SlideShare ist ein Scribd-Unternehmen logo

Почему аналитики L1 в SOC бесполезны?

Aleksey Lukatskiy
Aleksey Lukatskiy

Доклад на SOC Forum, посвященный анализу психологических и физиологических факторов, доказывающих бесполезность аналитиков первой линии SOC

Technologie
1 von 35
Downloaden Sie, um offline zu lesen
Почему L1 SOC бесполезны? Из опыта построения SOC у десятков заказчиков и аутсорсинга SOC у сотни заказчиков Алексей Лукацкий 28 ноября 2018 Бизнес-консультант по кибербезопасности
© 2018 Cisco and/or its affiliates. All rights reserved. Аналитики L1 в SOC не нужны!
© 2018 Cisco and/or its affiliates. All rights reserved. • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC L1 L2 L3
© 2018 Cisco and/or its affiliates. All rights reserved. Начнем с фактов
© 2018 Cisco and/or its affiliates. All rights reserved. Разные модели работы SOC в режиме 24 х 7 Кейс 1 Кейс 2 Кейс 3 Минимальное число команд / людей 5 / 5 6 / 6 6 / 6 Часов в смену 10 10 12 Среднее число часов в неделю 42 + 2 часа сверхурочных 40 42 Плюсы Ротация рабочих и нерабочих дней на выходные 40-часовая неделя с 3- мя выходными Работа в те же дни каждую неделю Никто не работает больше трех дней подряд 3-хдневные каникулы каждые выходные Минусы Отсутствие постоянных рабочих дней 3 команды каждые выходные не работают, а 3 – работают каждые выходные Длинная смена Работа до 62 часов в неделю 2 часа сверхурочных на сотрудника Цикл повторения 20 дней 21 день 28 дней
© 2018 Cisco and/or its affiliates. All rights reserved. 12-тичасовые смены в день L1 Ночная смена Дневная смена 1 & 2 с 10 до 22 Ночная смена 3 & 4 с 10 до 22 L2 Дневная смена 8 - 17 Ночная смена 17 - 2 По вызову SecEng Дневная смена 8 - 17 По вызову SOC Mgmt Дневная смена 8 - 17 По вызову Дневная смена (8.00 – 8.00)
© 2018 Cisco and/or its affiliates. All rights reserved. Недельный график Недельное расписание L1 (неделя 1) Вс Пн Вт Ср Чт Пт Сб L1 (неделя 2) L2 SecEng SOC Mgmt Смена 1 (в день) Смена 2 (в день) Смена 3 (в ночь) Смена 1 (в день) Смена 4 (в ночь) Смена 2 (в день) Смена 3 Смена 4 (в ночь) Смена 3 По вызову По вызову По вызову По вызову По вызову По вызову Смена 3 (в ночь) Рабочая неделя Рабочая неделя Рабочая неделя
© 2018 Cisco and/or its affiliates. All rights reserved. Типичные режимы работы аналитиков SOC - 8 х 5, 12 х 5, 18 х 7, 24 х 7 Режим работы SOC и длительность смена Минимум – 7 человек для режима 7 х 24 с часовым перекрытием в смене и одним «плавающим» сотрудником для закрытия отпусков и болезней 10 аналитиков - для режима 24 х 7 х 365 + 2 наиболее опытных аналитика (L2) работают в режиме 8 х 5 и доступны для покрытия смен для запланированных и непланируемых отсутствий
© 2018 Cisco and/or its affiliates. All rights reserved. Зарплата аналитиков На кадровых ресурсах большое число вакансий для специалистов SOC Разброс зарплат (не везде опубликованы) – 25-150 тысяч рублей (зависит от региона) Нередко в описании вакансии аналитика аутсорсингого SOC пишется «можно без опыта»
© 2018 Cisco and/or its affiliates. All rights reserved. Что влияет на стоимость аналитика SOC? Налоги и взносы НДФЛ – 13% (для резидентов) ПФР, ФСС, ФОМС – 30% или 10% (при превышении лимита ФОТ) Зарплата Москва – 100 тысяч рублей СПб – 80 тысяч рублей Регионы – 25 тысяч рублей Внеурочная работа / выходные Разное Аренда, мебель, ПО, железо и т.п. Обучение Первичное обучение, повышение квалификации и OTJ
© 2018 Cisco and/or its affiliates. All rights reserved. • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
© 2018 Cisco and/or its affiliates. All rights reserved. Обучение для аналитиков L1 SANS Россия Вендор Основы обнаружения атак $6610 $250 Основы TCP/IP $150 Безопасность Linux / Windows по $500 Безопасность приложений по $250 Анализ с помощью SIEM $6610 $1000 Cisco Cyber Ops $3595 CompTIA CySa+ (Cybersecurity Analyst) $340 ArcSight Certified Security Analyst $4000 IBM Certified Associate Administrator – Security QRadar SIEM $1000 $2500 Без стоимости сертификации и поездки на обучение Базапри наличииSIEM
© 2018 Cisco and/or its affiliates. All rights reserved. Что такое аналитик SOC? Навыки • Выполнение задач, действий и процедур, необходимых для использования используемого оборудования • Технические навыки • Принятие решений • Коммуникационные навыки • Межличностные навыки Знания • Процедуры и процесс • Требуемые задачи • Оборудование и способы его работы • Опасности, сбои и риски • Рабочие правила и ограничения • Окружение Человек • Психология • Физиология • Мотивация
© 2018 Cisco and/or its affiliates. All rights reserved. Что еще надо уметь и знать? Presentations Skills $300 Коммуникации $300 Анализ Бесплатно на Udemy Writing Skills $300 Critical Thinking >$50
© 2018 Cisco and/or its affiliates. All rights reserved. Можно попробовать сократить число аналитиков за счет выбора режима работы, длительности смены и использования аутсорсинга
© 2018 Cisco and/or its affiliates. All rights reserved. В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
© 2018 Cisco and/or its affiliates. All rights reserved. 1,2 триллиона событий ИБ 22 инцидента ИБ Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов Источник: служба ИБ Cisco
© 2018 Cisco and/or its affiliates. All rights reserved. Психология и физиология SOC или почему не нужны аналитики L1?
© 2018 Cisco and/or its affiliates. All rights reserved. Естественный дневной ритм человека 100% -50% +50% 6 8 10 12 14 16 18 20 22 24 2 4 6 t, время суток Работоспособность У «жаворонков» и «сов» графики будут чуть сдвинуты относительно друг друга В обед работоспособность аналитика снижается В ночное время работоспособность падает катастрофически Работоспособность = внимательность, способность принимать решения и т.п.
© 2018 Cisco and/or its affiliates. All rights reserved. Наблюдения за работой аналитиков SOC t t t Число ошибок Число обнаруженных инцидентов Смена аналитика Длительность расследования Смена аналитика Смена аналитика Указанные показатели работы аналитиков SOC также являются измеряемыми метриками SOC и с помощью ML их можно даже предсказывать, эффективно выстраивая работу персонала
© 2018 Cisco and/or its affiliates. All rights reserved. Сон и биологические часы никогда не перестраиваются даже если работать все время в ночую смену Особенности ночной смены А это половина времени работы SOC Стресс и напряжение после дневного сна приводят к снижение внимательности, росту времени реакции, ухудшению памяти Социальные изменения, в частности выпадение из социума и проблемы в семье (при ее наличии) Последствия для здоровья – кардиология, потеря аппетита и проблемы с пищеварением
© 2018 Cisco and/or its affiliates. All rights reserved. После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Нельзя не учитывать физиологию работы аналитика После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
© 2018 Cisco and/or its affiliates. All rights reserved. Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна? Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
© 2018 Cisco and/or its affiliates. All rights reserved. Что ищут аналитики L1 – известное или неизвестное? Базовый уровень Средний уровень Продвинутый § Security Device Management § Collective Security Intelligence § Log Collection § Event Correlation § Rule-Based Analytics + Deeper Investigation Toolkit + Statistical Anomaly Detection + NetFlow Generation + Protocol Metadata Extraction + Data Enrichment + Real-time Visual Analytics + Machine Learning (Supervised and Unsupervised) + Raw Capture + Proactive Threat Hunting + Advanced Statistical Analytics (polymorphic) Speed Accuracy Focus Speed Accuracy FocusSpeed Accuracy Focus L1 – это для этого уровня зрелости аналитических технологий SOC
© 2018 Cisco and/or its affiliates. All rights reserved. Покупать или создавать инструментарий? Остальные 99% Лучшие 1% 99% SOCов используют готовые, приобретенные решения по ИБ 1% SOCов разрабатывают свой инструментарий или дорабатывают open source решения
© 2018 Cisco and/or its affiliates. All rights reserved. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … iCAM: внутренняя разработка Cisco
© 2018 Cisco and/or its affiliates. All rights reserved. • 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • 2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
© 2018 Cisco and/or its affiliates. All rights reserved. Рекомендации
© 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации Планирование нагрузки в зависимости от длительности и времени смены Менять смены либо часто (каждые 2-3 дня), либо редко (3-4 недели) Ограничение ночной смены максимум 12-тью часами (включая сверхурочную работу) Ограничение ночной смены максимум 8-мью часами, если работа монотонная, критичная требующая концентрации Возможно стоит сделать смену с переменной длительностью или с гибким временем начала и конца смены
© 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (продолжение) Поощряйте регулярные перерывы Ограничьте рабочие дни 5-7 днями и сделайте отдых между сменами адекватной Установите предел в 2-3 подряд смены, если смены более 8 часов и приходятся на ночь или раннее утро Разрешите аналитикам 2 ночи полноценного сна при переключении между ночной и дневной сменами (и наоборот) Предусмотрите в графике свободные выходные (сб., вс.)
© 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (продолжение) Обеспечьте для ночной смены те же преимущества, что и для дневной (комната отдыха, столовая и т.п.) Убедитесь, что руководитель SOC понимает особенности сменной работы и умеет распознавать проблемы, связанные со сменой Для аналитиков по вызову / в режиме ожидания обеспечьте режим отдыха Убедитесь, что аналитики и их семьи знакомы с рисками, связанными со сменной работой Освободите персонал на время обучения и развития
© 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (продолжение) Избегайте монотонной, требующей концентрации внимания или критически важной работы в ночные, ранние утренние часы, в конце длинной смены и в другие периоды низкий активности Не включайте аналитиков в постоянные ночные смены Не используйте недельную или двухнедельную ротацию Не позволяйте аналитикам отказываться от перерывов с целью сокращения времени своей смены Не разрывайте смены
© 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (окончание) Планируйте завершение задач в рамках одной смены Предложите аналитикам выбор между постоянными и сменяемыми сменами Не начинайте рабочую смену ранее 7 утра Позвольте аналитикам самостоятельности выбирать перерывы в работе Используйте ротацию смен по часовой стрелке (1-я – утро, 2-я – вечерняя, 3-я – ночная), а не против
© 2018 Cisco and/or its affiliates. All rights reserved. Вопросы?
Почему аналитики L1 в SOC бесполезны?

Empfohlen

Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
リクルートにおけるデータのインフラ化への取組
リクルートにおけるデータのインフラ化への取組リクルートにおけるデータのインフラ化への取組
リクルートにおけるデータのインフラ化への取組Recruit Technologies
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶ
経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶ経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶ
経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶshunsuke takama
 
Goのシンプルさについて
GoのシンプルさについてGoのシンプルさについて
Goのシンプルさについてpospome
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!
BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!
BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!Deep Learning Lab(ディープラーニング・ラボ)
 
Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeamDan Vasile
 

Empfohlen

Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
リクルートにおけるデータのインフラ化への取組
リクルートにおけるデータのインフラ化への取組リクルートにおけるデータのインフラ化への取組
リクルートにおけるデータのインフラ化への取組Recruit Technologies
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶ
経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶ経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶ
経営とアート 山口周 世界のエリートはなぜ「美意識」を鍛えるのか?要約しながら学ぶshunsuke takama
 
Goのシンプルさについて
GoのシンプルさについてGoのシンプルさについて
Goのシンプルさについてpospome
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!
BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!
BERTによる文書系AIの取り組みと、Azureを用いたテーブルデータの説明性実現!Deep Learning Lab(ディープラーニング・ラボ)
 
Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeamDan Vasile
 
SCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzSCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzJorge Orchilles
 
Kafka Connect:Iceberg Sink Connectorを使ってみる
Kafka Connect:Iceberg Sink Connectorを使ってみるKafka Connect:Iceberg Sink Connectorを使ってみる
Kafka Connect:Iceberg Sink Connectorを使ってみるMicroAd, Inc.(Engineer)
 
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...Vaticle
 
OAuth 2.0による認可の流れ
OAuth 2.0による認可の流れOAuth 2.0による認可の流れ
OAuth 2.0による認可の流れTakeshi Mikami
 
Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門Motonori Shindo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
Cyber Threat hunting workshop
Cyber Threat hunting workshopCyber Threat hunting workshop
Cyber Threat hunting workshopArpan Raval
 
ドメインモデルの育て方
ドメインモデルの育て方ドメインモデルの育て方
ドメインモデルの育て方増田 亨
 
実録!Railsのはまりポイント10選
実録!Railsのはまりポイント10選実録!Railsのはまりポイント10選
実録!Railsのはまりポイント10選Drecom Co., Ltd.
 
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題Hyperleger Tokyo Meetup
 
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かうBrainPad Inc.
 
BigQuery Query Optimization クエリ高速化編
BigQuery Query Optimization クエリ高速化編BigQuery Query Optimization クエリ高速化編
BigQuery Query Optimization クエリ高速化編sutepoi
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveNov Matake
 
Threat modelling with_sample_application
Threat modelling with_sample_applicationThreat modelling with_sample_application
Threat modelling with_sample_applicationUmut IŞIK
 
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話Ryuki Yoshimatsu
 
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -Naoki Nagazumi
 
AI & ML in Cyber Security - Why Algorithms are Dangerous
AI & ML in Cyber Security - Why Algorithms are DangerousAI & ML in Cyber Security - Why Algorithms are Dangerous
AI & ML in Cyber Security - Why Algorithms are DangerousRaffael Marty
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -Naoto Miyachi
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

SCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzSCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzJorge Orchilles
 
Kafka Connect:Iceberg Sink Connectorを使ってみる
Kafka Connect:Iceberg Sink Connectorを使ってみるKafka Connect:Iceberg Sink Connectorを使ってみる
Kafka Connect:Iceberg Sink Connectorを使ってみるMicroAd, Inc.(Engineer)
 
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...Vaticle
 
OAuth 2.0による認可の流れ
OAuth 2.0による認可の流れOAuth 2.0による認可の流れ
OAuth 2.0による認可の流れTakeshi Mikami
 
Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門Motonori Shindo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
Cyber Threat hunting workshop
Cyber Threat hunting workshopCyber Threat hunting workshop
Cyber Threat hunting workshopArpan Raval
 
ドメインモデルの育て方
ドメインモデルの育て方ドメインモデルの育て方
ドメインモデルの育て方増田 亨
 
実録!Railsのはまりポイント10選
実録!Railsのはまりポイント10選実録!Railsのはまりポイント10選
実録!Railsのはまりポイント10選Drecom Co., Ltd.
 
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題Hyperleger Tokyo Meetup
 
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かうBrainPad Inc.
 
BigQuery Query Optimization クエリ高速化編
BigQuery Query Optimization クエリ高速化編BigQuery Query Optimization クエリ高速化編
BigQuery Query Optimization クエリ高速化編sutepoi
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveNov Matake
 
Threat modelling with_sample_application
Threat modelling with_sample_applicationThreat modelling with_sample_application
Threat modelling with_sample_applicationUmut IŞIK
 
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話Ryuki Yoshimatsu
 
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -Naoki Nagazumi
 
AI & ML in Cyber Security - Why Algorithms are Dangerous
AI & ML in Cyber Security - Why Algorithms are DangerousAI & ML in Cyber Security - Why Algorithms are Dangerous
AI & ML in Cyber Security - Why Algorithms are DangerousRaffael Marty
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -Naoto Miyachi
 

Was ist angesagt? (20)

SCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim SchulzSCYTHE Purple Team Workshop with Tim Schulz
SCYTHE Purple Team Workshop with Tim Schulz
 
Kafka Connect:Iceberg Sink Connectorを使ってみる
Kafka Connect:Iceberg Sink Connectorを使ってみるKafka Connect:Iceberg Sink Connectorを使ってみる
Kafka Connect:Iceberg Sink Connectorを使ってみる
 
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
Building a Cyber Threat Intelligence Knowledge Management System (Paris Augus...
 
OAuth 2.0による認可の流れ
OAuth 2.0による認可の流れOAuth 2.0による認可の流れ
OAuth 2.0による認可の流れ
 
Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
Cyber Threat hunting workshop
Cyber Threat hunting workshopCyber Threat hunting workshop
Cyber Threat hunting workshop
 
ドメインモデルの育て方
ドメインモデルの育て方ドメインモデルの育て方
ドメインモデルの育て方
 
実録!Railsのはまりポイント10選
実録!Railsのはまりポイント10選実録!Railsのはまりポイント10選
実録!Railsのはまりポイント10選
 
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
エンタープライズブロックチェーン基盤のひとつとしてのHyperledger Fabricの強みと課題
 
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
2018 builderscon airflowを用いて、 複雑大規模なジョブフロー管理 に立ち向かう
 
BigQuery Query Optimization クエリ高速化編
BigQuery Query Optimization クエリ高速化編BigQuery Query Optimization クエリ高速化編
BigQuery Query Optimization クエリ高速化編
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
 
Threat modelling with_sample_application
Threat modelling with_sample_applicationThreat modelling with_sample_application
Threat modelling with_sample_application
 
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
 
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
 
AI & ML in Cyber Security - Why Algorithms are Dangerous
AI & ML in Cyber Security - Why Algorithms are DangerousAI & ML in Cyber Security - Why Algorithms are Dangerous
AI & ML in Cyber Security - Why Algorithms are Dangerous
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review Process
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
 

Ähnlich wie Почему аналитики L1 в SOC бесполезны?

Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Software Analytics in frontend
Software Analytics in frontendSoftware Analytics in frontend
Software Analytics in frontendDenis Kolesnikov
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?Positive Hack Days
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 

Ähnlich wie Почему аналитики L1 в SOC бесполезны? (20)

От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Software Analytics in frontend
Software Analytics in frontendSoftware Analytics in frontend
Software Analytics in frontend
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?Что ожидают работодатели от молодых специалистов?
Что ожидают работодатели от молодых специалистов?
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 

Mehr von Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 

Почему аналитики L1 в SOC бесполезны?

  • 1. Почему L1 SOC бесполезны? Из опыта построения SOC у десятков заказчиков и аутсорсинга SOC у сотни заказчиков Алексей Лукацкий 28 ноября 2018 Бизнес-консультант по кибербезопасности
  • 2. © 2018 Cisco and/or its affiliates. All rights reserved. Аналитики L1 в SOC не нужны!
  • 3. © 2018 Cisco and/or its affiliates. All rights reserved. • Разбор сложных инцидентов • Обновление базы знаний • Проверка инцидента и разбор эскалации • Обнаружение пропущенных инцидентов • Обновление базы знаний • Мониторинг событий • Обнаружение и эскалация инцидентов • Управление ресурсами, компетенциями и знаниями • Улучшение процессов и контроль SLA Анализ инцидентов Обнаружение инцидентов Роли традиционной команды SOC Анализ APT (Hunting) Лидер SOC L1 L2 L3
  • 4. © 2018 Cisco and/or its affiliates. All rights reserved. Начнем с фактов
  • 5. © 2018 Cisco and/or its affiliates. All rights reserved. Разные модели работы SOC в режиме 24 х 7 Кейс 1 Кейс 2 Кейс 3 Минимальное число команд / людей 5 / 5 6 / 6 6 / 6 Часов в смену 10 10 12 Среднее число часов в неделю 42 + 2 часа сверхурочных 40 42 Плюсы Ротация рабочих и нерабочих дней на выходные 40-часовая неделя с 3- мя выходными Работа в те же дни каждую неделю Никто не работает больше трех дней подряд 3-хдневные каникулы каждые выходные Минусы Отсутствие постоянных рабочих дней 3 команды каждые выходные не работают, а 3 – работают каждые выходные Длинная смена Работа до 62 часов в неделю 2 часа сверхурочных на сотрудника Цикл повторения 20 дней 21 день 28 дней
  • 6. © 2018 Cisco and/or its affiliates. All rights reserved. 12-тичасовые смены в день L1 Ночная смена Дневная смена 1 & 2 с 10 до 22 Ночная смена 3 & 4 с 10 до 22 L2 Дневная смена 8 - 17 Ночная смена 17 - 2 По вызову SecEng Дневная смена 8 - 17 По вызову SOC Mgmt Дневная смена 8 - 17 По вызову Дневная смена (8.00 – 8.00)
  • 7. © 2018 Cisco and/or its affiliates. All rights reserved. Недельный график Недельное расписание L1 (неделя 1) Вс Пн Вт Ср Чт Пт Сб L1 (неделя 2) L2 SecEng SOC Mgmt Смена 1 (в день) Смена 2 (в день) Смена 3 (в ночь) Смена 1 (в день) Смена 4 (в ночь) Смена 2 (в день) Смена 3 Смена 4 (в ночь) Смена 3 По вызову По вызову По вызову По вызову По вызову По вызову Смена 3 (в ночь) Рабочая неделя Рабочая неделя Рабочая неделя
  • 8. © 2018 Cisco and/or its affiliates. All rights reserved. Типичные режимы работы аналитиков SOC - 8 х 5, 12 х 5, 18 х 7, 24 х 7 Режим работы SOC и длительность смена Минимум – 7 человек для режима 7 х 24 с часовым перекрытием в смене и одним «плавающим» сотрудником для закрытия отпусков и болезней 10 аналитиков - для режима 24 х 7 х 365 + 2 наиболее опытных аналитика (L2) работают в режиме 8 х 5 и доступны для покрытия смен для запланированных и непланируемых отсутствий
  • 9. © 2018 Cisco and/or its affiliates. All rights reserved. Зарплата аналитиков На кадровых ресурсах большое число вакансий для специалистов SOC Разброс зарплат (не везде опубликованы) – 25-150 тысяч рублей (зависит от региона) Нередко в описании вакансии аналитика аутсорсингого SOC пишется «можно без опыта»
  • 10. © 2018 Cisco and/or its affiliates. All rights reserved. Что влияет на стоимость аналитика SOC? Налоги и взносы НДФЛ – 13% (для резидентов) ПФР, ФСС, ФОМС – 30% или 10% (при превышении лимита ФОТ) Зарплата Москва – 100 тысяч рублей СПб – 80 тысяч рублей Регионы – 25 тысяч рублей Внеурочная работа / выходные Разное Аренда, мебель, ПО, железо и т.п. Обучение Первичное обучение, повышение квалификации и OTJ
  • 11. © 2018 Cisco and/or its affiliates. All rights reserved. • Реверс-инжиниринг ВПО • Проведение пентестов • Обнаружение атак: Deep Dive • «Этичный хакер» • Управление инцидентами • Тренинг по soft skills • Базовый курс по безопасности • Знание SIEM/EDR/NTA/UEBA • Управление проектами • Управление персоналом • Тренинг по soft skills План обучения Hunting Лидер SOC Анализ Обнаружение $12000 $10000 $7500 $10000
  • 12. © 2018 Cisco and/or its affiliates. All rights reserved. Обучение для аналитиков L1 SANS Россия Вендор Основы обнаружения атак $6610 $250 Основы TCP/IP $150 Безопасность Linux / Windows по $500 Безопасность приложений по $250 Анализ с помощью SIEM $6610 $1000 Cisco Cyber Ops $3595 CompTIA CySa+ (Cybersecurity Analyst) $340 ArcSight Certified Security Analyst $4000 IBM Certified Associate Administrator – Security QRadar SIEM $1000 $2500 Без стоимости сертификации и поездки на обучение Базапри наличииSIEM
  • 13. © 2018 Cisco and/or its affiliates. All rights reserved. Что такое аналитик SOC? Навыки • Выполнение задач, действий и процедур, необходимых для использования используемого оборудования • Технические навыки • Принятие решений • Коммуникационные навыки • Межличностные навыки Знания • Процедуры и процесс • Требуемые задачи • Оборудование и способы его работы • Опасности, сбои и риски • Рабочие правила и ограничения • Окружение Человек • Психология • Физиология • Мотивация
  • 14. © 2018 Cisco and/or its affiliates. All rights reserved. Что еще надо уметь и знать? Presentations Skills $300 Коммуникации $300 Анализ Бесплатно на Udemy Writing Skills $300 Critical Thinking >$50
  • 15. © 2018 Cisco and/or its affiliates. All rights reserved. Можно попробовать сократить число аналитиков за счет выбора режима работы, длительности смены и использования аутсорсинга
  • 16. © 2018 Cisco and/or its affiliates. All rights reserved. В П В С Ч П С Расписание работы аналитиков Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L1 Аналитик L2 Аналитик L1 Аналитик L1 От правильного расписания зависит эффективность работы Аналитики тоже люди и хотят иметь личную жизнь 12-ти часовые смены минимизируют число аналитиков, но снижают продуктивность и качество
  • 17. © 2018 Cisco and/or its affiliates. All rights reserved. 1,2 триллиона событий ИБ 22 инцидента ИБ Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов Источник: служба ИБ Cisco
  • 18. © 2018 Cisco and/or its affiliates. All rights reserved. Психология и физиология SOC или почему не нужны аналитики L1?
  • 19. © 2018 Cisco and/or its affiliates. All rights reserved. Естественный дневной ритм человека 100% -50% +50% 6 8 10 12 14 16 18 20 22 24 2 4 6 t, время суток Работоспособность У «жаворонков» и «сов» графики будут чуть сдвинуты относительно друг друга В обед работоспособность аналитика снижается В ночное время работоспособность падает катастрофически Работоспособность = внимательность, способность принимать решения и т.п.
  • 20. © 2018 Cisco and/or its affiliates. All rights reserved. Наблюдения за работой аналитиков SOC t t t Число ошибок Число обнаруженных инцидентов Смена аналитика Длительность расследования Смена аналитика Смена аналитика Указанные показатели работы аналитиков SOC также являются измеряемыми метриками SOC и с помощью ML их можно даже предсказывать, эффективно выстраивая работу персонала
  • 21. © 2018 Cisco and/or its affiliates. All rights reserved. Сон и биологические часы никогда не перестраиваются даже если работать все время в ночую смену Особенности ночной смены А это половина времени работы SOC Стресс и напряжение после дневного сна приводят к снижение внимательности, росту времени реакции, ухудшению памяти Социальные изменения, в частности выпадение из социума и проблемы в семье (при ее наличии) Последствия для здоровья – кардиология, потеря аппетита и проблемы с пищеварением
  • 22. © 2018 Cisco and/or its affiliates. All rights reserved. После 12-ти минут непрерывного мониторинга аналитик пропускает 45% активности на мониторе. После 22-х – 95% Нельзя не учитывать физиологию работы аналитика После 20-40 минут активного мониторинга у аналитика наступает психологическая слепота
  • 23. © 2018 Cisco and/or its affiliates. All rights reserved. Аналитики L1 занимаются мониторингом событий и обнаружением простых инцидентов Почему первая линия SOC не нужна? Автоматизация поможет исключить аналитиков L1, которые и так видят около 10% всего того, что должны Оставшиеся 90% - это игра и в нее надо быть вовлеченным Уровень ротации аналитиков L1 – около 90%
  • 24. © 2018 Cisco and/or its affiliates. All rights reserved. Что ищут аналитики L1 – известное или неизвестное? Базовый уровень Средний уровень Продвинутый § Security Device Management § Collective Security Intelligence § Log Collection § Event Correlation § Rule-Based Analytics + Deeper Investigation Toolkit + Statistical Anomaly Detection + NetFlow Generation + Protocol Metadata Extraction + Data Enrichment + Real-time Visual Analytics + Machine Learning (Supervised and Unsupervised) + Raw Capture + Proactive Threat Hunting + Advanced Statistical Analytics (polymorphic) Speed Accuracy Focus Speed Accuracy FocusSpeed Accuracy Focus L1 – это для этого уровня зрелости аналитических технологий SOC
  • 25. © 2018 Cisco and/or its affiliates. All rights reserved. Покупать или создавать инструментарий? Остальные 99% Лучшие 1% 99% SOCов используют готовые, приобретенные решения по ИБ 1% SOCов разрабатывают свой инструментарий или дорабатывают open source решения
  • 26. © 2018 Cisco and/or its affiliates. All rights reserved. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … iCAM: внутренняя разработка Cisco
  • 27. © 2018 Cisco and/or its affiliates. All rights reserved. • 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • 2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
  • 28. © 2018 Cisco and/or its affiliates. All rights reserved. Рекомендации
  • 29. © 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации Планирование нагрузки в зависимости от длительности и времени смены Менять смены либо часто (каждые 2-3 дня), либо редко (3-4 недели) Ограничение ночной смены максимум 12-тью часами (включая сверхурочную работу) Ограничение ночной смены максимум 8-мью часами, если работа монотонная, критичная требующая концентрации Возможно стоит сделать смену с переменной длительностью или с гибким временем начала и конца смены
  • 30. © 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (продолжение) Поощряйте регулярные перерывы Ограничьте рабочие дни 5-7 днями и сделайте отдых между сменами адекватной Установите предел в 2-3 подряд смены, если смены более 8 часов и приходятся на ночь или раннее утро Разрешите аналитикам 2 ночи полноценного сна при переключении между ночной и дневной сменами (и наоборот) Предусмотрите в графике свободные выходные (сб., вс.)
  • 31. © 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (продолжение) Обеспечьте для ночной смены те же преимущества, что и для дневной (комната отдыха, столовая и т.п.) Убедитесь, что руководитель SOC понимает особенности сменной работы и умеет распознавать проблемы, связанные со сменой Для аналитиков по вызову / в режиме ожидания обеспечьте режим отдыха Убедитесь, что аналитики и их семьи знакомы с рисками, связанными со сменной работой Освободите персонал на время обучения и развития
  • 32. © 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (продолжение) Избегайте монотонной, требующей концентрации внимания или критически важной работы в ночные, ранние утренние часы, в конце длинной смены и в другие периоды низкий активности Не включайте аналитиков в постоянные ночные смены Не используйте недельную или двухнедельную ротацию Не позволяйте аналитикам отказываться от перерывов с целью сокращения времени своей смены Не разрывайте смены
  • 33. © 2018 Cisco and/or its affiliates. All rights reserved. Конкретные рекомендации (окончание) Планируйте завершение задач в рамках одной смены Предложите аналитикам выбор между постоянными и сменяемыми сменами Не начинайте рабочую смену ранее 7 утра Позвольте аналитикам самостоятельности выбирать перерывы в работе Используйте ротацию смен по часовой стрелке (1-я – утро, 2-я – вечерняя, 3-я – ночная), а не против
  • 34. © 2018 Cisco and/or its affiliates. All rights reserved. Вопросы?