SlideShare a Scribd company logo

Почему вам не нужен SOC

Download as PPTX, PDF
Kirill Ermakov
Kirill Ermakov

Вся правда про "SOC" в 17 слайдах. Без здорового чувства юмора не читать.

Internet
1 of 17
Почему вам не нужен SOC Хаос контролировать невозможно Kirill “isox” Ermakov, IBM & Jet business breakfast, 2016
2 Основы - Information Security Operations Center - Центр обработки информации #поИБ - Часто путают с “Security Monitoring” и “SOC” - Объединение процессов и технологий - SOC != ISOC - Security Operations Center handles access control, lightning, alarms and vehicle barriers © Wiki - Тренд последних лет
3 Реальность - Любой, кто купил SIEM, называет его ”SOC” - Не более чем команда ИБ с парсером логов и движком для корреляции - Чаще всего даже не понимают, что они мониторят и зачем - Скорее всего не имеют опыта во взломе информационных систем
4 Cloud solutions - Сторонняя компания, которая купила (разработала) SIEM - Мониторят бесполезную информацию о событиях 24/7 - Имеют паттерны на типовые кейсы - Иногда они даже найдут у вас инциденты - Нет, ну серьезно. Вы правда отдадите кому-то ваши security логи?
5 Ок, вы все еще хотите это сделать - Финансовые затраты на его построение будут больше чем потенциальные расходы от инцидентов - Трудоемкость интеграции сравнима с постройкой 2-х чугунных мостов. Как по времени, так и по деньгам. - Вам придется сильно увеличить headcount отдела ИБ
6 Как выбрать компоненты - Что бы вы не купили, оно вам не понравится - В любом случаем без напильника это не работает - Помните про scalability - Сделайте в начале дизайн бизнес-процессов, а потом покупайте софт
7 Почему он будет работать плохо - В большинстве компаний полный бардак в ИТ - Правила из коробки не работают в условиях отсутствия сферической лошади и вакуума - Если у вас нет инвентаризации, asset management, или хотя бы реестра хостов и приложений - как вы собрались их контролировать?
8 Определение аномалий и инцидентов - Аномалия = отклонение от нормы. Кто знает, что такое норма? - Инцидент это нарушение каких-то правил/политик. Для этого нужно для начала их создать. - А что, контроль изменений уже внедрен?
9 Перейдем к внедрению - Если вы сами не знаете в деталях, как работают ваши системы и приложения – интегратор точно это не узнает за вас - Ресурсные потребности SIEM сопоставимы с (не)большим процессингом - Автодискавери и автопарсинг сломаются
10 Первый запуск - Вы узнаете, что у вас миллион инцидентов - Самые важные будут – ICMP Flood и ”У вас SSH в сети!” - Подключили к мониторингу периметр? Скоро у вас кончится место на дисках. - Но есть и плюс – вы узнаете, кто в вашей компании до сих пор пользуется IRC
11 Через год - Ваша команда наконец научится его использовать - Вы удалите все правила “из коробки” и “от интегратора” - Заставите отдел эксплуатации провести наконец инвентаризацию - Будете знать досконально, как этот комбайн работает внутри - Будете смотреть за трендами, а не за событиями
12 Через два года - Вы начнете отключать лишние источники событий - Наконец разберетесь как устроена база и API вашего SIEM - Сделаете свои консоли мониторинга - Перестанете пытаться реагировать на ”TCP Port scan” - Введете KPI и ”Red Team” учения для проверки своего ISOC
13 SOC overview - Очень дорого, но потенциально очень круто - Инвестировать в людей эффективнее, чем в продукты - Работает только в условиях здоровых процессов в компании и минимального порядка в ИТ - Чем больше хаоса, тем дороже (I)SOC и дороже люди, обеспечивающие его работу
14 Почему я так уверенно говорю это? - Два года с IBM qRadar - 28,000 событий в секунду - 5 человек мониторят события - 41 сервер мониторинга - 2500 хостов - /16 сеть в мир - Been there, done that
15 +/- - qRadar неплохой софт, если знать как его готовить - qFlow, vFlow не работают - Собственный SOC позволяет не прозевать момент, когда уже все плохо - Интегратор может помочь написать правила парсинга, но не правила реагирования - Получилось поймать настоящие инциденты
16 Ну и что собственно делать? - Наводить порядок в ИТ хозяйстве - Строго регламентировать ”Кто-куда-зачем и почему” - Разбираться в том, как действуют хакеры - Мониторить то, что нужно и важно, а не все подряд - Не верить, что софт сделает что-то за вас - Нанять практических безопасников в команду
17 Спасибо Вопросы? isox@vulners.com

Recommended

Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом VulnersKirill Ermakov
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 

Recommended

Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом VulnersKirill Ermakov
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасностиАльбина Минуллина
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Siem
SiemSiem
Siemcnpo
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLPАльбина Минуллина
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТПАльбина Минуллина
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)e-Legion
 
2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис2. Приветственное слово - Газинформсервис
2. Приветственное слово - ГазинформсервисКомпания УЦСБ
 
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетВалерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетKazHackStan
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Olesya Shelestova
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 

More Related Content

What's hot

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 
Siem
SiemSiem
Siemcnpo
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)e-Legion
 
2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис2. Приветственное слово - Газинформсервис
2. Приветственное слово - ГазинформсервисКомпания УЦСБ
 
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетВалерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетKazHackStan
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 

What's hot (20)

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Siem
SiemSiem
Siem
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)
 
2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис2. Приветственное слово - Газинформсервис
2. Приветственное слово - Газинформсервис
 
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать БотнетВалерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
Валерий Блонский (Казахстан), PACIFICA. Как угнать Ботнет
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 

Similar to Почему вам не нужен SOC

От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
CodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под CocaineCodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под CocaineCodeFest
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс
"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс
"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, ЯндексYandex
 
Мониторинг веб-проектов: штаб оперативного реагирования и аналитический центр
Мониторинг веб-проектов: штаб оперативного реагирования и аналитический центрМониторинг веб-проектов: штаб оперативного реагирования и аналитический центр
Мониторинг веб-проектов: штаб оперативного реагирования и аналитический центрsportgid
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
SIEM для чайников
SIEM для чайниковSIEM для чайников
SIEM для чайниковBAKOTECH
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
а.прозоров объективные ограничения клиент-сервер
а.прозоров объективные ограничения клиент-сервера.прозоров объективные ограничения клиент-сервер
а.прозоров объективные ограничения клиент-серверAlexandre Prozoroff
 
CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?
CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?
CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?Clouds NN
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 

Similar to Почему вам не нужен SOC (20)

Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
CodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под CocaineCodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс
"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс
"Cocaine — облачная платформа Яндекса". Андрей Сибирёв, Яндекс
 
Мониторинг веб-проектов: штаб оперативного реагирования и аналитический центр
Мониторинг веб-проектов: штаб оперативного реагирования и аналитический центрМониторинг веб-проектов: штаб оперативного реагирования и аналитический центр
Мониторинг веб-проектов: штаб оперативного реагирования и аналитический центр
 
Cocaine!!!
Cocaine!!!Cocaine!!!
Cocaine!!!
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
SIEM для чайников
SIEM для чайниковSIEM для чайников
SIEM для чайников
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
а.прозоров объективные ограничения клиент-сервер
а.прозоров объективные ограничения клиент-сервера.прозоров объективные ограничения клиент-сервер
а.прозоров объективные ограничения клиент-сервер
 
CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?
CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?
CloudsNN 2013 Демидов Александр. Как жить в облаке без админов?
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 

More from Kirill Ermakov

Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017Kirill Ermakov
 
How to get a well done penetration test
How to get a well done penetration testHow to get a well done penetration test
How to get a well done penetration testKirill Ermakov
 
Security awareness for information security team
Security awareness for information security teamSecurity awareness for information security team
Security awareness for information security teamKirill Ermakov
 
Vulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.comVulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.comKirill Ermakov
 
Vulners: Google for hackers
Vulners: Google for hackersVulners: Google for hackers
Vulners: Google for hackersKirill Ermakov
 
Why vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheelWhy vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheelKirill Ermakov
 
Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...Kirill Ermakov
 
Lets talk about bug hunting
Lets talk about bug huntingLets talk about bug hunting
Lets talk about bug huntingKirill Ermakov
 

More from Kirill Ermakov (9)

Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017
 
How to get a well done penetration test
How to get a well done penetration testHow to get a well done penetration test
How to get a well done penetration test
 
Security awareness for information security team
Security awareness for information security teamSecurity awareness for information security team
Security awareness for information security team
 
Vulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.comVulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.com
 
Vulners: Google for hackers
Vulners: Google for hackersVulners: Google for hackers
Vulners: Google for hackers
 
Why vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheelWhy vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheel
 
SOC training
SOC trainingSOC training
SOC training
 
Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...
 
Lets talk about bug hunting
Lets talk about bug huntingLets talk about bug hunting
Lets talk about bug hunting
 

Почему вам не нужен SOC

  • 1. Почему вам не нужен SOC Хаос контролировать невозможно Kirill “isox” Ermakov, IBM & Jet business breakfast, 2016
  • 2. 2 Основы - Information Security Operations Center - Центр обработки информации #поИБ - Часто путают с “Security Monitoring” и “SOC” - Объединение процессов и технологий - SOC != ISOC - Security Operations Center handles access control, lightning, alarms and vehicle barriers © Wiki - Тренд последних лет
  • 3. 3 Реальность - Любой, кто купил SIEM, называет его ”SOC” - Не более чем команда ИБ с парсером логов и движком для корреляции - Чаще всего даже не понимают, что они мониторят и зачем - Скорее всего не имеют опыта во взломе информационных систем
  • 4. 4 Cloud solutions - Сторонняя компания, которая купила (разработала) SIEM - Мониторят бесполезную информацию о событиях 24/7 - Имеют паттерны на типовые кейсы - Иногда они даже найдут у вас инциденты - Нет, ну серьезно. Вы правда отдадите кому-то ваши security логи?
  • 5. 5 Ок, вы все еще хотите это сделать - Финансовые затраты на его построение будут больше чем потенциальные расходы от инцидентов - Трудоемкость интеграции сравнима с постройкой 2-х чугунных мостов. Как по времени, так и по деньгам. - Вам придется сильно увеличить headcount отдела ИБ
  • 6. 6 Как выбрать компоненты - Что бы вы не купили, оно вам не понравится - В любом случаем без напильника это не работает - Помните про scalability - Сделайте в начале дизайн бизнес-процессов, а потом покупайте софт
  • 7. 7 Почему он будет работать плохо - В большинстве компаний полный бардак в ИТ - Правила из коробки не работают в условиях отсутствия сферической лошади и вакуума - Если у вас нет инвентаризации, asset management, или хотя бы реестра хостов и приложений - как вы собрались их контролировать?
  • 8. 8 Определение аномалий и инцидентов - Аномалия = отклонение от нормы. Кто знает, что такое норма? - Инцидент это нарушение каких-то правил/политик. Для этого нужно для начала их создать. - А что, контроль изменений уже внедрен?
  • 9. 9 Перейдем к внедрению - Если вы сами не знаете в деталях, как работают ваши системы и приложения – интегратор точно это не узнает за вас - Ресурсные потребности SIEM сопоставимы с (не)большим процессингом - Автодискавери и автопарсинг сломаются
  • 10. 10 Первый запуск - Вы узнаете, что у вас миллион инцидентов - Самые важные будут – ICMP Flood и ”У вас SSH в сети!” - Подключили к мониторингу периметр? Скоро у вас кончится место на дисках. - Но есть и плюс – вы узнаете, кто в вашей компании до сих пор пользуется IRC
  • 11. 11 Через год - Ваша команда наконец научится его использовать - Вы удалите все правила “из коробки” и “от интегратора” - Заставите отдел эксплуатации провести наконец инвентаризацию - Будете знать досконально, как этот комбайн работает внутри - Будете смотреть за трендами, а не за событиями
  • 12. 12 Через два года - Вы начнете отключать лишние источники событий - Наконец разберетесь как устроена база и API вашего SIEM - Сделаете свои консоли мониторинга - Перестанете пытаться реагировать на ”TCP Port scan” - Введете KPI и ”Red Team” учения для проверки своего ISOC
  • 13. 13 SOC overview - Очень дорого, но потенциально очень круто - Инвестировать в людей эффективнее, чем в продукты - Работает только в условиях здоровых процессов в компании и минимального порядка в ИТ - Чем больше хаоса, тем дороже (I)SOC и дороже люди, обеспечивающие его работу
  • 14. 14 Почему я так уверенно говорю это? - Два года с IBM qRadar - 28,000 событий в секунду - 5 человек мониторят события - 41 сервер мониторинга - 2500 хостов - /16 сеть в мир - Been there, done that
  • 15. 15 +/- - qRadar неплохой софт, если знать как его готовить - qFlow, vFlow не работают - Собственный SOC позволяет не прозевать момент, когда уже все плохо - Интегратор может помочь написать правила парсинга, но не правила реагирования - Получилось поймать настоящие инциденты
  • 16. 16 Ну и что собственно делать? - Наводить порядок в ИТ хозяйстве - Строго регламентировать ”Кто-куда-зачем и почему” - Разбираться в том, как действуют хакеры - Мониторить то, что нужно и важно, а не все подряд - Не верить, что софт сделает что-то за вас - Нанять практических безопасников в команду