12 причин хорошего SOC
Download as PPTX, PDF0 likes552 views
Документ описывает ключевые аспекты создания и функционирования Центра Операций Безопасности (SOC), включая его миссию, задачи и стратегию развития. Он акцентирует внимание на необходимости автоматизации процессов, корреляции данных и использовании современных технологий для эффективного обнаружения и реагирования на инциденты безопасности. Также рассматриваются организационные вопросы, включая подбор персонала и лучшие практики в работе SOC.
12 причин хорошего SOC
- 1. 1 | © 2015, Palo Alto Networks.
- 2. 12правилуспешногоSOC ОпытPaloAltoNetworks Денис Батранков, консультант по информационной безопасности, CISSP, CNSE denis@paloaltonetworks.com
- 3. 1. Вопросы перед созданием SOC. • Какие потребности у организации будут удовлетворены в SOC? • Какие конкретно задачи стоят перед SOC? (обнаружение атак из Интернет, мониторинг соответствия PCI DSS, обнаружение инсайдеров в финансовых системах, реагирование на инциденты и т.д.) • Кто потребитель информации, которую собирает и рапортует SOC? • Кто продвигает проект SOC? Кто внутри организации отстаивает его необходимость? Что он сам ждет от SOC? • Какие события безопасности должен «переваривать» SOC? Зачем?
- 4. Зачем SOC: ✔ Создание SOC стоит того, чтобы знать и предотвращать атаки ✔ SOC автоматизирует функции, которые и так уже сейчас есть в организации, что снизит расходы ✔ Часть подразделений готовы отдать свои функции в SOC и таким образом минимизировать свои расходы, вкладывая часть своих ресурсов в его построение ✔ Предоставление услуг SOC другим организациям окупит все вложения (так работают провайдеры сервисов по управлению безопасностью – Managed Security Services Providers – MSSP) Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании.
- 5. ✔ Контроль всех процессов безопасности в любой точке компании из одного центра –> высокая эффективность мониторинга. ✔ Бизнес требования реализуются сразу при разработке решения. ✔ Дополнительные меры безопасности или новые требования индустрии реализуются бесплатно либо с незначительными расходами. ✔ Создать платформу для любого вида мониторинга и отчетности. ✔ Начать справляться с потоком событий и управлять ими. Миссия: Отслеживать, обнаруживать и эскалировать важные события информационной безопасности для гарантии конфиденциальности, целостности и доступности во всей компании. Зачем SOC:
- 6. 2.Запишите стратегию развития SOC ТЕХНОЛОГИИ ПРОЦЕССЫ Владельцы сети и систем Разбор инцидента Закрыт Эскалация ЛЮДИ Уровень 1 Уровень 2 инженер Firewall Router Intrusion Detection Web Server Proxy Server SIEM Три компонента: технологии, процессы и люди
- 7. 3. Выбрать на какие события реагировать Что ищем? (UseCase) Источники данных Критерий для реакции Действие Активность бот-сетей Firewall, IDS, Proxy, Mail, Threat Intelligence Соединения от или к известным вредоносным сайтам Показ активности на экране SOC Распространение вирусов Антивирус 3 одинаковых вируса на разных хостах за 10 минут Начать контроль на экране SOC, оповестить отвественных за рабочие станции Успешная атака на сервер IDS/IPS, информация об уязвимости Атакованный сервер реально содержит данную уязвимость Оповестить серверную команду / начать контроль за действиями сервера / вывести на экран SOC SQL иньекция Web сервер, DAM, IDS/IPS 5 попыток иньекций за короткое время Вывести на экран аналитика Фишинг Threat Intelligence, Firewall, IDS, Proxy, Mail Подключение к или от известного сайта с поддельной страницей Display in analyst active channel Неавторизованный удаленный доступ VPN, Applications Аутентификация по VPN от неизвестного доменного пользователя Display in analyst active channel / Page network team Новая уязвимость на хосте в ДМЗ Vulnerability Новая уязвимость найдена на публично доступной системе Email daily report to vulnerability team Подозрительная активность Firewall, IDS, Mail, Proxy, VPN Отклонения в поведении (recon, exploit, brute force, etc.) Email daily suspicious user activity report to level 1 Статистические аномалии IDS, Firewall, Proxy, Mail, VPN, Web Server Отклонение от средних значений у активности Display alerts in situational awareness dashboard Новый шаблон поведения IDS, Firewall, Proxy, Mail, VPN, Web Раньше так себя не вели системы Display in analyst active channel
- 8. 4. Задать приоритет событий и скорость реакции Категории Уровни приоритета SIEM 0-2 3-4 5-6 7-8 9-10 Неавторизованный админ A A A C1 C1 Неавторизованый пользователь A A I2 C2 C1 Попытка неавторизованного доступа A A A I3 C3 Успешный DoS A A I2 C2 C1 Нарушение политики A A T3 T2 T1 Сканирование A A A I3 I2 Вредоносный код A A T3 T2 C2 Обозначения C1: Реакция в теч. 15 мин C2: Реакция в теч. 30 мин C3: Реакция 2 часа I2: Срочное расследование I3: Обычное расследование T1: Критичный тикет T2: Срочный тикет T3: Обычный тикет A: активный мониторинг
- 9. 9 5. Реализовать корреляцию аккаунтов • Сопоставить все идентификаторы: email адреса, номера бейджей, телефонные расширения, логины • Сопоставить все действия с одним реальным человеком jd 348924323 jdaniels@acme.co m daniels_jack dba3 510-555-1212 Аккаунты Jack Daniels Сотрудни к
- 10. 6. Инспекция сети до уровня приложений •App-ID™ •Идентификация •приложений •User-ID™ •Идентификация •пользователей •Content-ID™ Контроль данных + SSL decryption FIREWALL THREAT PREVENTION
- 11. 344 KBfile-sharing URL category PowerPoint file type “Confidential and Proprietary” content rivanov user marketing group canada destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol slideshare application slideshare-uploading application function NGFW – отличный источник данных для SOC
- 12. 344 KBunknown URL category EXE file type order.exe file name stomlinson user finance group china destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol web-browsing application NGFW – отличный источник данных для SOC
- 13. • All applications • All users • All content • Encrypted traffic • SaaS • Cloud • Mobile • Enable business apps • Block “bad” apps • Limit app functions • Limit file types • Block websites • Exploits • Malware • Command & control • Malicious websites • Bad domains • Stolen credentials • Dynamic analysis • Static analysis • Attack techniques • Anomaly detection • Analytics Реально важно, чтобы все было связано
- 14. Одновременно коррелировать события в разных точках сети SaaS EndpointDatacenter/ Private Cloud Public Cloud Google Cloud Internet Gateway IoTMobile Users
- 15. 7. Используйте современные технологии. Песочница WildFire: обнаружение 0-day и новых атак в течениие 5 минут Internet Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.)
- 16. Почему песочница WildFire Сбор сенсорами во всех сегментах сети Смотрим внутрь SSL Все порты все протоколы – FTP, POP3, SMB, IMAP, SMTP, HTTP Файлы Android: APK Файлы Mac OS High Availability Поддержка любой архитектуры: ЦОД, удаленные офисы Корреляция идентификаторов User-ID
- 17. 7. Используйте современные технологии. TRAPS - защита рабочих станций и серверов Не давайте шанса эксплойтам 1. CPL Protection 2. DEP 3. DLL Security 4. DLL-Hijacking Protection 5. Exception Heap Spray Check 6. Font Protection 7. GS Cookie 8. Heap Corruption Mitigation 9. Hot Patch Protection 10. JIT Mitigation 11. Library Preallocation 12. Memory Limit Heap Spray Check 13. Null Dereference Protection 14. Packed DLLs 15. Periodic Heap Spray Check 16. Random Preallocation 17. ROP Mitigation 18. SEH Protection 19. Shellcode Preallocation 20. ShellLink Protection 21. SysExit 22. UASLR 17 | © 2016, Palo Alto Networks. Confidential and Proprietary.
- 18. Обычно Security Operation Center (SOC) работает так Firewall IPS Proxy APT SIEM Внешние источники Только IOC • IP • URL • Domain Endpoint Журналы Бесплатный поиск через Virus total, URL списки - Есть некоторые IOC - Нет деталей Расследование Поиск Отчеты по инцидентам Security Admin Информирование Запрос действий Действуют по своему усмотрению
- 19. 8. Упростите инфраструктуру 19 | © 2016, Palo Alto Networks. Confidentialand Proprietary. User Network 192.168.x.0/24 10.0.0.0/16 Devices VLAN 20 VLAN 30 VLAN 10 INTERNET
- 20. 8. Включите блокировки на основе знаний об атаках – Threat Intelligence 20 | © 2016, Palo Alto Networks. Confidentialand Proprietary. User Datacenter Devices DBINFRAWEB INTERNET Execs Legal HR IT Contractors Threat Intelligence with Autofocus
- 21. Autofocus и Wildfire - облачный сервис для расследований Сигнатуры malware (миллиард) C&C/DNS сигнатуры (миллионы) Threat Intelligence Cloud WildFire URL сигнатуры (миллионы) • Wildfire самое большое облако в индустрии с данными об атаках в реальном времени • Cyber Threat Alliance поставляет информацию • Сторонние источники – закрытые и открытые подписки • Palo Alto Network использует Global Passive DNS Network • Команда Unit 42 >12000 WildFire заказчиков во всем мире Malware/APT Feeds 3rd party Passive DNS Network
- 22. Что обеспечивает Autofocus? • Семейства Malware • Групповые атаки • Эксплойты • Вредоносное поведение • Источники атак
- 23. Пример поиска IOC для Cobalt Strike используя Autofocus • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
- 24. Что обеспечивает Autofocus? • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
- 25. 8. Включите блокировки на основе знаний об атаках – Threat Intelligence Выгода Autofocus: использование самого большого источника Threat Intelligence Firewall IPS Proxy APT SIEM Сторонние источники Только IOC • IP • URL • Domain Endpoint Журналы Подробные данные для расследования - Threat actors - Malware Family - Adversary campaign - Target Industries - Приоритизация событий - Malicious Behavior - техники эксплойтов - Контекст: IP, Connectivity, Domain, URL, Passive DNS, etc. Поиск и расследование • Точные отчеты • Конкретные действия Security Admin Конкретные шаги и действия Действуют по своему усмотрению
- 26. Анализ активности DNS – DNS Sinkholing Compromised host DNS sinkhole • Обнаружение зараженных хостов • Блокировка DNS запросов и отправка вредоносного трафика в адрес sinkhole Пассивный мониторинг DNS • Анализ DNS запросов • Обнаружение доменов C&С • Сигнатуры для блокировки вредоносной активности WildFire Malicious Domain Database DNS signatures Internal DNS Server DNS query for controlme.com DNS query for controlme.com controlme.com is 10.10.10.10 report on connection attempts to 10.10.10.10
- 27. Threat Intelligence Feeds Private Feeds Threat Intelligence Platforms Network Enforcers End Point Enforcers SIEM 1. Собрать различные данные с разных TI и скоррелировать 2. Начать блокировать атаки Заставьте работать вместе Threat Intelligence и автоматические сервисы блокировки
- 28. Используйте Minemeld - это упрощает работу Источники: Nodes Miners • OSINT • Commercial • Organization (CERT, ISAC) Процессоры • IPv4/IPv6 aggregator • URL aggregator • Domain aggregator Выходные • JSON • STIX/TAXII • External Dynamic List (EDL) • Elastic Logstash
- 29. Пример: Palo Alto Networks и его EDL (External Dynamic Lists) из Minemeld
- 30. Собираем вместе базы TI и включаем блокировки Firewall IPS Proxy APT SIEM Endpoint Security Log Подробная информация для расследований - Threat actors - Семейства вредоносного кода - Известные хакерские группы - Целевые индустрии - Приоритизация событий - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Search & Query • Accurate Summary Report • More actionable actions Security Admin IP _____ _____ _____ _____ _____ __ DNS _____ _____ _____ _____ _____ _ URL _____ _____ _____ _____ _____ 3’rd party Threat Intel IOC Feed Экспорт IOC Автоматически пересылаем IOC для блокировки
- 32. 9. Контролируйте данные снаружи сети!
- 33. Отчет по использованию облаков в компании Основные приложения SaaS
- 34. • Защита приложений SaaS от вредоносного кода и утечек (DLP) • Интегрирован с облаком WildFire • Ретроспективный и постоянный мониторинг • Поддерживает Box, Office 365- OneDrive/SharePoint, Salesforce, Google Drive, GitHub, Dropbox, Yammer APERTURE контролирует SAAS API
- 35. 10. Подберите правильный персонал в SOC ОбучениеРоли и должностные обязанности Аналитики 1 и 2 уровня Разборщик инцидентов Инженер SIEM Менеджер SOC Основы ИТ безопасности Обучение в процессе работы Обучение SIEM Logger Search & Reporting Logger Admin & Operations ESM Security Analyst ESM Administrator Connector Foundations Connector Appliance GIAC: GCIA и GCIH – Certified Intrusion Analyst и Certified Incident Handler
- 36. Оргструктура Security Operations Senior Manager SOC Security Device Management Business Office Дневная смена (2) Уровень-1 & Уровень 2 Ночная смена (2) Уровень-1 & Уровень-2 Security Device Engineering ArcSight Engineering (Admin, Ops, Eng.) SIRT – группа разбора инцидентов SOC 24x7x365 = 10 аналитиков, работающих в смену
- 38. Аналитик это Оппонент хакерам Очень стрессоустойчивый человек Знает сетевые технологии Знает как выглядят исходные коды Знает шестнадцатиричную систему счисления Понимает как проходят атаки Понимает как работает вредоносный код Умеет делать выводы Любит учиться Любит ковыряться в продуктах Не спит Не болеет
- 39. 11. Используйте мировые практики в SOC: процессы и процедуры
- 40. 12. Анализируйте эффективность: SOC KPI
- 41. PALO ALTO NETWORKS Денис Батранков консультант по ИБ Russia@paloaltonetworks.com
- 42. От сбора информации к действию Применение Autofocus & Minemeld в современном SOC
- 43. На сегодня Security Operation Center (SOC) работает так Firewall IPS Proxy APT SIEM Внешние мозги Только IOC • IP • URL • Domain Endpoint Журналы Бесплатный поиск через Virus total, URL списки - Есть некоторые IOC - Нет деталей Расследование Поиск Отчеты Security Admin Информирование Запрос действий Действуют по своему усмотрению
- 44. Вызовы команде безопасников • Автоматизированные атаки в большом количестве • Ежедневных задач так много, что нет времени более глубоко расследовать инциденты • Безопасники не могут распознать важные события среди множества событий которые происходят и у них нет общего контекста с мировыми трендами • Сложно интегрировать все утилиты и все источники TI и затем перенастроить собственные устройства безопасности
- 45. Как можно улучшить методику работы с инцидентами? 1. Использовать облачный сервис для расследований Сигнатуры malware (миллиард) C&C/DNS сигнатуры (миллионы) Threat Intelligence Cloud WildFire URL сигнатуры (миллионы) • Wildfire самое большое облако в индустрии с данными об атаках в реальном времени • Cyber Threat Alliance поставляет информацию • Сторонние источники – закрытые и открытые подписки • Palo Alto Network использует Global Passive DNS Network • Команда Unit 42 >12000 WildFire заказчиков во всем мире Malware/APT Feeds 3rd party Passive DNS Network
- 46. Что обеспечивает Autofocus? • Семейства Malware • Групповые атаки • Эксплойты • Вредоносное поведение • Источники атак
- 47. Что обеспечивает Autofocus? • Статистика атак, популярные генераторы malware, целевые индустрии, страны источники и цели.
- 48. Что обеспечивает Autofocus? • Анализ файлов статически и динамически • Поведение malware, включая сбор IOC (URL, DNS, IP протоколы и соединения)
- 49. Что обеспечивает Autofocus? • Реальные проверки, чтобы обнаружить и остановить атаку. (Exported IOC)
- 50. 1. Выгода: использование самого большого источника Threat Intelligence Firewall IPS Proxy APT SIEM Сторонние источники Только IOC • IP • URL • Domain Endpoint Журналы Подробные данные для расследования - Threat actors - Malware Family - Adversary campaign - Target Industries - Prioritize alerts - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Поиск и расследование • Точные отчеты • Конкретные действия Security Admin Конкретные шаги и действия Действуют по своему усмотрению
- 51. Autofocus позволяет достичь • Более глубокий анализ контекста атаки для анализа • Позволяет искать по нескольким фильтрам в контексте уже найденного • Выдает конкретные шаги для блокирования угрозы • Приоритезирует события, чтобы выявлять самые критичные • Быстрее анализ, hunting и обработка инцидентов
- 52. Как улучшить обработку инцидентов? 2. Заставить работать вместе Threat Intelligence и автоматические сервисы блокировки Threat Intelligence Feeds Private Feeds Threat Intelligence Platforms Network Enforcers End Point Enforcers SIEM • собрать различные данные с разных TI и скоррелировать • Начать блокировать атаки
- 53. Minemeld упрощает задачу Input: Nodes Miners • OSINT • Commercial • Organization (CERT, ISAC) Processors • IPv4/IPv6 aggregator • URL aggregator • Domain aggregator Outputs • JSON • STIX/TAXII • External Dynamic List (EDL) • Elastic Logstash
- 54. Пример: PANW и его EDL (External Dynamic Lists) из Minemeld
- 55. Собираем вместе базы TI и включаем блокировки Firewall IPS Proxy APT SIEM Endpoint Security Log Provided Deep Info for Investigation - Threat actors - Malware Family - Adversary campaign - Target Industries - Prioritize alerts - Malicious Behavior - Exploits techniques - Contexts: IP, Connectivity, Domain, URL, Passive DNS, etc. Search & Query • Accurate Summary Report • More actionable actions Security Admin IP _____ _____ _____ _____ _____ __ DNS _____ _____ _____ _____ _____ _ URL _____ _____ _____ _____ _____ 3’rd party Threat Intel IOC Feed Экспорт IOC Автоматически пересылаем IOC для блокировки
- 56. Minemeld позволяет достичь • Позволяет собрать доступные базы TI из публичных, платных и бесплатных источников. • Собирает, очищает и коррелирует данные. • Автоматически переводит данные IOC в действия на устройствах защиты