Security as a Service = JSOC

Security as a Service = JSOC
Эльман Бейбутов,
Толкатель бизнеса аутсорсинга ИБ

solarsecurity.ru +7 (499) 755-07-70
Про Solar Security
2
Основные факты
 Компания Solar Security разработчик ПО и провайдер сервисов
ИБ
 Компания Solar Security основана компанией «Инфосистемы
Джет» – интегратором № 1 по информационной безопасности на
коммерческом рынке
 Solar Security – это команда с двадцатилетним опытом разработки
продуктов и собственная исследовательская лаборатория по
анализу и прогнозированию инцидентов информационной
безопасности

Позиционирование JSOC
3
Представление об аутсорсинге ИБ
Подключение к сервисам ИБ здесь и сейчас, вместо
проектирования, внедрения, обучения и эксплуатации
собственных систем
Агрегация компетенций, партнерских связей и лучших
технологий в едином поставщике
Позиционирование Solar Security и JSOC
Мы первые в России развили идеи аутсорсинга SOC до первых
коммерческих подключений к центру мониторинга инцидентов
В-первую очередь интересно предлагать емкие аналитические
темы
Мы гарантируем выполнение SLA по реагированию и разбору
инцидентов

Опыт MSSP заграницей*
4
Сервисы, доступные за рубежом
Базовый мониторинг логов и хранение событий (Compliance)
периметральных СЗИ (FW, IPS, Proxy, VPN)
Предоставление Software as a Service (Web-, Email- security,
antiDDoS, MDM) в аренду с базовым мониторингом
Малодоступные услуги западных MSSP
Анализ хакерской активности в окружении конкретных
компаний-клиентов (APT detection)
SIEM as a Service (не путать с SOC!)
Практически не встречается – SOC as a Service
*Gartner, MSSP report, декабрь 2014

Почему аутсорсинг стал интересен
в России
5
От SIEM к SOC – Дорогу осилит смотрящий?
 Когда-то мы внедрили более 35 SIEM
 «В среднем по больнице» на стороне наших клиентов темой SIEM
занимается 0.5 – 1.5 человека
 Примерно 80% компаний так и не построили SOC
 У 20% компаний через год обнаружились сложности с доступом
в консоль SIEM из-за забытых логинов и паролей
 Не более 15% компаний вышли на осознанные вторые этапы развития
SIEM и дозакупки оборудования и ПО
МЫ ПО-НАСТОЯЩЕМУ ГОРДИМСЯ ТЕМИ КЛИЕНТАМИ,
КОТОРЫЕ СМОГЛИ ПОСТРОИТЬ SOC САМИ!

Зрелость SOC в России
6
Количество выполненных
проектов по SIEM с 2010 года
Уровень зрелости SOC
по индустриям,
по 5-ти бальной шкале
17
6
3
3
1
3
Финансы
ТЭК
Госсектор
Телеком
Ритейл
ИТ-сервисы
0 0.5 1 1.5 2 2.5
ИТ-сервисы
ТЭК
Финансы
Госсектор
Ритейл
Телекомы

Почему это стало важным
7
Переход на APT – кто еще не стал жертвой киберпреступности?
«Рынок антивирусов умер» (с) вице-президент Symantec, 2014
Взлет рынка «песочниц» для автоматического анализа ПО
Смещение акцентов на атаки против инфраструктуры
конкретной компании

Неудобные вопросы, но всё же…
8
Мониторинг
 Вы потратили 200K$ на
SIEM, а сколько
критичных инцидентов в
месяц вы выявляете и
разбираете?
 Говорят, что опытный
специалист по SIEM – на
вес золота. Сможете ли
вы удержать сотрудника
в компании после года
его стажировок и
практики?
Администрирование
систем ИБ
 У вас около 15 решений
в области ИБ, а штат
сотрудников – не более 5
человек. Они успевают
хотя бы обновлять
версии систем
безопасности, не говоря
уже о тонкой настройке
правил?
 Как быстро вы обычно
регистрируете сбой в
системах ИБ? Как вы
думаете, обо всех ли
сбоях становится вам
известно?
Анализ кода
приложений
 Правда ли, что
безопасность мало
вовлечена в процесс
разработки кода, а
инциденты взлома
приложений приходится
разбирать пачками?
 Не так то просто найти
специалиста ИБ,
сильного в
программировании? Да,
впрочем, и наоборот
тоже

Почему используют аутсорсинг
9
1
32%
2
22%
3
18%
4
12%
5
10%
6
6%
НЕХВАТКА
ПЕРСОНАЛА
ОРГАНИЗАЦИЯ
СЕРВИСОВ 24*7
НЕОБХОДИМОСТЬ
БЫСТРОГО
СТАРТА СЕРВИСОВ
НЕОБХОДИМОСТЬ
РАЗНОПЛАНОВОЙ
ЭКСПЕРТИЗЫ
СНИЖЕНИЕ ЗАВИСИМОСТИ
ОТ СВОИХ СПЕЦИАЛИСТОВ
СОКРАЩЕНИЕ
УПРАВЛЕНЧЕСКИХ ЗАТРАТ

Проблемы, решаемые JSOC
Дорого и долго строить полноценный SOC внутри компании
Сложно найти готовых специалистов, способных противостоять
таргетированным атакам
Штат специалистов службы ИБ давно перегружен эксплуатацией средств
защиты и нет возможности заниматься совершенствованием системы ИБ
ИТ-службы и разработчики внедряют уязвимые сервисы и приложения,
а за инциденты отвечает безопасность
Необходимость обеспечения защиты web-приложений, в том числе от DDoS
1
2
3
4
5

У нас есть, что предложить…
11
Контроль защищенности
Противодействие
киберпреступности
Эксплуатация
систем ИБ
Защита
web-приложений
Анти-DDoS
ПРЕДЛАГАЕМ
SECaaS

Архитектура сервисов JSOC
12

Команда JSOC
13
Группа разбора инцидентов
Руководитель департамента JSOC
(Дрюков Владимир)
Группа администрирования
Группа развития JSOC
(пресейл-аналитик, архитектор,
ведущий аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
1-ая линия
администрирования -24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 5 человек)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ

JSOC: Мониторинг инцидентов –
если SIEM нет
14
Как это выглядит:
 Оборудование и лицензии – арендная схема
 Мониторинг и анализ инцидентов – силами JSOC
 Подключение – установка сервера коннекторов
и настройка источников
Преимущества:
 Нет стартовых капитальных вложений
 Быстрый запуск услуги – до 1,5 месяцев
 Перекрестное информирование схожих по инфраструктуре
клиентов об обнаруженных атаках нулевого дня
 Агрегация информации об угрозах в одном центре мониторинга

JSOC: Мониторинг инцидентов –
если ArcSight уже есть
15
 Оборудование и лицензии –
в собственности клиента
 Правила SIEM обогащаются сценариями JSOC
 Команда JSOC анализирует все инциденты
в SIEM
 Обновление SIEM, тюнинг источников под задачи
 Более 1500 корреляционных правил, объединенных в 174
таргетированных сценариев инцидентов ИБ
 Мониторинг и разбор инцидентов в режиме 24*7 при полном
соблюдении гарантированного уровня SLA

Факты, преимущества и выгоды
16
Факты
•1-я линия дежурной
смены 24х7 обрабатывает
более 75 000 событий с
подозрением на
инциденты в год
•Штат JSOC насчитывает
более 30 человек
•Реагирование в течение
15 минут
•Катастрофоустойчивая
платформа на ArcSight
•Партнерские соглашения
с ведущими CERT и
другими аналитическими
центрами ИБ для
оперативного
противодействия
Преимущества
•Более 170 детектируемых
векторов атак
•Перекрестное
информирование
клиентов об обнаруженных
атаках
•Использование
информации о хакерских
группировках, бот-сетях и
не доверенных IP-адресах
от нескольких ведущих
зарубежных и российских
аналитических центров
•Мониторинг инцидентов и
противодействие
киберпреступности в
режиме 24х7 при полном
соблюдении уровня SLA
Выгоды
•Получение готового
сервиса по мониторингу
инцидентов без
капитальных затрат спустя
1 месяц после подписания
контракта
•Compliance в части
управления инцидентами,
защиты web-приложений
и анализа кода
•Информированность и
готовность к атакам
нулевого дня
•Высвобождение ресурсов
своих сотрудников для
новых проектов после
передачи
администрирования
систем ИБ в JSOC

JSOC – Противодействие
17
 Мы сообщим о том, что ваши учетные записи были
взломаны и выложены в Интернет.
Проведем анализ последствий такой компрометации
 Оперативный поиск zero-day троянов, обнаруженных
через JSOC, Group-IB, Kaspersky
 Круглосуточное выявление обращений к вредоносным
ресурсам и входящих подключений с опасных ресурсов
 Наиболее релевантная российскому рынку информация об атаках, основанная
на информации бот-сетей и сенсорах, установленных в компаниях
 Информирование об атаке, когда она случилась у других, а не у вас
 Защита на ранних стадиях атаки путем анализа трендов реализации целевых
угроз ИБ в различных сегментах российского рынка
Противодействие

JSOC – Эксплуатация систем ИБ
18
 Обеспечение работоспособности систем ИБ:
• Мониторинг «здоровья» систем, восстановление
работоспособности;
• Обновление версий, администрирование и профилактика
 Эксплуатация систем ИБ:
• Администрирование, разработка и оптимизация политик;
• Оповещение о новых угрозах и обновление сигнатур
 Круглосуточное обеспечение мониторинга работоспособности
систем силами дежурной смены специалистов JSOC;
 Применение лучших практик и высокой экспертизы
команды JSOC для обеспечения вашей безопасности;
Эксплуатация
систем ИБ

JSOC – безопасность внешних сервисов
19
 Защита от DDoS
• Мониторинг атак и переключение трафика на очистку
в облако Kaspersky
• Для клиентов Ростелекома услуга по очистке трафика
и защита канала с помощью Arbor
 Web application firewall
• Предоставление WAF в аренду с полным администрированием
из JSOC
• Подключение к JSOC имеющегося WAF (Imperva, F5)
и эксплуатация/рекомендации настроек
 Защита web-сервисов от наиболее распространенных угроз:
атакам на доступность и конфиденциальность
 Минимальное вовлечение специалистов клиента
и оперативная настройка политик и сигнатур WAF
при обнаружении новых угроз
Анти-DDoS
WAF

JSOC – Контроль защищенности
20
 Инвентаризация систем
 Инструментальный анализ уязвимостей
 Адаптация отчетов о сканировании
 Формирование конечных рекомендаций для
ИТ-специалистов по устранению критичных уязвимостей
 Сопровождение устранения уязвимостей
 Регулярная оценка защищённости от zero-day
 Получение реальной картины уязвимостей инфраструктуры с учетом всех
особенностей архитектуры
 Технический и организационный контроль процесса закрытия уязвимостей
ИТ-службами
 Возможность высвободить время собственных специалистов от рутинных задач
обработки отчетов сканирования
Контроль
защищенности

JSOC – Анализ кода
21
 Проверка исходного кода Java, PHP, C# и более
десятка других языков по запросу
 Анализ безопасности мобильных приложений iOS,
Android по бинарному файлу
 Встраивание проверки безопасности кода
в процесс разработки ПО в компании
 Результаты анализа предоставляются в формате конкретных рекомендаций
по устранению уязвимостей кода приложений с оценкой трудоемкости
исправлений;
 Выдача детальных рекомендаций по настройке наложенных средств
защиты для закрытия уязвимостей без изменения кода;
 Возможность анализа приложений, разработанных на любых языках
программирования: как современных, так и устаревших

Гарантии выполнения SLA
22
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время
обнаружения
инцидента (мин)
Критичные инциденты 15-30 10-20 5-10
Прочие инциденты до 60 до 60 до 45
Время базовой
диагностики и
информирования
заказчика (мин)
Критичные инциденты 45 30 20
Прочие инциденты до 120 до 120 до 90
Время выдачи
рекомендаций по
противодействию
Критичные инциденты до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч

Что дороже аутсорсинг или инсорсинг?
23

Подключайтесь к JSOC!
24
Среди наших клиентов
 Лето-Банк
 УБРиР
Среди наших партнеров

ОТВЕЧАЮ ЗА РАЗВИТИЕ БИЗНЕСА JSOC
Эльман Бейбутов
+7 985 721 66 22
e.beybutov@solarsecurity.ru
Ваши вопросы?

Security as a Service = JSOC

More Related Content

What's hot (16)

Viewers also liked (20)

Similar to Security as a Service = JSOC (20)

More from Solar Security (11)

Security as a Service = JSOC