SlideShare ist ein Scribd-Unternehmen logo

"Сочные"мифы. Заблуждения, связанные с SOC

Aleksey Lukatskiy
Aleksey Lukatskiy

Обзор некоторых заблуждений, связанных с SOC, которые мне довелось увидеть в разных странах мира, включая и Россию

Technologie
1 von 30
Downloaden Sie, um offline zu lesen
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 «Сочные» мифы Заблуждения, связанные с SOC Алексей Лукацкий Бизнес-консультант по безопасности 27 мая 2016 года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 SOC Tour в США
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Реклама SOC в США
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Такое бывает только на картинках
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Это не так красиво, как на постановочных кадрах • Если SOC решает функции управления, реагирования и администрирования, то это Фото  не  для  публичного  показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Повседневная работа отличается от картинок
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Красиво и эффективно?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Динамические карты атак. А зачем?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Все SOC одинаковы Фото  не  для  публичного  показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Все SOC одинаковы Фото  не  для  публичного  показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Размер имеет значение Visa's  Operations  Center  East
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 SOC должен быть физическим • В SOC важно не физическое местоположение, а люди и выстроенные процессы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Threat   Intelligence Feeds Обогащенные   данные SOC – это SIEM Full  packet  capture Protocol  metadata NetFlow Machine  exhaust  (logs) Неструктурированная   телеметрия Другая  потоковая   телеметрия Parse   +   Form at Enri ch Alert Log  Mining  and   Analytics Big  Data   Exploration, Predictive   Modelling Network   Packet  Mining   and  PCAP   Reconstruction Приложения  +  аналитика
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Люди Данные Технологии SOC – это технологическое решение / система Аналитика
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Не все SOC одинаково полезны Известные  угрозы Разнообразие Зрелость 80%  решений Deterministic   Rules-­Based   Analytics  (DRB) Statistical   Rules-­Based   Analytics  (SRB) Data  Science-­Centric   Analytics  (DSC) Тюнинг Контекст Полиморфизм Big  Data Обнаружение  аномалий Прогнозирование Ложные   срабатывания Одномерность Хранение Озера  данных Общая  модель  данных Классификация  событий Профили  поведения Ориентация  на   конкретные  задачи Привязан  к  заказчику
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Учет цепочки реализации атаки (Kill Chain) Recon Weaponize Deliver Exploit Install C&C Action DGA Model TyposquattingModel SRBDRB DSC-U Scan Analysis Static Malware Family Classifier Dynamic Malware Family Model Attribution Model Alerts ClusteringAsset Categorization Dossier Creation User Behavioral Model Asset Behavioral Model Protocol Anomaly Detection Burst Detection DSC-S Horizontal Movement AnomalyDetection FrequencyDomain Hash Signature Rules IP Blacklist Rules Trend Forecasting Session AnomalyDetection User Categorization Forensic Rules Compliance Rules User Sentiment Model Social Media Mining ExfiltrationPolicy HTTP Attack Rules ASN Belief Networks Computer Vision– Binary/GUI SPAM Classifier Javascript Clustering FastFlux DetectorSocial Network Scraper
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Внешний SOC позволяет реагировать на инциденты ИБ Модель  CAPEX Модель  OPEX Владение  средствами  защиты Заказчик Провайдер  SOC Владение  средствами  мониторинга Провайдер  SOC Провайдер  SOC Лицо,  принимающее  решение по  инцидентам Заказчик Провайдер  SOC Владение средствами  контроля  состояния  и   поддержки  средств защиты Заказчик Провайдер  SOC Управление  жизненным  циклом  средств  защиты   (например,  замена,  регламентные  работы) Заказчик Провайдер  SOC • SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не реагированием на них Это неверная трактовка,но именно в этом случае миф является правдой • В полноценном SOC помимо функции мониторинга возможна реализации и других функций ИБ и администрирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 SOC может бороться с инцидентами • У вас определено понятие «инцидента ИБ»? • Что для вас норма, а что нет? Как вы проводите границу? • Знаете ли вы кто, куда, когда, зачем и как имеют доступ в вашей сети?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 SOC борется с уже произошедшими событиями • «Hunting Team», которые ищут индикаторы компрометации и предварительные следы несанкционированнойактивности • Red/Blue Team проводят реальные попытки взлома организации до того, как это сделают злоумышленники • Учет цепочки реализации атаки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 В SOC работают квалифицированные специалисты • Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков? • Уровень квалификации зависит от линии поддержки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Cisco SOC РАЗВЕДКА  &   ИССЛЕДОВАНИЯ АНАЛИТИКА 26 ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ network  logs system  logs user   attribution analysis  tools case  tools deep  packet   analysis collaboration   tools intel  feeds РАССЛЕДОВАНИЯ 4 APT 1422
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 NATO NCIRC Данные  не  для  публичного  показа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Все SOCи имеют документированные процедуры • Ad-Hoc: Процессы типично недокументированы и неконтролируемы. Реализация минимума по мере необходимости • Повторяемый, но недисциплинированный: Процессы повторяются с более предсказуемыми результатами • Контролируемый: операции четко определены и документированы и регулярно подвергаются пересмотру и совершенствованию • Оптимизированный: Активности стандартизованы и вводя показатели деятельности для оценки эффективности • Адаптивный: основное внимание уделяется постоянному совершенствованию процессов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 SOC может вариться в собственном соку Intel Signature Flows Intel Signature Behavior Flows Intel Signature В  прошлом 2012 2013 Необходимо  использовать  различные  способы  изучения  угроз   Сетевые  потоки  | Поведение  | Сигнатуры  |  Исследования  
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Правила корреляции – это нетрудно • Кто должен создавать правила корреляции – поставщик услуг или заказчик? • Надо ли иметь опыт проведения пентестов и атак для создания адекватных правил?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Надо собирать все данные для анализа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Можно нормализовать все данные и снизить объем хранилища Image:  http://www.pn-­design.co.uk/design_blogs/images/resolution-­as-­mosaic.jpg • Детальные данные могут понадобиться при проведении расследований и передаче дела в следственные органы • Детальные данные потребуют больших системных ресурсов для хранения, индексации, поиска и формирования отчетов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Аутсорсинговый SOC дороже • При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к операционным Требования Ожидаемые   ежегодные затраты Ежегодные затраты   на  внешний  SOC Персонал  SOC  – 11 человек • 3  смены  аналитиков  ИБ  для  мониторинга  24x7 • Также  требуется:  Менеджер  SOC,  системные  администраторы и  аналитики   инцидентов $1,100,000 Включено Оборудование*,  лицензии  на  ПО*,  поддержка, инфраструктура  SOC $960,000 Включено Подписка  на  Threat Intelligence $200,000 Включено Real  Time  Analytics Engine  (базируется  на Hadoop  2.0)  – машинное  обучение,  анализ   графов,  обнаружение   аномалий   $1M+ Включено Разработка  Workflow, процессы  и  методология  автоматизации ? Включено ВСЕГО $3M+ $2,000,000
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Пишите  на  security-­request@cisco.com Быть  в  курсе  всех  последних  новостей  вам  помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-­Russia-­3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Благодарю за внимание

Empfohlen

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 

Empfohlen

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времениAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времениAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 

Was ist angesagt? (20)

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 

Andere mochten auch

Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security StrategyAleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirementsAleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиAleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrimeAleksey Lukatskiy
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISOAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security RegulationsAleksey Lukatskiy
 

Andere mochten auch (20)

Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
 
New security threats
New security threatsNew security threats
New security threats
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
 

Ähnlich wie "Сочные"мифы. Заблуждения, связанные с SOC

13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"Expolink
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании CiscoCisco Russia
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Russia
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеAleksey Lukatskiy
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Cisco Russia
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБCisco Russia
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Cisco Russia
 

Ähnlich wie "Сочные"мифы. Заблуждения, связанные с SOC (20)

пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании Cisco
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
 

Mehr von Aleksey Lukatskiy

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (18)

Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

"Сочные"мифы. Заблуждения, связанные с SOC

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 «Сочные» мифы Заблуждения, связанные с SOC Алексей Лукацкий Бизнес-консультант по безопасности 27 мая 2016 года
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 SOC Tour в США
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Реклама SOC в США
  • 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Такое бывает только на картинках
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Это не так красиво, как на постановочных кадрах • Если SOC решает функции управления, реагирования и администрирования, то это Фото  не  для  публичного  показа
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Повседневная работа отличается от картинок
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Красиво и эффективно?
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Динамические карты атак. А зачем?
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Все SOC одинаковы Фото  не  для  публичного  показа
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Все SOC одинаковы Фото  не  для  публичного  показа
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Размер имеет значение Visa's  Operations  Center  East
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 SOC должен быть физическим • В SOC важно не физическое местоположение, а люди и выстроенные процессы
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Threat   Intelligence Feeds Обогащенные   данные SOC – это SIEM Full  packet  capture Protocol  metadata NetFlow Machine  exhaust  (logs) Неструктурированная   телеметрия Другая  потоковая   телеметрия Parse   +   Form at Enri ch Alert Log  Mining  and   Analytics Big  Data   Exploration, Predictive   Modelling Network   Packet  Mining   and  PCAP   Reconstruction Приложения  +  аналитика
  • 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Люди Данные Технологии SOC – это технологическое решение / система Аналитика
  • 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Не все SOC одинаково полезны Известные  угрозы Разнообразие Зрелость 80%  решений Deterministic   Rules-­Based   Analytics  (DRB) Statistical   Rules-­Based   Analytics  (SRB) Data  Science-­Centric   Analytics  (DSC) Тюнинг Контекст Полиморфизм Big  Data Обнаружение  аномалий Прогнозирование Ложные   срабатывания Одномерность Хранение Озера  данных Общая  модель  данных Классификация  событий Профили  поведения Ориентация  на   конкретные  задачи Привязан  к  заказчику
  • 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Учет цепочки реализации атаки (Kill Chain) Recon Weaponize Deliver Exploit Install C&C Action DGA Model TyposquattingModel SRBDRB DSC-U Scan Analysis Static Malware Family Classifier Dynamic Malware Family Model Attribution Model Alerts ClusteringAsset Categorization Dossier Creation User Behavioral Model Asset Behavioral Model Protocol Anomaly Detection Burst Detection DSC-S Horizontal Movement AnomalyDetection FrequencyDomain Hash Signature Rules IP Blacklist Rules Trend Forecasting Session AnomalyDetection User Categorization Forensic Rules Compliance Rules User Sentiment Model Social Media Mining ExfiltrationPolicy HTTP Attack Rules ASN Belief Networks Computer Vision– Binary/GUI SPAM Classifier Javascript Clustering FastFlux DetectorSocial Network Scraper
  • 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Внешний SOC позволяет реагировать на инциденты ИБ Модель  CAPEX Модель  OPEX Владение  средствами  защиты Заказчик Провайдер  SOC Владение  средствами  мониторинга Провайдер  SOC Провайдер  SOC Лицо,  принимающее  решение по  инцидентам Заказчик Провайдер  SOC Владение средствами  контроля  состояния  и   поддержки  средств защиты Заказчик Провайдер  SOC Управление  жизненным  циклом  средств  защиты   (например,  замена,  регламентные  работы) Заказчик Провайдер  SOC • SOC очень часто ассоциируется с понятием мониторинга событий безопасности, а не реагированием на них Это неверная трактовка,но именно в этом случае миф является правдой • В полноценном SOC помимо функции мониторинга возможна реализации и других функций ИБ и администрирования
  • 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 SOC может бороться с инцидентами • У вас определено понятие «инцидента ИБ»? • Что для вас норма, а что нет? Как вы проводите границу? • Знаете ли вы кто, куда, когда, зачем и как имеют доступ в вашей сети?
  • 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 SOC борется с уже произошедшими событиями • «Hunting Team», которые ищут индикаторы компрометации и предварительные следы несанкционированнойактивности • Red/Blue Team проводят реальные попытки взлома организации до того, как это сделают злоумышленники • Учет цепочки реализации атаки
  • 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 В SOC работают квалифицированные специалисты • Подумайте логически, может ли в SOC быть несколько десятков высококвалифицированных аналитиков? • Уровень квалификации зависит от линии поддержки
  • 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Cisco SOC РАЗВЕДКА  &   ИССЛЕДОВАНИЯ АНАЛИТИКА 26 ИНСТРУМЕНТЫ И ИССЛЕДОВАНИЯ network  logs system  logs user   attribution analysis  tools case  tools deep  packet   analysis collaboration   tools intel  feeds РАССЛЕДОВАНИЯ 4 APT 1422
  • 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 NATO NCIRC Данные  не  для  публичного  показа
  • 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Все SOCи имеют документированные процедуры • Ad-Hoc: Процессы типично недокументированы и неконтролируемы. Реализация минимума по мере необходимости • Повторяемый, но недисциплинированный: Процессы повторяются с более предсказуемыми результатами • Контролируемый: операции четко определены и документированы и регулярно подвергаются пересмотру и совершенствованию • Оптимизированный: Активности стандартизованы и вводя показатели деятельности для оценки эффективности • Адаптивный: основное внимание уделяется постоянному совершенствованию процессов
  • 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 SOC может вариться в собственном соку Intel Signature Flows Intel Signature Behavior Flows Intel Signature В  прошлом 2012 2013 Необходимо  использовать  различные  способы  изучения  угроз   Сетевые  потоки  | Поведение  | Сигнатуры  |  Исследования  
  • 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Правила корреляции – это нетрудно • Кто должен создавать правила корреляции – поставщик услуг или заказчик? • Надо ли иметь опыт проведения пентестов и атак для создания адекватных правил?
  • 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Надо собирать все данные для анализа
  • 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Можно нормализовать все данные и снизить объем хранилища Image:  http://www.pn-­design.co.uk/design_blogs/images/resolution-­as-­mosaic.jpg • Детальные данные могут понадобиться при проведении расследований и передаче дела в следственные органы • Детальные данные потребуют больших системных ресурсов для хранения, индексации, поиска и формирования отчетов
  • 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Аутсорсинговый SOC дороже • При прочих равных условиях аутсорсинговый SOC может оказаться не только дешевле на первом этапе, но и с точки зрения TCO, а также перехода от капитальных затрат к операционным Требования Ожидаемые   ежегодные затраты Ежегодные затраты   на  внешний  SOC Персонал  SOC  – 11 человек • 3  смены  аналитиков  ИБ  для  мониторинга  24x7 • Также  требуется:  Менеджер  SOC,  системные  администраторы и  аналитики   инцидентов $1,100,000 Включено Оборудование*,  лицензии  на  ПО*,  поддержка, инфраструктура  SOC $960,000 Включено Подписка  на  Threat Intelligence $200,000 Включено Real  Time  Analytics Engine  (базируется  на Hadoop  2.0)  – машинное  обучение,  анализ   графов,  обнаружение   аномалий   $1M+ Включено Разработка  Workflow, процессы  и  методология  автоматизации ? Включено ВСЕГО $3M+ $2,000,000
  • 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Пишите  на  security-­request@cisco.com Быть  в  курсе  всех  последних  новостей  вам  помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-­Russia-­3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
  • 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Благодарю за внимание