2. ptsecurity.ru
Positive Technologies в цифрах
Крупнейший центр противодействия
киберугрозам
Москва
Санкт-Петербург
Нижний Новгород
Новосибирск
Томск
ЛУЧШИЕ СПЕЦИАЛИСТЫ R НАДЕЖНЫЕ ПАРТНЕРЫ R
сотрудников
экспертов по защите ERP,
SCADA, банков и телекомов,
веб- и мобильных
приложений
600+
250+
ведущих интеграторов
в сфере ИТ и ИБ
крупнейших мировых
производителей ПО
и оборудования
100+
50+
3. ptsecurity.ru
Продукты
Xspider Сканирование всех компью-
теров и сети организации
для поиска уязвимых мест
и их устранения
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
4. ptsecurity.com
87% 61% 1
неделя 2%
Периметр 87%
корпоративных
локальных сетей не
останавливает
проникновение
61% может
взломать
неквалифициро-
ванный хакер
Взлом
ЛВС компании
занимает
3-5 дней
Действия
пентестеров
обнаруживаются
только в 2% тестов
на проникновение
Статистика: Тесты на проникновение
6. Наш внутренний SOC
• Мониторинг
информационной
безопасности
• Анализ и
расследование
инцидентов
• Исследование
уязвимости и анализ
защищенности
• Технологические
исследования и
консалтинг ИБ
Сервисы
Expert Security Center
7. Нужен ли вам SOC?
• Угрозы ИБ – далеко не всегда
очевидна полнота и возможный
ущерб
• Что нужно защищать?
• Информация, только
конфиденциальность?
• Непрерывность деятельности,
только доступность? Только
информационные системы?
• Если провести анализ – спектр
шире
• Клиенты
• Партнеры
• …
• Кто будет «тушить пожар»?
• Кто увидит «пожар»?
• Устранит последствия?
• Предпримет меры к
недопущению пожаров?
• Будет в курсе новых угроз
актуальных для вашей
организации?
• Операционная безопасность –
кто поддерживает процесс?
?
9. SOC: работа в реальном времени
• «Горячая линия» – голос, почта, …
• Прием обращений
• Информирование
• Анализ и сортировка событий безопасности
• Мониторинг угроз, получение информации извне
• Долгосрочный мониторинг и прогнозирование
• Выявление аномалий
• Анализ трендов
• Создание и интеграция аналитики, правил, инструкций
10. SOC: Анализ состояния ИБ в режиме
реального времени
• Обработка входящих сообщений от людей
• Телефонный информационный центр
• Портал/почта
• Общение с «внешним миром»
• Мониторинг ИБ в режиме реального времени
• Критические события
• События средней и низкой критичности
• Поиск аномалий
Оценка ситуации в целом
12. ptsecurity.com
31
Ядро платформы MaxPatrol
MaxPatrol SIEM
• 13 лет масштабных тестов на проникновение
• Сотни найденных 0-day уязвимостей в год
• Ежедневные анализы реальных инциденты ИБ
• Positive Expert Security Center – всегда на
переднем крае
• Аналитика и моделирование атак
• Прототипирование и испытание технологий
Network Compliance
& Control
Threat
Modeling
Host Compliance
& Control
Network Storage
& Forensic
Vulnerability
Management
уникальная платформа
объединяющая в себе множество
направлений
14. SOC: Анализ инцидентов и
реагирование
• Анализ инцидентов
• Методы сбора информации
• Координация реагирования на инциденты
• Применение мер противодействия
• Реагирования на инцидент на месте
• Реагирования на инцидент на удаленной основе
16. SOC: Анализ сведений, связанных с
инцидентом
• Анализ вредоносного ПО и скрытых уязвимостей
• Первичный вектор заражения
• Возможности ВПО
• Статический анализ
• Динамический анализ
• Ретроспективный анализ сведений, связанных с инцидентом
• Хронология событий
• Поиск точки начала инцидента
18. SOC: Cбор информации и отслеживание
тенденций
• Создание службы кибераналитики
• Распространение данных службы кибераналитики
• Объединение информации от служб кибераналитики
• Отслеживание тенденций
• Оценка угроз
19. • Блокировка ранее неизвестных атак с
помощью технологий машинного обучения
• Обнаружение и предотвращение утечек
данных
• Выявление ботов и защита от DoS/DDoS
уровня приложения
• Поддерживается кластеризация и
балансировка для проектов любых масштабов
• Апробирован в крупных проектах:
• Признан международными экспертами
(визионеры Gartner MQ)
25
Предотвращение: PT Application Firewall
ptsecurity.com
21. SOC: Обеспечение жизненного цикла
инструментов SOC
• Средства защиты границ O&M -operations and management -
O&M
• Инфраструктура SOC O&M
• Настройка и техническое обслуживание сенсорного
оборудования
• Создание собственных сигнатур
• Разработка и внедрение инструментов
• Разработка и исследование инструментов
22. SOC: Сканирование и оценка
защищённости
• Топология сети
• Сканирование уязвимостей
• Оценка уязвимостей
• Тестирование на проникновение
• Сбор данных аудита и управление аудитом
• Расследование внутренних угроз
• Оценка уязвимостей продукта
23. ptsecurity.com
31
Платформа MaxPatrol – де-факто стандарт
инвентаризации и управления уязвимостями
• 13 лет масштабных тестов на проникновение
• Сотни найденных 0-day уязвимостей в год
• Ежедневные анализы реальных инциденты ИБ
• Positive Expert Security Center – всегда на
переднем крае
• Аналитика и моделирование атак
• Прототипирование и испытание технологий
Network Compliance
& Control
Threat
Modeling
Host Compliance
& Control
Network Storage
& Forensic
Vulnerability
Management
уникальная платформа
объединяющая в себе множество
направлений
24. PT Application Inspector
Компоненты PT AI
Комбинация методов SAST/DAST/IAST
Модуль абстрактной
интерпретации исходного кода
Частичное выполнение кода
(symbolic execution и dynamic slices)
Модуль Pattern Matching в AST
Модуль fingerprint
Модуль анализа конфигурации
Встроенный BlackBox сканер для динамического анализа
ptsecurity.com
64
25. ptsecurity.com
63
PT Application Firewall
• Защита от атак на уязвимости, обнаруженных во время
анализа безопасности приложения или расследования
инцидентов
• Защита от атак на известные уязвимости, на время
подготовки исправления (особенно для «коробочных»
приложений с долгим циклом устранения)
• Обнаружение вредоносного действия пользователей:
боты, DoS
• Защита пользователей приложения (личных кабинетов)
• Мониторинг на уровне приложения в ситуационном
центре
• Выполнение требований PCI DSS 6.6
• Сертифицированное СЗИ (ФСТЭК: ТУ + 4НДВ (10.2015),
МО (РДВ + 4НДВ – есть)
28. SOC: Дополнительные и смежные задачи
• анализ вредоносного ПО
• поиск уязвимостей
• анализ уязвимостей
• управление устройствами
• аттестация
• тестирование на проникновение
• анализ отраслевой специфики: угрозы для сетей финансовых
организаций значительно отличаются от угроз промышленным
предприятия
• интеграция с элементами управления физической защиты
• специфические задачи (географическое расположение)
31. Структура SOC
3 линия
• Расследование инцидентов
• Исследование аномалий и артефактов
2 линия
• Анализ инцидентов
• Сбор артефактов
• Развитие средств мониторинга и анализа
1 линия
• Оперативный мониторинг
• Регистрация инцидентов
• Аналитики
• Отдел эксплуатации
• Привлекаемые ресурсы
• Эксперты консалтинга/R&D
• Анализ артефактов
• Консультации по областям
специализации
• Менеджер проектов
• Разработчики
• Специалисты отдела поддержки
продаж – проектирование и
развертывание сервисов на базе
продуктов
31
33. Рабочий процесс – сохранять операционность
• Еже- активности
• Ежедневные
• Еженедельные
• Ежемесячные
• План действий
• Типовые инциденты
• Действия при вводе новых
сервисов
• …
• Матрица эскалации
• Уровни структуризации процессов
• Процедура (цели, входы/выходы)
• Методика
• Инструкция, шаблон
• Автоматизация (скрипт)
34. Типы процессов
• Операционные
• Управление кейсами
• Обработка событий
• Ввод в работу
• Журнал дежурной
смены
• Передача дежурства
• Процессы мониторинга
• Триаж
• Бизнес-
технологические
• Архитектура
• Соответствие
требованиям
• Улучшение
процессов
• Управление
доступом
• Аналитические
• Анализ событий
• Реагирование на
инциденты
• Отчетность
• Исследования
• Разведка угроз
35. + SOC (функции) – необходимы, вопрос как
реализовать
+ Чтобы построить SOC нужны правильные
технологические компоненты – обращайтесь
+ Давайте обмениваться опытом
+ SOC Forum 16 ноября
+ PHDays 23-24 мая 2017
Positive Technologies
37. ptsecurity.ru
Positive Technologies в цифрах
Крупнейший центр противодействия
киберугрозам
6
Москва
Санкт-Петербург
Нижний Новгород
Новосибирск
Томск
ЛУЧШИЕ СПЕЦИАЛИСТЫ R НАДЕЖНЫЕ ПАРТНЕРЫ R
сотрудников
экспертов по защите ERP,
SCADA, банков и телекомов,
веб- и мобильных
приложений
600+
250+
ведущих интеграторов
в сфере ИТ и ИБ
крупнейших мировых
производителей ПО
и оборудования
100+
50+
39. ptsecurity.ru
Продукты
9
Xspider Сканирование всех компью-
теров и сети организации
для поиска уязвимых мест
и их устранения
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
40. ptsecurity.ru
Услуги
8
Тест на проникновение Проверка IT-инфраструктуры организации с целью выявить ее уязвимые
места, продемонстрировать возможности злоумышленника на примере
наиболее опасных брешей и сформулировать рекомендации
по их устранению
Анализ защищенности Оценка защищенности крупных веб-порталов, критически важных бизнес-систем
(SAP, Oracle и других), автоматических систем управления промышленных
объектов (АСУ ТП) и телекоммуникационных сетей
Сопровождение служб безопасности заказчиков. Работа центра включает
наблюдение за IT-инфраструктурой компании, выявление уязвимых мест
и анализ угроз, расследование сложных инцидентов
и целенаправленных атак
ESC
Экспертный
Центр Безопасности
41. ptsecurity.ru
Проекты Positive Technologies
10
o Минимум рекламы и максимум полезных
знаний на докладах
o Живая атмосфера исследовательского
полигона и хакерских конкурсов
o За пять лет количество участников PHDays
выросло в шесть раз
Среди них:
ИБ-руководители крупных компаний,
представители Госдумы, МИДа, ФСБ,
Центробанка, ФСТЭК, бизнесмены, хакерские
команды из разных стран, молодые ученые и
студенты, писатели, художники и визионеры.
10.000+ посетителей за 5 лет
международный форум
по практической
безопасности
Positive
Education
Образовательная
программа
50+ ведущих ВУЗов МИФИМГУ МГТУ
Им. Баумана
Информационный портал
о событиях в сфере защиты
информации, интернет-права
и новых технологиях
o Входит в топ-10 самых посещаемых ресурсов
o Ведущий портал по ИБ
o 400 тысяч пользователей
3 млн+ просмотров в месяц
Editor's Notes
Анализ в режиме реального времени
Телефонный информационный центр
Полезные советы, отчеты об инцидентах и запросы на услуги по защите компьютерной сети для заказчиков по телефону, электронной почте, сообщений на сайте SOC и пр. Центр является аналогом обычной службы IT-поддержки, но имеет более узкую специализацию.
Мониторинг и сортировка в режиме реального времени
Сортировка и первичный анализ канала данных в режиме реального времени (системные журналы и предупреждения) для обнаружения потенциальных атак. По истечении определенного срока события безопасности подвергаются анализу и дальнейшей проверке со стороны команды реагирования. Обычно является синонимом аналитиков SOC Tier 1, фокусирующихся на каналах событий в режиме реального времени и других способах визуализации данных.
Примечание. Является одной из самых легко узнаваемых и визуально понятных возможностей SOC. Однако без сопутствующего анализа инцидентов и возможностей реагирования, описанных далее, функция бесполезна.
Анализ инцидентов и реагирование
Анализ инцидентов. Продолжительный, исчерпывающий анализ потенциальных вторжений и рекомендаций, направленных другими специалистами SOC. Данная функция обычно выполняется аналитиками второго уровня и выше, если инцидент передается на рассмотрение на более высокий уровень. Задача должна быть выполнена в определенный срок, чтобы обеспечить адекватность и эффективность реагирования. Данная функция обычно включает в себя анализ данных, полученных при помощи различных средств, для того, чтобы определить кем/чем, когда, где и почему совершено вторжение; определить его масштаб, найти способы уменьшить ущерб и восстановить систему. Аналитик фиксирует подробности анализа в письменном виде, обычно с предоставлением рекомендаций для реализации дальнейших действий.
Методы сбора информации. Тщательно согласованные действия по борьбе с вредоносным ПО, в соответствии с которыми специалисты SOC детально изучают и анализируют тактику, методы и процедуры, используемые злоумышленником для лучшего их понимания, а также с целью проинформировать о результатах производимых наблюдений. Данная функция отлична от остальных тем, что (1) иногда подразумевает использование специально подобранного сетевого и системного оснащения (например, Honeypot), необходимого для работы с соответствующими действиями злоумышленника, (2) злоумышленник сможет продолжить свою деятельность, не будучи немедленно отключенным от системы. Данная функция тесно связана с функцией отслеживания тенденций, а также анализом вредоносного ПО и скрытых уязвимостей, что, в свою очередь, помогает при создании службы кибераналитики.
Координация реагирования на инциденты. Работа с уязвимыми системами, направленная на сбор дополнительной информации об инциденте, его значимости, и оценку воздействия от выполняемой операции. Более того, данная функция включает в себя согласование ответных действий и составление отчета об инциденте. Настоящая служба не подразумевает непосредственное применение мер противодействия центром SOC.
Применение мер противодействия. Фактическое применение мер реагирования на инцидент с целью обнаружить, заблокировать и избавиться от злоумышленника или его действий, наносящих ущерб. Возможные меры противодействия включают в себя логическую или физическую изоляцию атакованных систем, защиту межсетевым экраном, использование DNS-карантина (DNS black holes), изоляцию IP-адресов, использование пакетов обновлений и деактивацию учетной записи.
Реагирования на инцидент на объекте заказчика. Работа на объекте заказчика, выполняемая в рамках реагирования на инцидент и восстановления системы после него. Данная функция обычно требует от специалистов SOC, находящихся на объекте заказчика или отправляющихся туда, проанализировать ущерб, устранить изменения, внесенные злоумышленником, и восстановить систему до исходного рабочего состояния. Эти работы осуществляются совместно с заказчиком и системными администраторами.
Реагирования на инцидент на удаленной основе. Проведение удаленных работ по восстановлению системы после произошедшего инцидента. В рамках проведения настоящих работ выполняются те же действия, что и при выезде на объект заказчика. Однако, в этом случае специалисты SOC принимают сравнительно меньшее участие в восстановлении системы и сборе свидетельств, связанных с инцидентом. Удаленная поддержка может быть оказана по телефону или электронной почте, либо, в некоторых случаях, при помощи удаленного терминала или административного интерфейса, такого как Microsoft Terminal Services или Secure Shell (SSH).
Анализ сведений, связанных с инцидентом
Обработка данных ретроспективного анализа сведений, связанных с инцидентом Сбор и хранение свидетельств, связанных с инцидентом (с жесткого диска или съемных носителей), таким образом, чтобы полученные данные можно было использовать во время судебных разбирательств. В зависимости от юрисдикции, при составлении документация о передаче ответственности может потребоваться использование мультимедийных носителей для обеспечения безопасности хранения данных и создания точной копии сведений об инциденте, предоставляемых в качестве доказательства.
Анализ вредоносного ПО и скрытых уязвимостей. Функция также известна как обратная разработка вредоносного ПО или сокращенно "реверсинг". Извлечение из сетевого пространства или образов вредоносного ПО (вирусов, троянов, скрытых уязвимостей, загрузчиков, и т.д.) и анализ их с целью определения характера. Специалисты SOC обычно обращают внимание на первичный вектор заражения, поведение, а также нестрогое использование атрибутов, чтобы определить масштабы вторжения и иметь возможность своевременно отреагировать на инцидент. Эта процедура может включать в себя как статический анализ кода посредством декомпиляции, так и динамический анализ (например, так называемая "детонация"), или же используются оба метода. Данная функция используется с целью обеспечения эффективности отслеживания и реагирования. Несмотря на то, что функция подразумевает использование тех же методов, что традиционное расследование инцидентов (forensics), она не обязательно будет использоваться в целях проведения судебного разбирательства.
Ретроспективный анализ сведений, связанных с инцидентом. Анализ цифровых носителей информации (мультимедийных носителей, сетевого трафика, мобильных устройств), проводимый с целью получения сведений об инциденте в полном объеме, как правило, путем восстановления детальной хронологии событий. Используются практически те же методы, применяемые при анализе вредоносного ПО и скрытых уязвимостей, однако они сопровождаются более строгим процессом составления документации. Обычно документация составляется таким образом, чтобы впоследствии она могла использоваться в судебных разбирательствах против виновников инцидента.
Добавить скриншот с подписями
Cбор информации и отслеживание тенденций
Сбор и анализ данных службой кибераналитики; cбор, использование и анализ отчетов службы кибераналитики (cyber intelligence); отчеты службы обнаружения вторжений (cyber intrusion); обзор текущих событий, касающихся сферы информационной безопасности, охватывающий новые потенциальные угрозы, уязвимости, продукты и исследования в этой области. Материалы проверяются на наличие информации, которая должна быть отправлена заказчику, или ее обработка подразумевает ответ специалистов SOC. Информация может быть получена из различных источников: из центров SOC, от разработчиков, на веб-сайтах новостных интернет-порталов и онлайн-форумах, а также из адресной рассылки по электронной почте.
Распространение данных службы кибераналитики. Обобщение, резюмирование и перенаправление отчетов службы кибераналитики (cyber intelligence), отчетов службы обнаружения вторжений (cyber intrusion), обзора текущих событий, касающихся сферы информационной безопасности специалистам заказчика как на регулярной основе (еженедельное или ежемесячное информационное письмо), так и в экстренном порядке (уведомление о выходе экстренного обновления или предупреждение о фишинг-атаке).
Создание службы кибераналитики. Разработкой системы оповещений службы кибераналитики (к примеру, уведомлений об угрозах или наиболее важных событиях) напрямую занимаются специалисты SOC, основываясь на собственных исследованиях. Например, это может быть анализ новых угроз и уязвимостей, не встречавшихся ранее. Обычно специалисты используют информацию об инцидентах, зарегистрированных в SOC, данные ретроспективного анализа (forensic analysis), анализа вредоносного ПО и средств борьбы с ним.
Объединение информации от служб кибераналитики. Извлечение данных служб кибербезопасности и обобщение с целью создания новых сигнатур, содержимого и понимания тактики, методов и процедур, используемых злоумышленником. Таким образом, настоящая функция способствует развитию процессов отслеживания (например, появление новых сигнатур или информационных ресурсов системы управления информационной безопасностью и событиями (SIEM)).
Отслеживание тенденций. Долгосрочный анализ каналов с информацией о событиях, обнаруженного вредоносного ПО, а также данных об инциденте с целью выявления признаков аномальной активности или для лучшего понимания нужд заказчика или тактики, методов и процедур, используемых злоумышленником. Сюда можно включить неструктурированный, допускающий изменения, глубокий анализ различных данных в режиме реального времени, отслеживание тенденций и сопоставление данных журнала событий, анализ данных в режиме “low and slow", а также методы обнаружения аномальной активности.
Оценка угроз. Целостный подход к оценке киберугроз, вызванных различными факторами, для заказчика и его замкнутых систем либо направлений деятельности. Оценка угроз подразумевает использование существующих ресурсов, таких как канал новостей службы кибераналитики и службы отслеживания тенденций, наряду с архитектурой предприятия и степени опасности уязвимости. Обычно осуществляется согласованно с другими лицами, вовлеченными в обеспечение информационной безопасности.
Обеспечение жизненного цикла инструментов SOC
Средства защиты границ O&M. Эксплуатация и техническое обслуживание (operations and management - O&M) средств защиты границ (например, межсетевых экранов, прокси-серверов и фильтров содержимого). Включает в себя обновления и управление настройками (CM) политик устройств, иногда в качестве ответа на угрозу или инцидент. Все действия тщательно согласуются с центром управления сетью (Network Operation Center, NOC)
Инфраструктура SOC O&M. Эксплуатация и техническое обслуживание (O&M) оборудования SOC, выходящие за рамки задач по настройке сенсорных устройств. Сюда входит техническое обслуживание и обеспечение бесперебойной работы IT-оборудования центра SOC: серверов, рабочих станций, принтеров, реляционных баз данных, систем обработки заявок на устранение неисправностей, сетевых систем хранения данных (SANs), а также устройств для резервного копирования на магнитной ленте. Если SOC располагает собственной замкнутой системой, то также проводится техническое обслуживание маршрутизаторов, коммутаторов, межсетевых экранов и контроллеров домена, если таковые имеются. Сюда же может быть включена эксплуатация и техническое обслуживание систем отслеживания, операционных систем и аппаратного обеспечения. Сотрудники, занимающиеся поддержкой данной службы имеют привилегии суперпользователя (root) при работе с оборудованием SOC.
Настройка и техническое обслуживание сенсорного оборудования. Техническое обслуживание и обеспечение бесперебойной работы сенсоров SOC: системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS), системы управления информационной безопасностью и событиями (SIEM) и прочих. Данная задача включает в себя обновление системы обнаружения вторжений (IDS)/системы предотвращения вторжений (IPS) и системы управления информационной безопасностью и событиями (SIEM) с добавлением новых сигнатур, настройкой комплектов сигнатур с целью ограничения объема событий, сокращения количества ложных срабатываний, а также контроль включения/выключения сенсоров и каналов данных передачи данных.
Специалисты SOC, работающие с данной службой, должны быть осведомлены о требованиях центра SOC относительно отслеживания систем, чтобы всегда им соответствовать и идти в ногу с изменениями в среде кибербезопасности. Изменения, вносимые в любые встроенные устройства для предотвращения вторжений (HIPS/NIPS), должны согласовываться с центром управления сетью (Network Operation Center, NOC) или другими отделами департамента IT. Данная функция может включать в себя разработку специального сценария по переносу данных и интеграции инструментов.
Создание собственных сигнатур. Разработка и внедрение оригинального содержимого для систем отслеживания (IDS сигнатур, сценариев использования системы управления информационной безопасностью и событиями (SIEM)) на основе текущих угроз, уязвимостей, протоколов, миссий или других особенностей систем заказчика. Данная функция использует инструменты, находящиеся в распоряжении центра SOC, чтобы заполнить пробелы в сигнатурах, предоставляемых на коммерческой или общественной основе. SOC может делиться разработанными сигнатурами с другими центрами SOC.
Разработка и внедрение инструментов Исследование рынка, оценка продукта, разработка прототипа, разработка, интеграция, внедрение и обновления оборудования SOC осуществляется при помощи бесплатного программного обеспечения/программного обеспечения с открытым исходным кодом (FOSS) или при помощи доступных в продаже технологий (COTS). Данная служба подразумевает планирование бюджета, приобретение и регулярное усовершенствование систем SOC. Специалисты, занимающиеся поддержкой данной службы, должны внимательно следить за меняющимся характером угроз и соответствовать требованиям выполняемой миссии.
Разработка и исследование инструментов. Разработка и исследование (R&D) собственных инструментов в случае, когда для выполнения определенной задачи нет подходящих коммерческих инструментов/инструментов с открытым исходным кодом. Диапазон работ в рамках данной задачи простирается от разработки кода, позволяющего решать известные и четко сформулированные проблемы, до решения более сложных проблем, требующих многолетних научных исследований.
Сканирование и оценка
Топология сети. Последовательное и регулярное построение карты сетевой инфраструктуры заказчика, необходимое для более точного понимания размера, формы, компонентного состава и интерфейсов периметра, вручную или при помощи автоматизированных средств. Такие карты обычно создаются по согласованию с заказчиком и передаются другим заинтересованным лицам.
Сканирование уязвимостей. На узел заказчика при помощи автоматизированных и распространяемых инструментов отправляется запрос о статусе уязвимостей и соблюдении политики безопасности. Так же как и в случае с построением карты сетевой инфраструктуры, данная функция позволяет центру SOC лучше разобраться в системе, требующей защиты. SOC может предоставить полученные данные специалистам заказчика в виде отчета или краткого описания. Данная задача выполняется на регулярной основе и является частью конкретной оценки или проверки.
Оценка уязвимостей. Доскональная и открытая проверка состояния безопасности сайта, закрытой системы или системы заказчика, также известна под названием “Blue Teaming.” Специалисты SOC совместно с владельцами системы и системными администраторами осуществляют доскональную проверку архитектуры системы безопасности и выявляют уязвимости посредством сканирования, проверки системной конфигурации, технической документации по системе и проведения опросов. Для выполнения этой задачи может потребоваться использование инструментов для сканирования сети и уязвимостей, а также более инвазивных технологий для проверки конфигурации и статуса системы. Эта проверка позволяет специалистам создать отчет с результатами исследования и предоставить рекомендации по решению выявленных проблем безопасности. Центры SOC используют оценку уязвимостей для расширения области отслеживания и пополнения аналитиками знаний о системе заказчика.
Тестирование на проникновение. Оценка, проводимая при отсутствии сведений или ограниченных сведениях об определенных участках системы заказчика, также известна под названием “Red Teaming.” Специалисты SOC осуществляют имитацию атаки на сегмент сети заказчика с целью определить степень устойчивости системы к настоящей атаке. Эти операции обычно проводятся только после уведомления и с разрешения высокопоставленных руководителей со стороны заказчика и без предупреждения. Используются различные методы проведения атак: переполнение буфера, внедрение SQL-кода и фаззинг входных данных. Красная команда обычно ограничивает цели и ресурсы моделированием определенной ситуации, однако имитация атаки злоумышленника может начаться с фишинга. После завершения операции команда составляет отчет о выявленных проблемах безопасности, так же как и выполнении оценки уязвимостей. Однако тестирование на проникновение ставит перед собой достаточно узкий круг задач, в отличие от работ по оценке уязвимостей, оно не позволяет досконально изучить все аспекты системной конфигурации и составить практические рекомендации. В некоторых случаях специалисты SOC занимаются только координацией действий Красной команды, когда большая часть работ по тестированию выполняется с привлечением третьих лиц. Это делается для того, чтобы убедиться, что специалисты по тестированию не знакомы с системой заказчика и не имеют данных об их уязвимостях.
Аудит и внутренние угрозы
Сбор данных аудита и их распространение. Сбор событий безопасности для последующей их корреляции и проведения анализа. Схема сбора может быть настроена таким образом, чтобы предоставить возможность для распространения данных аудита и их выдачи по требованию заказчика в целях проведения анализа либо расследования, выходящего за рамки задач, поставленных перед SOC. Данная функция предоставляет возможность долгосрочного хранения данных о безопасности с открытым доступом для заказчика.
Создание содержания аудита и управление аудитом. Создание и сборка система управления информационной безопасностью и событиями (SIEM) или содержимого журналов (корреляционные данные, информационные таблицы, отчеты и пр.) с целью дальнейшего анализа результатов аудита заказчиком и обнаружения следов несанкционированных действий. Данная функция поддерживает возможность распространения данных аудита, обеспечивает работу канала необработанных данных и представляет информацию в доступном для заказчика виде.
Поддержка анализа внутренних угроз. Поддержка анализа внутренних угроз и проведение двухэтапного расследования: 1 Обнаружение следов потенциальных внутренних угроз (например, злоупотребление ИТ-ресурсами компании, финансовые махинации, промышленный шпионаж и воровство). SOC также информирует о создавшейся ситуации соответствующие правоохранительные органы. 2. При поддержке правоохранительных органов SOC проводит дальнейший мониторинг, сбор данных и их анализ в целях подтверждения подозрения о несанкционированной активности.
Расследование внутренних угроз. SOC может проводить самостоятельное расследование обнаруженных внутренних угроз, например осуществлять мониторинг деятельности отдельных людей. Но в большинстве случаев SOC работает под управлением другой уполномоченной организации.
Образовательно-информационные мероприятия
Оценка продукта. Тестирование функций обеспечения безопасности указанных продуктов по запросу заказчика. Аналогично мероприятиям по оценке уязвимостей одного или нескольких узлов, настоящее тестирование позволяет провести исчерпывающий анализ определенных сильных и слабых сторон продукта с точки зрения безопасности. Может быть произведено локальное тестирование продуктов вместо удаленной оценки работающих систем или систем на стадии подготовки к выпуску.
Консультации по вопросам безопасности. Предоставление заказчику рекомендаций, выходящих за рамки CND, в области кибербезопасности, ; поддержки новой структуры системы, достижения устойчивости функционирования предприятия, планирования мер по аварийному восстановлению, политики кибербезопасности; предоставление руководств по безопасной настройке, и пр.
Тренинги и повышение информированности. Превентивные образовательно-информационные мероприятия для заказчиков, включающие в себя обучение пользователей, составление бюллетеней и других образовательных материалов, которые смогут помочь разобраться в различных вопросах кибербезопасности. Основная цель - помочь заказчику защититься от основных угроз вроде фишинга/фарминга, лучше защитить свои серверные системы, повысить осведомленность о службах SOC, а также научить правильно сообщать об инцидентах.
Ситуативная осведомленность. Регулярная перекомпоновка информации, получаемой центром SOC, об активах, сетевой инфраструктуре, угрозах, инцидентах и уязвимостях системы заказчика и перенаправление этой информации заказчику. Данная функция выходит за пределы распространения данных службы кибераналитики, позволяя заказчику получить сведения об уровне безопасности и принять эффективное решение на любом уровне. Эта информация может быть предоставлена автоматически через веб сайт SOC, а также при помощи веб портала или по электронной почте.
Распространение информации о тактике, методах и процедурах. Постоянный обмен внутренними разработками центра SOC с заказчиками (партнерами или подведомственными центрами SOC) в оформленном, отредактированном и структурированном виде. Сюда могут быть включены практически все собственные разработки SOC (например, инструменты, службы кибераналитики, отчеты об инцидентах, а также поверхностные наблюдения). Зачастую срабатывает принцип обмена данными на взаимной основе: информация передается между центрами SOC как в прямом, так и в обратном направлении.
Работа со СМИ. Прямое взаимодействие с новостными СМИ. SOC обязуется раскрывать информацию без ущерба для репутации заказчика и не создавая помех для деятельности по предупреждению инцидентов.