Upload
alexey-lukatsky
View
4.812
Download
1
Tags:
Embed Size (px)
Citation preview
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 333/431
Обработка информацииНа стыке обработки инцидентов и артефактов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 334/431
Обработка информации
Обработка инцидентов всегда связана с обработкой информации
Вопросы управления обработкой информацией
Сбор информации
Проверка и подтверждение информации
Категорирование информации
Защита информации
Хранение информации
Уничтожение информации
Раскрытие информации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 335/431
Сбор информации
Какая информация нам нужна?
Откуда берется информация?
Открытые источники или по обмену?
Как обеспечить качество собираемой информации?
И ее целостность
Как распознать ошибки, нестыковки и неточные данные?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 336/431
Как собирать информацию?Интервью
Каков уровень квалификации пользователя?
Каков уровень защиты устройства?
Кто владелец оборудования?
Какие логи доступны?
Какова частота использования?
Как используется устройство?
Где хранилище информации?
Как происходит взаимодействие и с кем?
Какие операторы связи используются?
…
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 337/431
Как и где собирать информацию?Местонахождение устройств, людей, данных
Примененные рабочие, личные или публичные устройства и системы
Компьютерное оборудование (ПК, КПК, принтер, носители информации…)
Компьютерные аксессуары (зарядка, держатели/чехлы, батареи, сумки…)
Могут свидетельствовать о наличии скрытых или спрятанных устройств
Носители информации
Бытовая электроника (автоответчики, мобильные телефоны, копиры, сканеры, фотоаппараты, игровые приставки, USB-плейеры…)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 338/431
Как и где собирать информацию?Местонахождение устройств, людей, данных
Интернет-устройства (USB-модемы, PCMCIA-модемы, ADSL-модемы, маршрутизаторы, Wi-Fi-точки…)
Документы и записи, содержащие информацию о доступе
Книги, руководства, гарантия, коробки от ПО
Свидетельствует о наличии спрятанного или скрываемого ПО
Мусор
Чеки, связанные с приобретением ПО и оборудования
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 339/431
Как и где собирать информацию?Публично доступная информация
Интернет-поиск
Новостные группы
Форумы
Блоги
Чаты
IRC-каналы
Сайты
WHOIS
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 340/431
Как и где собирать информацию?Коммуникации
Электронная почта (в т.ч. и на смартфонах)
SMS (в т.ч. и через компьютер)
Мобильная связь
АОН, автоответчик и голосовая почта
IM и чаты
P2P
Web-сайты
Skype
Контроль звонков на корпоративной АТС или логидомашнего телефона
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 341/431
Как и где собирать информацию?Видеонаблюдение
Корпоративное видеонаблюдение
Ближайшие к объекту видеокамеры других организаций
Web-камеры
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 342/431
Как и где собирать информацию?Мониторинг
Анализ телефонных переговоров на корпоративной АТС
Анализ сетевого трафика
Анализ беспроводного трафика
Включая локализацию беспроводных точек и клиентов
Видеонаблюдение
Микрофоны
Контроль ввода с клавиатуры
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 343/431
Как и где собирать информацию?Другие местонахождения
Системы контроля доступа
С целью определить местонахождение подозреваемого в нужное время в нужном месте
GPS
Местоположение подозреваемого в нужное время в нужном месте (например, iPhone сохраняет местоположение сделанных фотографий)
Диктофоны
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 344/431
Сбор доказательств
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 345/431
Методология сбора доказательств
Подготовка
Документирование инцидента
Проверка политик
Стратегия сбора доказательств
Инициация процесса сбора доказательств
Сбор доказательств
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 346/431
1. Подготовка
Инструментарий
ПО (например, EnCase или Sysinternals)
Оборудование
Создание или проверка наличия политик сбора доказательств для подозреваемых систем
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 347/431
Специализированное ПО EnCase
Разработано для нужд Секретной службы МинФинаСША, ФБР и АНБ
Сейчас предлагается в открытой продаже
Контекстный поиск и анализ информации
FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Mac, RAID…
CD-ROM, DVD-R, Jaz, Zip, IDE, SCSI, магнитооптика
Встроенный макроязык для автоматизации
Анализ файлов без их изменения
Сохранение и восстановление образа диска
Предварительный анализ компьютера (без следов) через параллельный порт или сетевую плату
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 348/431
Специализированное ПО EnCase(окончание)
Поиск стандартных скрытых следов
Swap-файл, «корзина»…
Продвинутая система генерации отчетов
Комментарии и заметки следователя
Логи не анализирует!
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 349/431
2. Документирование
Профиль инцидента
Как был зафиксирован инцидент
Когда он произошел?
Кто или что зафиксировал инцидент?
Какое ПО и железо задействовано?
Кто контакт?
Насколько критичен подозреваемый ресурс?
Дневник сбора доказательств
Фиксируйте все, что вы делаете во время расследования
Фиксация результатов сбора доказательств
Логи и т.п.
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 350/431
3. Проверка политик
У вас есть полномочия для сбора доказательств?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 351/431
4. Стратегия сбора доказательств
Что собираем? Типы данных?
Инструменты и техники для сбора доказательств?
Где хранить результаты сбора доказательств?
Какой доступ нужен? Права администратора?
Типы периферийных устройств
Подключение к сети
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 352/431
Где хранятся данные?
Оперативная память (RAM)
Постоянное запоминающее устройство (ПЗУ)
НЖМД
НГМД
«Флешки», Zip, Jazz, Firewire (IEEE 1394)
Карты памяти (включая PCMCIA)
Оптические носители
Магнитные носители
«Нестандартные» устройства
Смартфоны, iPod (и другие плейеры), Xbox, PSP, USB-часы…
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 353/431
Что надо помнить о носителях данных?
Любые носители данных категорически «не любят»
Потерю питания
Электромагнитное воздействие (например, мониторы)
Высокие и низкие температуры
Повышенную влажность
Воздействие света
Статическое электричество (например, в пластиковых пакетах)
Исследуйте и храните их в надежном месте
Помните, что некоторые устройства могут уходить в спящий режим, после которого заново запрашивать пароль
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 354/431
Что надо помнить о питании?
Многие места хранения/нахождения доказательств требуют постоянного электропитания
В случае его отключения доказательства могут быть потеряны
На ПК рекомендуется осуществить мгновенное отключение системы после чего сделать дубликат системы, который и подвергнуть анализу
Мгновенное отключение можно осуществить выдергиванием питания (убедитесь, что нет ИБП)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 355/431
5. Инициация сбора доказательств
Доверенная загрузка
Методы передачи и хранения
Целостность результатов
Неизменность среды анализа
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 356/431
6. Сбор доказательств
Фиксируйте все действия
Дата, время, история вводимых команд…
Отслеживайте время и дату старта всех команд и инструментов
Для последующего анализа логов
Соберите всю необходимую информацию
Исходя из типа анализируемой системы – ОС, приложение, СУБД, сетевое оборудование, мобильные устройства, принтеры…
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 357/431
Управление отдельными видами инцидентов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 358/431
Где можно найти артефакты?
На персональном компьютере
В локальной вычислительной сети
В Интернет
В электронной почты
В Web
На мобильных устройствах
На неуправляемых устройствах
Анализ исходных кодов
Контент
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 359/431
Сбор доказательств в Интернет
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 360/431
Трекинг IP-адреса
Сервис whois позволяет определить владельца IP-адреса
Он может быть статическим или динамическим (злоумышленник находится в сети провайдера или Интернет-кафе)
Злоумышленник может работать через серию промежуточных прокси-серверов
Злоумышленник может работать через вредоносное ПО, установленное на компьютере ничего неподозревающего пользователя (прямо или через команды боту)
Сервис traceroute позволяет отследить путь до злоумышленника
В т.ч. понять несанкционированное изменение таблиц маршрутизации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 361/431
Сбор доказательств в e-mail
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 362/431
Заголовок электронной почты
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 363/431
Сбор доказательств на ПК
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 364/431
Где искать следы на ПК?
Реестр и кэш (буфер обмена)
Таблицы маршрутизации, ARP кэш, таблица процессов, статистика ядра, соединения
Временные и удаленные файлы
Жесткий диск и другие внешние носители
Открытые файлы, запущенные процессы, файлы автозагрузки
Данные мониторинга и регистрации
Физическая конфигурация и сетевая топология
Архивные и резервные данные/копии
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 365/431
Где искать следы на ПК? (окончание)
Базы данных, электронные таблицы, картинки и документы
Cookies, данные авторегистрации, закладки
Логи (чаты, ICQ и т.п.)
Электронная почта (включая Web-почту)
P2P-приложения
IM-приложения
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 366/431
Файловая система
Файловая система
Разные файловые системы (FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Mac, RAID)
Скрытые данные (swap)
Нераспределенное пространство
Хвосты файлов
Корзина
Особенности
Слабое документирование
Расположение файлов не строго определено
При удалении файлов они не удаляются, а помечаются такими
Динамические связи между файлами (DLL)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 367/431
Сбор доказательств на маршрутизаторе
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 368/431
Расследование на маршрутизаторе
ПК
• Немедленно выключить систему
• Сделать дубликат системы
• Проанализировать дубликат
Маршрутизатор
• Не выключать маршрутизатор
• Выключение удалить все данные
• Анализ должен проводиться на «живой» системе
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 369/431
Что делать и чего не делать?
Что делать?
• Подключитесь к маршрутизатору через консоль
• Сохраните вашу консольную сессию
• Запустить команду show
• Зафиксируйте время реальное и на машрутизаторе
• Зафиксируйте следы инцидента
Чего не делать?
• Не выключать маршрутизатор
• Не подключаться к машрутизатору через сеть (Telnet или SSH)
• Не запускать команды конфигурации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 370/431
Подключение к маршрутизатору
• Всегда фиксируйте все, что вы делаете
• Определите время с помощью команды show clock detail
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 371/431
Команды для анализа
show clock detail
show version
show running-config
show startup-config
show reload
show users/who
Конфигурация и пользователи
show log/debug
show stack : stack state
show context : stack information
show tech-support : incomplete
show processes {cpu, memory}
content of bootflash:crashinfo
Логи, процессы и память
show ip route
show ip ospf {summary, neighbors,
etc)
show ip bgp summary
show cdp neighbors : Cisco
Discovery Protocol
show ip arp
show {ip} interfaces
show tcp brief all
show ip sockets
show ip nat translations verbose
show ip cache flow : Netflow
show ip cef : Cisco Express
Forwarding
show snmp {user, group, sessions}
Сетевая информация
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 372/431
Эскалация инцидента
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 373/431
Эскалация инцидента
Зачем нужна эскалация инцидентов?
Вы не можете справиться с данным инцидентом
Вы не знаете, как сообщить об инциденте целевой аудитории
Вам нужны новые ресурсы
Инцидент не в вашей зоне ответственности
Получена несвязанная с инцидентами информация от важного лица
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 374/431
Докладывать или нет
Многие специалисты боятся докладывать «наверх» о произошедших инцидентах безопасности
Результат доклада зависит от выстроенных до этогоотношений
Не стоит отвлекать руководство по пустякам
Выстройте для себя иерархию инцидентов по возможному ущербу для предприятия или для отдельных руководителей
Мелкие – решать внутри подразделения
Средние – выносить на уровень CISO/CIO
Крупные – выносить на уровень топ-менеджмента
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 375/431
Реагирование на инциденты
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 376/431
Реагирование
Реагирование - действия для защиты от атаки
Должны ли Вы отражать атаку? Где? Когда?
Никакой реакции – обоснованная форма реакции в определенных обстоятельствах
Стоит ли останавливать злоумышленника, если вы его обнаружили?
Все зависит от вашей философии и стратегии!
Защитить и забыть Задержать и
преследовать
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 377/431
Сценарии реагирования
Блокирование атаку
Реконфигурация МСЭ, блокирование порта на коммутаторе, изменение ACL, фильтрация трафика, блокирование команд…
Отключение от сети
Проведение контратаки
Устранение уязвимости и удаление вредоносного ПО
Сообщение в правоохранительные органы
Перенаправление в honeypot/honeynet
Восстановление из резервной копии
Установка патчей и реконфигурация
Перезагрузка (повторная сборка) системы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 379/431
Закрытие инцидента
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 380/431
Закрытие инцидента
Инцидент может быть закрыт по разным причинам
Информация о новых вирусах ничего не дает для анализа
Техническая поддержка со стороны CSIRT больше не требуется
Если судебное дело, связанное с инцидентом не закрыто, то инцидент не закрывается
Если инцидент закрыт, то необходимо уведомить об этом все заинтересованные стороны
Чтобы не было путаницы, недопонимания и неоправданных ожиданий
При появлении новой важной информации инцидент может быть открыт заново или объединен с другим
Если это не продолжение предыдущего расследования, то инцидент лучше создать заново
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 381/431
Стандарты управления инцидентами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 382/431
ISO/IEC TR 18044
ISO/IEC TR 18044 Information security incident management
Принят как ГОСТ Р ИСО/МЭК
Высокоуровневый стандарт
Предварительная информация (исходные данные)
Планирование и подготовка
Эксплуатация системы управления инцидентами
Анализ
Улучшение
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 383/431
Стандарты управления инцидентами
Соответствующие разделы в ГОСТ Р ИСО/МЭК20000-200х, BS 25999, ГОСТ Р ИСО/МЭК 17799:2005
RFC 2350. Expectations for Computer Security Incident Response
ITU-T E.409 Организация по реагированию на инциденты и обработка инцидентов безопасности: Руководство для организаций электросвязи
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 384/431
ГОСТ Р ИСО/МЭК 18044 vs. ITU-T E.409
Событие ИБ
Инцидент ИБ
Ложный сигнал
Событие
Инцидент
Инцидент ИБ
Катастрофа, кризис
ГОСТ Р ИСО/МЭК 18044 ITU-T E.409
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 385/431
ITU-T E.409
Инцидент - событие, которое может привести к явлению или эпизоду, не являющемуся серьезным
ITU-T E.409
Инцидент безопасности – это любое неблагоприятное событие, в результате которого некий аспект безопасности может подвергнуться угрозе
ITU-T E.409
Инцидент безопасности инфокоммуникационныхсетей (ICN) - любое фактическое или предполагаемое неблагоприятное событие в отношении безопасности ICN
ITU-T E.409
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 386/431
Управление инцидентом по E.409
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 387/431
Документы CERT
Defining Incident Management Processes for CSIRTs: A Work in Progress
Handbook for Computer Security Incident Response Teams (CSIRTs)
State of the Practice of Computer Security Incident Response Teams
Incident Management Capability Metrics
Incident Management Mission Diagnostic Method
Staffing Your Computer Security Incident Response Team – What Basic Skills Are Needed?
Action List for Developing a Computer Security Incident Response Team (CSIRT)
http://www.cert.org/csirts/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 388/431
Другие стандарты
NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
NIST SP 800-61 Computer Security Incident Handling Guide
NIST SP 800-3 Establishing a Computer Incident Response Capability (CSIRT)
ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management
NFPA 1600. Standard on Disaster/Emergency Management and Business Continuity Programs
National Fire Protection Association – 25 стандартов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 389/431
SOC это российский CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 390/431
Аномалия: червь или еще что-то?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 391/431
Источник: Cisco Systems, Inc.
Аномалия: DoS или еще что-то?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 392/431
Аномалия: червь или еще что-то?
Источник: www.mrtg.org
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 393/431
Расследование
причин пика
Идентифицированная причина
временной неработоспособностиИсточник: Университет Висконсина
Аномалия: DoS или еще что-то?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 394/431
Источник: http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
Пик
полосы
пропус-
кания
Аномалия для запросов DNS
Пик RTT
Аномалия: DoS или еще что-то?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 395/431
Разные консоли управления
МСЭ (firewall)
VPN
Anti-virus
Network IDS/IPS
Host IDS/IPS
Поиск уязвимостей
Управление патчами
Нарушения политики
Маршрутизаторы
Коммутаторы
ОС, СУБД, приложения
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 396/431
Точки контроля
Крупная сеть – множество СЗИ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 397/431
Большое число событий
Огромный поток информации
Для оператора связи
> 2500 событий в секунду
1375 Мб в час
32,2 Гб в день
Для крупной компании
500 событий в секунду
274,7 Мб в час
6,43 Гб в день
Только для одного МСЭ (!)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 398/431
Наша цель и что делать при атаке?!
Большинство отделов защиты информации
Не имеют описанных политик безопасности
Не имеют описанных процедур безопасности
Не тренируются для использования инструментов и процедур
Учатся «на ходу»
Не взаимодействуют с «контрагентами»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 399/431
Что делает SOC?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 400/431
От разрозненных данных к инцидентам
Полезная информация
Netflow
Firewall Log
SNMP
Switch Log
Server Log
AV Alert
App Log
VA Scanner
RMON
Packet
Capture
IDS Event
...
ДАННЫЕ
Без SOC не
обойтись!
ИНФОРМАЦИЯ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 401/431
Мониторинг безопасности в режиме 24x7x365 с помощью систем Security Information Management System (SIMS)
Отражение угроз в реальном режиме времени
Сканирование уязвимостей
Анализ и корреляция собираемых данных с целью управления инцидентами безопасности
Централизованное управление средствами защиты
Генерация периодических и в реальном времени отчетов о состоянии защищенности и результатах аудита
Стандартные функции SOC
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 402/431
Событие: Сетевое
сканирование ICMP
Событие:
построение/разрыв/разрешено IP-соединение
Событие:
WWW IIS .ida – Переполнение
сервиса индексирования
1
3
2
Графическое представление временной последовательности вектора атаки
Пример SOC
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 403/431
Пример SOC (продолжение)
Две возможные точки подавления, в
которых мы можем действовать
Выбор:
1. Устройство подавления2. Предпочтительная
команда:Block host
Block connection
Shun
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 404/431
Пример SOC (продолжение)
От отчетов высокого уровня для быстрого и простого чтения…
…до деталей конкретного исходного сообщения, полученного консолью
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 405/431
Вирусы
не вылечены
Пример SOC (продолжение)
В моей сети
найдены
вирусы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 406/431
Пример SOC (окончание)
Не соответствует политике безопасности
Общая ситуация с соответствием политике ИБ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 407/431
Обнаружение аномалий
Управление изменениями (конфигурации, патчи и т.д.)
Security Dashboard
Управление рисками
Сбор и обеспечение доказательств несанкционированной активности
Контроль информационных ресурсов
Интеграция c Service Desk (генерация ticket)
Расширенные функции SOC
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 408/431
Пример SOC
Пред-вирусная
активностьФактическая
атака
вируса
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 409/431
Архитектура SOC
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 410/431
Эволюция SOC
Сложность систем защиты
Управление:
Инцидент, Проблема,
Изменение
Отчеты - периодично
Контроль SLA
Построение эталона
Процесс и инструментарий
Внедрение контроля защиты
Управление инцидентами
Расширенные
функции
Анализ и
корреляция
Эксперты
безопасности
Функции SOC
Технологии +
процессы +
интеграция с
Service Desk
(ITIL)
Аудит
соответствия
Устранение риска
Улучшенный
анализ
Отчеты периодически и в
реальном времени –
Инциденты,
соответствие, SLA
Защищенный портал
Политика безопасности
Планирование управления
рисками
Установление SLAБизнес-активы
Базовые
функции
Оценка
уязвимостей
Видимость
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 411/431
Чужой SOC или свой?
Анализ и корреляция для
управления инцидентамиTools
«Чужой
» SOC
Переход
ный SOC
«Свой»
SOC
Аутсорсинг Инсорсинг
Процессы по ITIL и COBiT для
управления рискамиПроцессы
Анализ рисков в
режиме 24x7Security Experts
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 412/431
SOC Вымпелкома
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 413/431
SOC Вымпелкома
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 414/431
SOC Вымпелкома
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 415/431
Как сделать SOCуспешным
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 416/431
Этапы процесса управления ИБ
Какие цели мы хотим достичь?
Политика
Что надо сделать для достижения целей?
Процесс
Кто должен это делать, когда и где?
Процедуры
Как это делать?
Инструкции
С помощью чего это делать?
Люди и инструменты
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 417/431
Максимальное покрытие
Получать данные из всех возможных источников
Агрегировать данные для последующего анализа
Корреляция
Максимальное покрытие
Встроенные и пользовательские правила
Подключение собственных источников
Ускорение
Быстрое реагирование
«Робот-консультант» (помощник)
Слагаемые успеха: техника
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 418/431
Подготовка
Подготовка сети
Создание инструментария
Тестирование
Подготовка процедур
Тренинг команды
SLA
Идентификация
Что вы знаете об атаках?
Какие средства вы
используете?
Как вы взаимодействуете?
Классификация
Что это за атака?
Нарушение SLA?Отслеживание
Откуда исходит атака?
Где и как атаки влияют на сеть?
Реагирование
Как реагировать на атаки?
Как это может повлиять на
сеть?
Разбор полетов
Что было сделано?
Что еще можно было
сделать?
Какие уроки можно извлечь в
будущем?
Слагаемые успеха: процессы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 419/431
Квалифицированные специалисты
Регулярные тренинги и ролевые игры
Взаимодействие с
Другими подразделениями
Операторами связи
Правоохранительными структурами
Производителями
Круглосуточная работа
Документирование
Извлечение уроков
Слагаемые успеха: люди
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 420/431
Причины неудач
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 421/431
Причины неудач
Низкий уровень зрелости
Люди «не готовы»
Люди – не автоматы и не всегда следуют «лучшим практикам»
Специалист SOC мог не инициировать разбор инцидента, потому что он может повлиять на его друга или у него «нет времени» или не собрана полная информация
Нет ресурсов для выполнения работ
Не установлены цели или они не приоритезированы
Попытка «съесть слона» целиком
Дело не доведено до конца
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 422/431
Причины неудач
Не хватает людей для внедрения и управления SOC
Одним-двумя людьми проблему не решить
Отсутствие четких инструкций
Отсутствие владельца процесса
Очень важно для безопасности, которая пересекает границы многих подразделений в компании
Концентрация на технологиях в ущерб процессам и людям
Отсутствие технологической инфраструктуры безопасности
МСЭ, антивирусы, ID&PS и т.д.
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 423/431
Причины неудач
Отсутствие взаимодействия с другими участниками процесса управления ИБ
Включая внутренние подразделения (ИТ, HR и т.д.)
Психология
Единая точка контакта, как стена, отделяет ИТ от пользователя и он не прощает то, что простилось бы при личном контакте
Формализация требует более высокого качества обслуживания
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 424/431
Заключение
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 425/431
100% исключение инцидентов
Инциденты у вас уже были, есть и будут в будущем!
Исключить инциденты на 100% невозможно
Слишком дорого и никому не нужно
Если вы будете стремиться к 100%
Первый удачный инцидент приведет вас в ступор
Ваши затраты превысят все преимущества
Вы поставите крест на своей карьере профессионала
Необходимо создать условия, в которых вероятность инцидентов снижается, наносимый ущерб минимизируется, число инцидентов сводится к определенному минимуму, а реакция на свершившиеся инциденты будет предсказуемой
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 426/431
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 427/431
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 428/431
Версия 1.1
Аналогия с автомобилем
Интеллект-карта курса
Вопросы, которые заставляют нас задуматься
Пошаговая процедура SANS
Систематизация материала и более логичные переходы между темами
Понятие «информационная безопасность»
Примеры инцидентов
Пример отчета об инциденте
Стратегии управления инцидентами
Детальный план создания CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 429/431
Версия 1.1
Сколько человек надо в CSIRT?
Оборудование CSIRT
Политики CSIRT
Как общаться с неизвестным абонентом?
Показатели качества для CSIRT целиком
Реагирование на инциденты
Модели существования CSIRT
Бизнес-модели CSIRT
Бизнес-план CSIRT руководству
Управление проектом создания CSIRT в MS Project
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 430/431
Версия 1.1
Статистика опроса по различным CSIRT
Стоимость инцидента
Состав CSIRT
ПО трекинга инцидентов
Приоритезация инцидентов
Где можно собирать доказательства?
Как собирать информацию?
Где хранятся доказательства?
Где искать следы на ПК?
Что надо помнить о носителях данных?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 431/431
Версия 1.1
Что надо помнить о питании?
Управление отдельными видами инцидентов
ПК, маршрутизатор Cisco, Интернет, e-mail