Threat intelligence в процессах SOC
•
1 gefällt mir•466 views
В рамках секции: Эволюция SOC — 2017: план развития
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie Threat intelligence в процессах SOC
Ähnlich wie Threat intelligence в процессах SOC (20)
Mehr von Positive Hack Days
Mehr von Positive Hack Days (20)
Kürzlich hochgeladen
Kürzlich hochgeladen (9)
Threat intelligence в процессах SOC
- 1. THREAT INTELLIGENCE В ПРОЦЕССАХ SOC Александр Лесников ANLesnikov@sberbank.ru Security Operation Center, ПАО Сбербанк Positive Hack Days 23 мая 2017
- 2. Турция ЕвропаСНГ ПАО Сбербанк 24/7 24/7 24/7 24/7 Единый центр киберзащиты (SOC) Региональные подразделения SOC Территориальное распределение подразделений SOC 1
- 3. Операционная модель SOC Сбербанк Platforms and Data Components SIEM Ticketing & Workflow Reporting & Dashboards Big Data & UEBA Predictive / Cognitive Analytics Threat Intelligence Platform Active Defense Incident Response Platform StrategyOperationsTechnology 2
- 4. Операционная модель SOC Сбербанк Cyber-Security Command Center (CSCC) Governance / Collaboration / Requirements / Briefings Platforms and Data Components SIEM Ticketing & Workflow Reporting & Dashboards Big Data & UEBA Predictive / Cognitive Analytics Threat Intelligence Platform Active Defense Incident Response Platform StrategyOperationsTechnology Corporate Operations IT Operations Business units Risk mgmt Compliance Legal / Fraud PR Help Desk Network OPs Server Admin Development Physical Sec 2
- 5. Операционная модель SOC Сбербанк Cyber-Security Command Center (CSCC) Governance / Collaboration / Requirements / Briefings Service Delivery & Operations Management Service Level Management / Efficiency / Capacity Management / Escalation Security Analytics & Incident Reporting Architecture & Projects Administration & Engineering Threat Intelligence Intel Analysis Intel Data Mgmt Request for Intel Use Case Mgmt Intel Driven Resp Threat Hunting Tier 1 Monitoring Tier 2 Triage Tier 3 Response Security Integration Emergency Response Forensic Handling Platforms and Data Components SIEM Ticketing & Workflow Reporting & Dashboards Big Data & UEBA Predictive / Cognitive Analytics Threat Intelligence Platform Active Defense Incident Response Platform StrategyOperationsTechnology Corporate Operations IT Operations Business units Risk mgmt Compliance Legal / Fraud PR Help Desk Network OPs Server Admin Development Physical Sec 2
- 6. Vulnerability Management Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Use Case Management Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики - Подпроцесс управления уязвимостями • Управление жизненным циклом Use Case 3 Intelligence Analysis IOCs Feed Reports Subscribes Reports
- 7. Threat Intelligence в виде процессной модели Request For Intelligence Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики 3
- 8. Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики 3 Intelligence Analysis IOCs Feed Subscribes Reports
- 9. Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики 3 Intelligence Analysis IOCs Feed Subscribes Reports
- 10. Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Use Case Management Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики • Управление жизненным циклом Use Case 3 Intelligence Analysis IOCs Feed Subscribes Reports
- 11. Vulnerability Management Threat Intelligence в виде процессной модели Intel Data Management Request For Intelligence Threat Hunting Intelligence Driven Response Use Case Management Запрос продукта аналитики Предоставление продукта аналитики Threat Intelligence реализуется совокупностью процессов: • Запрос продукта аналитики • Анализа аналитической информации (основной процесс) • Управление данными для аналитики • Поиск угроз • Реагирование на основе аналитики - Подпроцесс управления уязвимостями • Управление жизненным циклом Use Case 3 Intelligence Analysis IOCs Feed Reports Subscribes Reports
- 12. Threat Intelligence в проекции на Kill Chain 4 подготовка продолжительность ±дни причинение вредавторжение продолжительность ±месяцы продолжительность ±секунды Начало атаки 1 разведка 2 вооружение 3 доставка 4 заражение 5 инсталляция 6 управление 7 действие Цель: Переход от реактивного реагирования к проактивному AS ISTO BE
- 13. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management 5 Инструменты, источники информации для процессов Threat Intelligence
- 14. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management 5 Инструменты, источники информации для процессов Threat Intelligence PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
- 15. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management IBM i2 / Watson ThreatQ EclecticIQ Anomali BlueLiv LookingGlass ThreatConnect DECOYNET Cynet 360 ERAM Netskope TP RiskIQ StatusToday Variato Recon Verint TP 5 Инструменты, источники информации для процессов Threat Intelligence PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
- 16. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management IBM i2 / Watson ThreatQ EclecticIQ Anomali BlueLiv LookingGlass ThreatConnect DECOYNET Cynet 360 ERAM Netskope TP RiskIQ StatusToday Variato Recon Verint TP IBM i2 Illusive Sqrrl Fussion Behavioral Exabeam Endgame 5 Инструменты, источники информации для процессов Threat Intelligence PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
- 17. Vulnerability Management Intel Data Management Request For Intelligence Intelligence Analysis Threat Hunting Use Case Management IBM i2 / Watson ThreatQ EclecticIQ Anomali BlueLiv LookingGlass ThreatConnect DECOYNET Cynet 360 ERAM Netskope TP RiskIQ StatusToday Variato Recon Verint TP IBM i2 Illusive Sqrrl Fussion Behavioral Exabeam Endgame 5 Инструменты, источники информации для процессов Threat Intelligence IBM Use Case Library PT MaxPatrol SOC Prime UCL ThreatModeler SkyBox Cronus Cybot PT MaxPatrol Reports BiZone FinCERT Kaspersky Group-IB IBM X-Force Cisco Microsoft VirusTotal RecordedFuture BrandAnalytics
- 18. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Новые компетенции 6
- 19. Аналитик по анализу киберугроз Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает рекомендации по изменению политик в отношении обеспечения информационной безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Новые компетенции 6
- 20. Аналитик по анализу киберугроз Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает рекомендации по изменению политик в отношении обеспечения информационной безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Аналитик по поиску киберугроз Применяет знания профилей злоумышленников и соответствующих тактик, методов и процедур для выявления потенциальных векторов атаки. Разрабатывает сценарии поиска и обнаружения угроз, проверяет гипотезы и формирует соответствующие процедуры их проверки. Определяет, разрабатывает и рекомендует новые методы активной защиты. Определяет новые индикаторы компрометации. Новые компетенции 6
- 21. Аналитик по анализу киберугроз Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает рекомендации по изменению политик в отношении обеспечения информационной безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках. Аналитик по управлению данными Определяет требования к источникам аналитических данных. Разрабатывает стратегию сбора данных, выявляет новые источники. Оценивает текущие источники информации с учетом полезности информации, управляет подписками на источники информации. Аналитик по поиску киберугроз Применяет знания профилей злоумышленников и соответствующих тактик, методов и процедур для выявления потенциальных векторов атаки. Разрабатывает сценарии поиска и обнаружения угроз, проверяет гипотезы и формирует соответствующие процедуры их проверки. Определяет, разрабатывает и рекомендует новые методы активной защиты. Определяет новые индикаторы компрометации. Новые компетенции 6 Аналитик по управлению сценариями Управляет запросами на разработку сценариев, определяет их приоритеты. Определяет требования к сценариям, корректирует сценарии с учетом новых выявленных угроз. Разрабатывает проектные спецификации на сценарии. Определяет процедуры реагирования на инциденты. Управляет жизненным циклом разработки сценариев в рамках установленной методологии и процессов.
- 22. Ваши вопросы? СПАСИБО ЗА ВНИМАНИЕ!
Hinweis der Redaktion
- - география распределения операционных центров ИБ в Сбербанке соответствует его территориальному присутствию. - Сбербанк имеет 4 региональных операционных центра, покрывающих всю Россию. - в планах развернуть операционные центры ИБ в дочерних банках СНГ, Европы, Турции и контролировать уровень ИБ из центрального операционного центра в Москве.
- - первая версия операционного центра ИБ Сбербанка была поострена по классической схеме, на базе SIEM. - эксплуатация такого SOC позволила вырастить свою команду специалистов, осознать базовые процессы, поработать по ним, определить наиболее подходящие технологии для реализации базовых процессов. - на этом этапе мы успешно перешли от SOC низкой сложности к SOC средней сложности.
- - комитет по рискам ИБ (CCSC) принял решение о переходе к зрелому СОК – выработана стратегия и бизнес-процессы в ИБ. Доведено до сведения бизнеса и ИТ блоков о запуске важного для Сбербанка проекта! - сегодня Сбербанк готов модернизировать свой операционный центр для детектирования APT-атак и проводить у себя аналитику киберугороз, то есть реализовывает процессы Threat Intelligence.
- - представлена целевая модель архитектуры операционного центра ИБ Сбербанка. - как видно из структуры, центром объединения на операционном уровне является функция Threat Intelligence. - также обращаю ваше внимание, насколько подробно проработаны вообще все уровни, что тоже свидетельствует о новом уровне зрелости. - Теперь Сбербанк не является исключением, и как многие мировые компании, развернувшие у себя операционный центр ИБ, прошел по всем этапам зрелости.
- - теперь более подробно остановимся именно на процессной модели. - для реализации функции нам потребовалось разработать 6 процессов. - для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый) - Отдельно хочется остановиться на подпроцессе Управления уязвимостями. По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- - теперь более подробно остановимся именно на процессной модели. - для реализации функции нам потребовалось разработать 6 процессов. - для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый) - Отдельно хочется остановиться на подпроцессе Управления уязвимостями. По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- - теперь более подробно остановимся именно на процессной модели. - для реализации функции нам потребовалось разработать 6 процессов. - для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый) - Отдельно хочется остановиться на подпроцессе Управления уязвимостями. По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- - теперь более подробно остановимся именно на процессной модели. - для реализации функции нам потребовалось разработать 6 процессов. - для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый) - Отдельно хочется остановиться на подпроцессе Управления уязвимостями. По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- - теперь более подробно остановимся именно на процессной модели. - для реализации функции нам потребовалось разработать 6 процессов. - для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый) - Отдельно хочется остановиться на подпроцессе Управления уязвимостями. По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- - теперь более подробно остановимся именно на процессной модели. - для реализации функции нам потребовалось разработать 6 процессов. - для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый) - Отдельно хочется остановиться на подпроцессе Управления уязвимостями. По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- - Как известно, реагирование на уразы, когда уже все плохое произошло, является самым типовым сценарием. - и до внедрения функции Threat Intelligence в Сбербанке все было также. - а ведь суть внедрения функции Threat Intelligence в том и заключается, чтобы прейти от реактивного реагирования к проактивному. - с внедрением данной функции мы смещаемся в начало цепочки Kill Chain. - вместе с тем мы становимся перед выбором: что делать со злоумышленником, пресечь активность на самом начальном этапе, или позволить ему шагнуть на следящий этап цепочки – вести его и наблюдать. - в этом случае все зависит от ваших компетенций. Сможете ли вы вовремя его остановить и не придется ли вам уже реагировать на пропущенную атаку?
- продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
- продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
- продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
- продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
- продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
- - сложно найти всех представленных здесь специалистов. - мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов. - если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.
- - сложно найти всех представленных здесь специалистов. - мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов. - если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.
- - сложно найти всех представленных здесь специалистов. - мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов. - если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.
- - сложно найти всех представленных здесь специалистов. - мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов. - если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.