Security as a Service = JSOC
1 like486 views
Компания Solar Security является разработчиком и провайдером сервисов информационной безопасности (ИБ) с двадцатилетним опытом. Они предлагают услуги аутсорсинга SOC и JSOC, предоставляя клиентам решение для мониторинга инцидентов, контроля защищенности и анализа кода, что позволяет избавиться от необходимости в собственном SOC и сократить время на реагирование на киберугрозы. Solar Security также предоставляет услуги по защите веб-приложений и анализу угроз, что актуально для российских компаний, сталкивающихся с киберпреступностью.
Security as a Service = JSOC
- 1. Эльман Бейбутов Толкатель бизнеса аутсорсинга ИБ
- 3. solarsecurity.ru +7 (499) 750-07-70 Про Solar Security 3 Основные факты Компания Solar Security разработчик ПО и провайдер сервисов ИБ Компания Solar Security основана компанией «Инфосистемы Джет» – интегратором № 1 по информационной безопасности на коммерческом рынке Solar Security – это команда с двадцатилетним опытом разработки продуктов и собственная исследовательская лаборатория по анализу и прогнозированию инцидентов информационной безопасности
- 4. Security as a Service = = JSOC Только представьте себе на минуту…
- 5. Позиционирование JSOC • Подключение к сервисам ИБ здесь и сейчас, вместо проектирования, внедрения, обучения и эксплуатации собственных систем • Агрегация компетенций, партнерских связей и лучших технологий в едином поставщике Представление об аутсорсинге ИБ • Мы первые в России развили идеи аутсорсинга SOC до первых коммерческих подключений к центру мониторинга инцидентов • В-первую очередь интересно предлагать емкие аналитические темы • Мы гарантируем выполнение SLA по реагированию и разбору инцидентов Позиционирование Solar Security и JSOC
- 6. Опыт MSSP заграницей* • Базовый мониторинг логов и хранение событий (Compliance) периметральных СЗИ (FW, IPS, Proxy, VPN) • Предоставление Software as a Service (Web-, Email- security, antiDDoS, MDM) в аренду с базовым мониторингом Сервисы, доступные за рубежом • Анализ хакерской активности в окружении конкретных компаний-клиентов (APT detection) • SIEM as a Service (не путать с SOC!) • Практически не встречается – SOC as a Service Малодоступные услуги западных MSSP *Gartner, MSSP report, декабрь 2014
- 7. Почему аутсорсинг стал интересен в России От SIEM к SOC – Дорогу осилит смотрящий? • Когда-то мы внедрили более 35 SIEM • «В среднем по больнице» на стороне наших клиентов темой SIEM занимается 0.5 – 1.5 человека • Примерно 80% компаний так и не построили SOC • У 20% компаний через год обнаружились сложности с доступом в консоль SIEM из-за забытых логинов и паролей • Не более 15% компаний вышли на осознанные вторые этапы развития SIEM и дозакупки оборудования и ПО Мы по-настоящему гордимся теми клиентами, которые смогли построить SOC сами!
- 8. Зрелость SOC в России Уровень зрелости SOC по индустриям Количество выполненных проектов по SIEM с 2010 года
- 9. Почему это стало важным Переход на APT – Кто еще не стал жертвой киберпреступности? • «Рынок антивирусов умер» (с) вице-президент Symantec, 2014 • Взлет рынка «песочниц» для автоматического анализа ПО • Смещение акцентов на атаки против инфраструктуры конкретной компании
- 10. Неудобные вопросы, но всё же… Мониторинг инцидентов Вы потратили 200K$ на SIEM, а сколько критичных инцидентов в месяц вы выявляете и разбираете? Говорят, что опытный специалист по SIEM – на вес золота. Сможете ли вы удержать сотрудника в компании после года его стажировок и практики? Администрирование систем ИБ У вас около 15 решений в области ИБ, а штат сотрудников – не более 5 человек. Они успевают хотя бы обновлять версии систем безопасности, не говоря уже о тонкой настройке правил? Как быстро вы обычно регистрируете сбой в системах ИБ? Как вы думаете, обо всех ли сбоях становится вам известно? Анализ кода приложений Правда ли, что безопасность мало вовлечена в процесс разработки кода, а инциденты взлома приложений приходится разбирать пачками? Не так то просто найти специалиста ИБ, сильного в программировании? Да, впрочем, и наоборот тоже
- 11. solarsecurity.ru +7 (499) 750-07-70 Почему используют аутсорсинг 11
- 12. Проблемы, решаемые JSOC Дорого и долго строить полноценный SOC внутри компании Сложно найти готовых специалистов, способных противостоять таргетированным атакам Штат специалистов службы ИБ давно перегружен эксплуатацией средств защиты и нет возможности заниматься совершенствованием системы ИБ ИТ-службы и разработчики внедряют уязвимые сервисы и приложения, а за инциденты отвечает безопасность Необходимость обеспечения защиты web-приложений, в том числе от DDoS
- 13. У нас есть, что предложить… • Мониторинг инцидентов • Противодействие киберпреступности • Контроль защищенности • Эксплуатация систем ИБ • Анализ кода приложений • Защита web-приложений • Анти-DDoS Предлагаем SECaaS
- 15. Команда JSOC Группа разбора инцидентов Руководитель департамента JSOC (Дрюков В.) Группа администрирования Группа развития JSOC (пресейл-аналитик,архитектор, ведущий аналитик) Инженеры реагирования и противодействия – 11*5 (Москва, 2 человека) Инженеры мониторинга – 24*7 (Нижний Новгород, 7 человек) 2-ая линия администрирования – 11*5 (Москва, 3 человека) 1-ая линия администрирования -24*7 (Нижний Новгород, 8 человек) Выделенные аналитики (Москва, 3 человека) Группа управления качеством (сервис-менеджеры, 4 человека) Администраторы ИБ (Москва, 2 человека)
- 16. JSOC: Мониторинг инцидентов – если SIEM нет Как это выглядит: 1. Оборудование и лицензии – арендная схема 2. Мониторинг и анализ инцидентов – силами JSOC 3. Подключение – установка сервера коннекторов и настройка источников Преимущества: • Нет стартовых капитальных вложений • Быстрый запуск услуги – до 1,5 месяцев • Перекрестное информирование схожих по инфраструктуре клиентов об обнаруженных атаках нулевого дня • Агрегация информации об угрозах в одном центре мониторинга
- 17. JSOC: Мониторинг инцидентов – если ArcSight уже есть Как это выглядит: 1. Оборудование и лицензии – в собственности клиента 2. Правила SIEM обогащаются сценариями JSOC 3. Команда JSOC анализирует все инциденты в SIEM Преимущества: • Обновление SIEM, тюнинг источников под задачи • Более 1500 корреляционных правил, объединенных в 174 таргетированных сценариев инцидентов ИБ • Мониторинг и разбор инцидентов в режиме 24х7 при полном соблюдении гарантированного уровня SLA
- 18. JSOC – Противодействие киберпреступности Как это выглядит: 1. Мы сообщим о том, что ваши учетные записи были взломаны и выложены в Интернет. Проведем анализ последствий такой компрометации 2. Оперативный поиск zero-day троянов, обнаруженных через JSOC, Group-IB, Kaspersky 3. Круглосуточное выявление обращений к вредоносным ресурсам и входящих подключений с опасных ресурсов Преимущества: • Наиболее релевантная российскому рынку информация об атаках, основанная на информации бот-сетей и сенсорах, установленных в компаниях • Информирование об атаке, когда она случилась у других, а не у вас • Защита на ранних стадиях атаки путем анализа трендов реализации целевых угроз ИБ в различных сегментах российского рынка
- 19. JSOC – Эксплуатация систем ИБ Как это выглядит: Обеспечение работоспособности систем ИБ: – Мониторинг «здоровья» систем, восстановление работоспособности; – Обновление версий, администрирование и профилактика Эксплуатация систем ИБ: – Администрирование, разработка и оптимизация политик; – Оповещение о новых угрозах и обновление сигнатур Преимущества: • Круглосуточное обеспечение мониторинга работоспособности систем силами дежурной смены специалистов JSOC; • Применение лучших практик и высокой экспертизы команды JSOC для обеспечения вашей безопасности;
- 20. JSOC – безопасность внешних сервисов Как это выглядит: Защита от DDoS – Мониторинг атак и переключение трафика на очистку в облако Kaspersky – Для клиентов Ростелекома услуга по очистке трафика и защита канала с помощью Arbor Web application firewall – Предоставление WAF в аренду с полным администрированием из JSOC – Подключение к JSOC имеющегося WAF (Imperva, F5) и эксплуатация/рекомендации настроек Преимущества: • Защита web-сервисов от наиболее распространенных угроз: атакам на доступность и конфиденциальность • Минимальное вовлечение специалистов клиента и оперативная настройка политик и сигнатур WAF при обнаружении новых угроз
- 21. JSOC - Контроль защищенности Как это выглядит: • Инвентаризация систем • Инструментальный анализ уязвимостей • Адаптация отчетов о сканировании • Формирование конечных рекомендаций для ИТ- специалистов по устранению критичных уязвимостей • Сопровождение устранения уязвимостей • Регулярная оценка защищённости от zero-day Преимущества: • Получение реальной картины уязвимостей инфраструктуры с учетом всех особенностей архитектуры • Технический и организационный контроль процесса закрытия уязвимостей ИТ- службами • Возможность высвободить время собственных специалистов от рутинных задач обработки отчетов сканирования
- 22. JSOC – Анализ кода Как это выглядит: • Проверка исходного кода Java, PHP, C# и более десятка других языков по запросу • Анализ безопасности мобильных приложений iOS, Android по бинарному файлу • Встраивание проверки безопасности кода в процесс разработки ПО в компании Преимущества: • Результаты анализа предоставляются в формате конкретных рекомендаций по устранению уязвимостей кода приложений с оценкой трудоемкости исправлений; • Выдача детальных рекомендаций по настройке наложенных средств защиты для закрытия уязвимостей без изменения кода; • Возможность анализа приложений, разработанных на любых языках программирования: как современных, так и устаревших
- 23. solarsecurity.ru +7 (499) 750-07-70 Что дороже аутсорсинг или инсорсинг?
- 24. Подключайтесь к JSOC! Среди наших клиентов • Лето-банк • УБРиР Среди наших партнеров • Kaspersky lab • Group-IB
- 25. Ваши вопросы? Отвечаю за развитие бизнеса JSOC • Эльман Бейбутов • +7 985 721 66 22 • e.beybutov@solarsecurity.ru