Weitere ähnliche Inhalte
Ähnlich wie Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безопасности (20)
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безопасности
- 1. Аутсорсинг системы
мониторинга событий
информационной
безопасности
Дмитрий Петращук
CISA, CEH, CISSP, ISO27001LA
Copyright © BMS consulting, 12.10.2012
- 2. О чем пойдет речь
• Что такое система мониторинга событий
ИБ
• Почему SIEM-системы не работают?
• Как превратить SIEM в SOC
• Пять причин для аутсорсинга
• Шесть схем аутсорсинга SIEM
• Что должно быть в SLA
• Как извлечь из этого выгоду
Copyright © BMS consulting, 12.10.2012 2
- 4. Система мониторинга событий ИБ
(SIEM)
• Сбор журналов из ОС, БД, приложений, сетевых
устройств и средств защиты
• (Возможно) перехват и анализ сетевых соединений
• Фильтрация, нормализация, корреляция
• Уведомление, автоматические действия, отчеты
• Открытие, ведение и закрытие кейса инцидента
• Хранение и расследование
||
Управление инцидентами ИБ
Copyright © BMS consulting, 12.10.2012 4
- 5. Результаты внедрения SIEM
• «Система оказалась слишком сложной»
• «Нужно постоянно писать новые правила. Этим некому
заниматься»
• «Мы завели на нее все логи. Система упала»
• «Логи собирает. Но где там инциденты?»
• «У нас ежедневно возникает около 100 инцидентов»
• «Инциденты мы видим, но что с ними делать не знаем»
• «Мы снова ищем специалиста, который будет следить за
этой системой»
• «Мы о ней вспоминаем только во время аудита»
Copyright © BMS consulting, 12.10.2012 5
- 7. SIEM это не только
• Программно-аппаратный комплекс
• Персонал, команды аналитики и реагирования
• Процессы, процедуры, Workflow
• Интеграция и корреляция
• Инфраструктура
• Хранилище логов
• База знаний
Security Operation Center
• Схемы взаимодействия
Copyright © BMS consulting, 12.10.2012 7
- 8. Аутсорсинг
• Для непрофильной деятельности
• Вспомогательные бизнес-процессы
• То, что другие делают лучше
• Эпизодичность, периодичность или рутина
• Нет коммерческой тайны
Copyright © BMS consulting, 12.10.2012 8
- 9. SIEM на аутсорсинг
• ЗА
– Снижение операционных затрат
– Гарантированная поддержка
– Независимая аналитика
– Внешняя экспертиза
– Ответственность за результат
• ПРОТИВ
– Риск утечки сведений
– Может быть недешевым
– Усложнение инфраструктуры
– Усложнение процессов
– Отсутствие гарантии качества
Copyright © BMS consulting, 12.10.2012 9
- 10. Схемы SIEM-аутсорсинга
1. Все системы у провайдера. Вам нужно только собрать
и перенаправить журналы.
2. В сети стоят коллекторы, отправляя события
провайдеру
3. У вас развернут SIEM. База данных реплицируется
провайдеру
4. У вас развернут SIEM. Аналитики провайдера удаленно
работают с интерфейсом
5. У вас развернут SIEM. Аналитики провайдера работают
на вашей площадке (= аутстаффинг)
6. Аутсорсинг отдельных услуг в рамках SOC (анализ
уязвимостей, сбор статистики, технологическая
экспертиза)
Copyright © BMS consulting, 12.10.2012 10
- 11. Что нужно для успеха
• Правильная интеграция (приложения,
пользователи, VA, IPS, FW)
• Тщательная проработка процессов
• Подробный SLA
• Тесное взаимодействие между
ИТ – ИБ – провайдер
• Доверие
Copyright © BMS consulting, 12.10.2012 11
- 12. Что требовать от провайдера
• Компетентности
• Опыта :-/
• Фиксировать время уведомления/эскалации
• Четко прописывать процедуру эскалации
• Предусматривать процедуру расширения
системы: новые журналы, отчеты,
корреляционные правила, процессы
• Управление изменениями
• Показатели эффективности KPI
Copyright © BMS consulting, 12.10.2012 12
- 13. Выводы
• Аутсорсинг SIEM возможен
• Для большинства компаний это лучший
сценарий развития проекта
• Аутсорсинг будет успешен в случае:
– Качественной программной платформы SIEM
– Продуманной инфраструктуры/интеграции
– Профессионализма провайдера
– Четких и жестких правил взаимодействия
– Поддержки от заинтересованных сторон
Copyright © BMS consulting, 12.10.2012 13
- 14. Спасибо за внимание!
Дмитрий Петращук
Dmitriy_Petrashchuk@bms-consulting.com
+380 (44) 499-69-69
Copyright © BMS consulting, 12.10.2012 14