СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Threat intelligence в процессах SOC
1. THREAT INTELLIGENCE
В ПРОЦЕССАХ SOC
Александр Лесников
ANLesnikov@sberbank.ru
Security Operation Center, ПАО Сбербанк
Positive Hack Days
23 мая 2017
3. Операционная модель SOC Сбербанк
Platforms and Data Components
SIEM Ticketing &
Workflow
Reporting &
Dashboards
Big Data & UEBA
Predictive /
Cognitive Analytics
Threat Intelligence
Platform
Active Defense
Incident Response
Platform
StrategyOperationsTechnology 2
4. Операционная модель SOC Сбербанк
Cyber-Security Command Center (CSCC)
Governance / Collaboration / Requirements / Briefings
Platforms and Data Components
SIEM Ticketing &
Workflow
Reporting &
Dashboards
Big Data & UEBA
Predictive /
Cognitive Analytics
Threat Intelligence
Platform
Active Defense
Incident Response
Platform
StrategyOperationsTechnology
Corporate Operations
IT Operations
Business units
Risk mgmt
Compliance
Legal / Fraud
PR
Help Desk
Network OPs
Server Admin
Development
Physical Sec
2
5. Операционная модель SOC Сбербанк
Cyber-Security Command Center (CSCC)
Governance / Collaboration / Requirements / Briefings
Service Delivery & Operations Management
Service Level Management / Efficiency / Capacity Management / Escalation
Security Analytics &
Incident Reporting
Architecture &
Projects
Administration &
Engineering
Threat Intelligence
Intel Analysis
Intel Data Mgmt
Request for Intel
Use Case Mgmt
Intel Driven Resp
Threat Hunting
Tier 1
Monitoring
Tier 2
Triage
Tier 3
Response
Security
Integration
Emergency Response
Forensic Handling
Platforms and Data Components
SIEM Ticketing &
Workflow
Reporting &
Dashboards
Big Data & UEBA
Predictive /
Cognitive Analytics
Threat Intelligence
Platform
Active Defense
Incident Response
Platform
StrategyOperationsTechnology
Corporate Operations
IT Operations
Business units
Risk mgmt
Compliance
Legal / Fraud
PR
Help Desk
Network OPs
Server Admin
Development
Physical Sec
2
6. Vulnerability
Management
Threat Intelligence в виде процессной модели
Intel Data
Management
Request
For
Intelligence
Threat
Hunting
Intelligence
Driven
Response
Use Case
Management
Запрос
продукта аналитики
Предоставление
продукта аналитики
Threat Intelligence
реализуется совокупностью процессов:
• Запрос продукта аналитики
• Анализа аналитической
информации (основной процесс)
• Управление данными для аналитики
• Поиск угроз
• Реагирование на основе аналитики
- Подпроцесс
управления уязвимостями
• Управление жизненным циклом
Use Case
3
Intelligence
Analysis
IOCs
Feed
Reports
Subscribes
Reports
7. Threat Intelligence в виде процессной модели
Request
For
Intelligence
Запрос
продукта аналитики
Предоставление
продукта аналитики
Threat Intelligence
реализуется совокупностью процессов:
• Запрос продукта аналитики
3
8. Threat Intelligence в виде процессной модели
Intel Data
Management
Request
For
Intelligence
Запрос
продукта аналитики
Предоставление
продукта аналитики
Threat Intelligence
реализуется совокупностью процессов:
• Запрос продукта аналитики
• Анализа аналитической
информации (основной процесс)
• Управление данными для аналитики
3
Intelligence
Analysis
IOCs
Feed
Subscribes
Reports
9. Threat Intelligence в виде процессной модели
Intel Data
Management
Request
For
Intelligence
Threat
Hunting
Intelligence
Driven
Response
Запрос
продукта аналитики
Предоставление
продукта аналитики
Threat Intelligence
реализуется совокупностью процессов:
• Запрос продукта аналитики
• Анализа аналитической
информации (основной процесс)
• Управление данными для аналитики
• Поиск угроз
• Реагирование на основе аналитики
3
Intelligence
Analysis
IOCs
Feed
Subscribes
Reports
10. Threat Intelligence в виде процессной модели
Intel Data
Management
Request
For
Intelligence
Threat
Hunting
Intelligence
Driven
Response
Use Case
Management
Запрос
продукта аналитики
Предоставление
продукта аналитики
Threat Intelligence
реализуется совокупностью процессов:
• Запрос продукта аналитики
• Анализа аналитической
информации (основной процесс)
• Управление данными для аналитики
• Поиск угроз
• Реагирование на основе аналитики
• Управление жизненным циклом
Use Case
3
Intelligence
Analysis
IOCs
Feed
Subscribes
Reports
11. Vulnerability
Management
Threat Intelligence в виде процессной модели
Intel Data
Management
Request
For
Intelligence
Threat
Hunting
Intelligence
Driven
Response
Use Case
Management
Запрос
продукта аналитики
Предоставление
продукта аналитики
Threat Intelligence
реализуется совокупностью процессов:
• Запрос продукта аналитики
• Анализа аналитической
информации (основной процесс)
• Управление данными для аналитики
• Поиск угроз
• Реагирование на основе аналитики
- Подпроцесс
управления уязвимостями
• Управление жизненным циклом
Use Case
3
Intelligence
Analysis
IOCs
Feed
Reports
Subscribes
Reports
12. Threat Intelligence в проекции на Kill Chain 4
подготовка
продолжительность
±дни
причинение вредавторжение
продолжительность
±месяцы
продолжительность
±секунды
Начало атаки
1
разведка
2
вооружение
3
доставка
4
заражение
5
инсталляция
6
управление
7
действие
Цель: Переход от реактивного реагирования к проактивному
AS ISTO BE
16. Vulnerability
Management
Intel Data
Management
Request
For
Intelligence
Intelligence
Analysis
Threat
Hunting
Use Case
Management
IBM i2 / Watson
ThreatQ
EclecticIQ
Anomali
BlueLiv
LookingGlass
ThreatConnect
DECOYNET
Cynet 360
ERAM
Netskope TP
RiskIQ
StatusToday
Variato Recon
Verint TP
IBM i2
Illusive
Sqrrl
Fussion
Behavioral
Exabeam
Endgame
5
Инструменты,
источники информации для процессов Threat Intelligence
PT MaxPatrol Reports
BiZone
FinCERT
Kaspersky
Group-IB
IBM X-Force
Cisco
Microsoft
VirusTotal
RecordedFuture
BrandAnalytics
17. Vulnerability
Management
Intel Data
Management
Request
For
Intelligence
Intelligence
Analysis
Threat
Hunting
Use Case
Management
IBM i2 / Watson
ThreatQ
EclecticIQ
Anomali
BlueLiv
LookingGlass
ThreatConnect
DECOYNET
Cynet 360
ERAM
Netskope TP
RiskIQ
StatusToday
Variato Recon
Verint TP
IBM i2
Illusive
Sqrrl
Fussion
Behavioral
Exabeam
Endgame
5
Инструменты,
источники информации для процессов Threat Intelligence
IBM Use Case Library
PT MaxPatrol
SOC Prime UCL
ThreatModeler
SkyBox
Cronus Cybot
PT MaxPatrol Reports
BiZone
FinCERT
Kaspersky
Group-IB
IBM X-Force
Cisco
Microsoft
VirusTotal
RecordedFuture
BrandAnalytics
18. Аналитик по управлению данными
Определяет требования к источникам аналитических данных. Разрабатывает стратегию
сбора данных, выявляет новые источники. Оценивает текущие источники информации с
учетом полезности информации, управляет подписками на источники информации.
Новые компетенции 6
19. Аналитик по анализу киберугроз
Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит
рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает
рекомендации по изменению политик в отношении обеспечения информационной
безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся
сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках.
Аналитик по управлению данными
Определяет требования к источникам аналитических данных. Разрабатывает стратегию
сбора данных, выявляет новые источники. Оценивает текущие источники информации с
учетом полезности информации, управляет подписками на источники информации.
Новые компетенции 6
20. Аналитик по анализу киберугроз
Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит
рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает
рекомендации по изменению политик в отношении обеспечения информационной
безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся
сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках.
Аналитик по управлению данными
Определяет требования к источникам аналитических данных. Разрабатывает стратегию
сбора данных, выявляет новые источники. Оценивает текущие источники информации с
учетом полезности информации, управляет подписками на источники информации.
Аналитик по поиску киберугроз
Применяет знания профилей злоумышленников и соответствующих тактик, методов и
процедур для выявления потенциальных векторов атаки. Разрабатывает сценарии поиска
и обнаружения угроз, проверяет гипотезы и формирует соответствующие процедуры их
проверки. Определяет, разрабатывает и рекомендует новые методы активной защиты.
Определяет новые индикаторы компрометации.
Новые компетенции 6
21. Аналитик по анализу киберугроз
Проводит анализ поступающей информации с целью прогнозирования угроз. Готовит
рекомендации для центра оперативного реагирования и бизнес-подразделений. Дает
рекомендации по изменению политик в отношении обеспечения информационной
безопасности. Оказывает содействие в реализации новых и обновлении уже имеющихся
сценариев. Выпускает отчеты об угрозах, рисках и злоумышленниках.
Аналитик по управлению данными
Определяет требования к источникам аналитических данных. Разрабатывает стратегию
сбора данных, выявляет новые источники. Оценивает текущие источники информации с
учетом полезности информации, управляет подписками на источники информации.
Аналитик по поиску киберугроз
Применяет знания профилей злоумышленников и соответствующих тактик, методов и
процедур для выявления потенциальных векторов атаки. Разрабатывает сценарии поиска
и обнаружения угроз, проверяет гипотезы и формирует соответствующие процедуры их
проверки. Определяет, разрабатывает и рекомендует новые методы активной защиты.
Определяет новые индикаторы компрометации.
Новые компетенции 6
Аналитик по управлению сценариями
Управляет запросами на разработку сценариев, определяет их приоритеты. Определяет
требования к сценариям, корректирует сценарии с учетом новых выявленных угроз.
Разрабатывает проектные спецификации на сценарии. Определяет процедуры
реагирования на инциденты. Управляет жизненным циклом разработки сценариев в
рамках установленной методологии и процессов.
- география распределения операционных центров ИБ в Сбербанке соответствует его территориальному присутствию.
- Сбербанк имеет 4 региональных операционных центра, покрывающих всю Россию.
- в планах развернуть операционные центры ИБ в дочерних банках СНГ, Европы, Турции и контролировать уровень ИБ из центрального операционного центра в Москве.
- первая версия операционного центра ИБ Сбербанка была поострена по классической схеме, на базе SIEM.
- эксплуатация такого SOC позволила вырастить свою команду специалистов, осознать базовые процессы, поработать по ним, определить наиболее подходящие технологии для реализации базовых процессов.
- на этом этапе мы успешно перешли от SOC низкой сложности к SOC средней сложности.
- комитет по рискам ИБ (CCSC) принял решение о переходе к зрелому СОК – выработана стратегия и бизнес-процессы в ИБ. Доведено до сведения бизнеса и ИТ блоков о запуске важного для Сбербанка проекта!
- сегодня Сбербанк готов модернизировать свой операционный центр для детектирования APT-атак и проводить у себя аналитику киберугороз, то есть реализовывает процессы Threat Intelligence.
- представлена целевая модель архитектуры операционного центра ИБ Сбербанка.
- как видно из структуры, центром объединения на операционном уровне является функция Threat Intelligence.
- также обращаю ваше внимание, насколько подробно проработаны вообще все уровни, что тоже свидетельствует о новом уровне зрелости.
- Теперь Сбербанк не является исключением, и как многие мировые компании, развернувшие у себя операционный центр ИБ, прошел по всем этапам зрелости.
- теперь более подробно остановимся именно на процессной модели.
- для реализации функции нам потребовалось разработать 6 процессов.
- для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый)
- Отдельно хочется остановиться на подпроцессе Управления уязвимостями.
По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- теперь более подробно остановимся именно на процессной модели.
- для реализации функции нам потребовалось разработать 6 процессов.
- для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый)
- Отдельно хочется остановиться на подпроцессе Управления уязвимостями.
По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- теперь более подробно остановимся именно на процессной модели.
- для реализации функции нам потребовалось разработать 6 процессов.
- для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый)
- Отдельно хочется остановиться на подпроцессе Управления уязвимостями.
По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- теперь более подробно остановимся именно на процессной модели.
- для реализации функции нам потребовалось разработать 6 процессов.
- для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый)
- Отдельно хочется остановиться на подпроцессе Управления уязвимостями.
По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- теперь более подробно остановимся именно на процессной модели.
- для реализации функции нам потребовалось разработать 6 процессов.
- для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый)
- Отдельно хочется остановиться на подпроцессе Управления уязвимостями.
По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- теперь более подробно остановимся именно на процессной модели.
- для реализации функции нам потребовалось разработать 6 процессов.
- для понимания, кратко рассмотрим каждый из них (рассказываю конкретно каждый)
- Отдельно хочется остановиться на подпроцессе Управления уязвимостями.
По сути, его можно считать маленьким двигателем Threat Intelligence. Ведь на наших объемах управление уязвимостями превращается в управление угрозами. Патчить 30000 серверов и 300 серверов это разные задачи. Даже просканировать 30000 это тоже отдельное дело! Таким образом мы начинаем использовать Threat Intelligence. Действуем по принцип 80 на 20. В первую очередь реагируем на те 20% уязвимостей, которые закрывают 80% угроз. Патчитм те уязвимости которые надо патчить в первую очередь.
- Как известно, реагирование на уразы, когда уже все плохое произошло, является самым типовым сценарием.
- и до внедрения функции Threat Intelligence в Сбербанке все было также.
- а ведь суть внедрения функции Threat Intelligence в том и заключается, чтобы прейти от реактивного реагирования к проактивному.
- с внедрением данной функции мы смещаемся в начало цепочки Kill Chain.
- вместе с тем мы становимся перед выбором: что делать со злоумышленником, пресечь активность на самом начальном этапе, или позволить ему шагнуть на следящий этап цепочки – вести его и наблюдать.
- в этом случае все зависит от ваших компетенций. Сможете ли вы вовремя его остановить и не придется ли вам уже реагировать на пропущенную атаку?
продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
продукты, позиционирующие себя как Intelligence и Hunting платформы, представлены во втором и третьих списках соответственно.
- сложно найти всех представленных здесь специалистов.
- мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов.
- если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.
- сложно найти всех представленных здесь специалистов.
- мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов.
- если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.
- сложно найти всех представленных здесь специалистов.
- мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов.
- если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.
- сложно найти всех представленных здесь специалистов.
- мы пошли по пути выращивания своих специалистов. Сейчас мы занимаемся разработкой совместных с вендорами программ обучения. В своем большинстве нам приходится очень детально разбираться в предлагаемых программах обучения и оценивать их полезность именно для наших специалистов.
- если вы увидели себя в одной из описанных ролей, то мы будем готовы встретиться с вами для более подробного знакомства.