и оценки системы реагирования на них.

SOC ТЕСТ-ДРАЙВ

6

- Цель упражнения -протестировать защиту, когда "преступник" уже получил доступ к сети.

- Мы предоставили группе атакующих доступ к внутренней сети, но наша ИБ/SOC команда знала про время атаки.

БИТВА НАЧАЛАСЬ

Задача нашей команды – обнаружить и локализовать угрозы, проанализировать их и нейтрализовать

7

РАЗВИТИЕ АТАКИ

ОНИ МЫ

Нацелились на Win infrastructure, domain admin

Анализировали их действия, определяли цели атак

Сканирование, атаки, компрометация серверов/аккаунтов

Оперативное получение информации и реагирование на атаки: блокировка

доступа, смена паролей, локдаунсерверов

Захват некоторых систем Выдавливание из захваченных систем, чтобы атакующий не мог закрепиться

и развить атаку. 8

АНАЛИЗ АТАКИ - ОбнаружениеДля обнаружения и понимания вектора атак наибольшую пользу принесли механизмы, позволяющие обнаружить:• Сканирование сервисов

• Брут-форс атаки

• Инсталляцию подозрительных сервисов

• Запуск подозрительных файлов

• Присутствие вредоносного ПО

• Автоматизированную активность в ИС

Кроме того активно использовались еще и• Кибер-ловушки и хани-поты 9

АНАЛИЗ АТАКИ – Hunting, Forensics

10

A1 A2 A3 A4 A5 A6 A7 A8 A9 A10

B1 B2 B3 B4 B5 B6 B7 B8 B9 B10

C1 C2 C3 C4 C5 C6 C7 C8 C9 C10

D1 D2 D3 D4 D5 D6 D7 D8 D9 D10

E1 E2 E3 E4 E5 E6 E7 E8 E9 E10

F1 F2 F3 F4 F5 F6 F7 F8 F9 F10

G1 G2 G3 G4 G5 G6 G7 G8 G9 G10

H1 H2 H3 H4 H5 H6 H7 H8 H9 H10

I1 I2 I3 I4 I5 I6 I7 I8 I9 I10

J1 J2 J3 J4 J5 J6 J7 J8 J9 J10

K1 K2 K3 K4 K5 K6 K7 K8 K9 K10

L1 L2 L3 L4 L5 L6 L7 L8 L9 L10

M1 M2 M3 M4 M5 M6 M7 M8 M9 M10

N1 N2 N3 N4 N5 N6 N7 N8 N9 N10

Наиболее эффективныеметоды защиты:

● Network Hardening (DAI,отключение протоколовLLMNR, NBNS, сегментация сети)

● Privileged UserManagement (LAPS, Admin VLAN, Admin Workstations)

● Нестандартные ИБ-решения

● SOC (обнаружение и реагирование)

АНАЛИЗ ЭФФЕКТИВНОСТИ ЗАЩИТЫ

11

ВЫВОДЫ

• Всегда будут уязвимости• Часто случаются нарушения

политик безопасности персоналом

• Всегда будут недостатки втехнических средствах контроля

НАШ ИНСАЙТ

Хорошо организованный SOCповышает общий уровень

безопасности организации икомпенсирует риски

неизвестных угроз 12

Покрытие системами мониторинга:Полное покрытие активов системой мониторинга позволяет обнаруживать атаки на ранней стадии.

детект атаки, когда она дошла до критического ресурса = поздно!

Инструменты анализа логов:Возможность проводить интерактивный полнотекстовый (#быстрый=своевременный) поиск в логах в ходе расследования.

информация, полученная после завершения атаки = бесполезно!

ВЫВОДЫ: Эффективный SOC - Технологии

13

14

SOC- стал стратегическим направлением развития- был выделен организационно из структуры ИБ- активно взаимодействует с Центром Компетенций, Red

Team, подразделениями ИТ и ИБ

ВЫВОДЫ: Эффективный SOC - Организация

15

SOC

IT

Inf.Security

SIEMvendor

Red Team

CompetenceCenter

Thre

ats

info

Threat intelligence

IoC

IoCSIEM Rules

Feedback

SIEM Rules

Inf.Security

CompetenceCenter

Threat intelligence

IT

Red Team

Inf.Security

CompetenceCenter

Threat intelligence

ВЫВОДЫ: Эффективный SOC - Организация

ЧЕМ НАСЫТИТЬ SIEM?

16

17