Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Solar JSOC – опыт построения коммерческого SOC

Ростелеком-СоларИнформационная безопасностьАнализ и проектирование системSaaS / S+S
Эта статья открывает цикл публикаций, посвященных функционированию центра по мониторингу и реагированию на инциденты информационной безопасности – Security Operations Center (SOC). В них мы будем рассказывать о том, что надо учитывать при создании SOC, о процессе подготовки инженеров мониторинга, регистрации инцидентов и практических кейсах, с которыми сталкивается Solar JSOC.

Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.

Зачем нужен SOC


Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.

В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:

  • Потери экономики РФ от киберпреступности за 2015 год оцениваются в 123,5 млрд рублей.
  • 60% российских компаний отметили рост числа киберинцидентов на 75%, а размера ущерба — в два раза.

Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:

  • Двукратный рост количества инцидентов информационной безопасности в первом квартале 2016 года по отношению к аналогичному периоду 2015 года.
  • Значительный рост инцидентов, связанных с утечками конфиденциальной информации.
  • Увеличение критичных инцидентов с 26% до 32% по отношению к общему скоупу.
  • Рост числа различных кибергруппировок, работающих по известным схемам мошенничества.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры13.1K
Комментарии 11

Доступность JSOC: показатели и измерение

Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Мы продолжаем серию материалов, посвященных Security Operations Center, и представляем вашему вниманию второй выпуск.

Сегодняшняя статья посвящена «магическим девяткам» доступности и готовности сервисов. Мы расскажем, из чего складываются сервисные показатели облачного SOC с точки зрения «железа» и ПО, какими средствами они контролируются в Solar JSOC.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры3.4K
Комментарии 0

ПРАВИЛьная кухня

Ростелеком-СоларИнформационная безопасностьАнализ и проектирование системSaaS / S+S
Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center.

Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь, архитектура корреляционных правил в SIEM-системе, а также сопутствующие листы, тренды, скрипты, настройки коннекторов. В статье я расскажу про весь путь обработки исходных логов, начиная с обработки событий коннекторами SIEM-системы и заканчивая использованием этих событий в корреляционных правилах и дальнейшем жизненном цикле уже инцидентного срабатывания.


Читать дальше →
Всего голосов 23: ↑20 и ↓3 +17
Просмотры8.7K
Комментарии 6

История одного расследования или как DLP-система выявила целенаправленную атаку

Ростелеком-СоларИнформационная безопасность
Аналитики Solar JSOC и Solar Dozor в своих статьях часто говорят о том, что даже все многообразие средств защиты, существующих на рынке, не защитит компанию от атаки, если она рассматривает данные каждой системы в отдельности. Чаще всего атаку, если она не совсем примитивная, можно выявить только сведя воедино данные с различных источников.

Сегодня мы хотим рассказать об очередном примере, подтверждающем эту истину. Под катом – история одной атаки, которая едва не прошла незамеченной.


Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры12.7K
Комментарии 19

Один квартал из жизни SOC. Три инцидента без купюр

Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Для меня, как аналитика, самые полезные и интересные доклады и статьи – те, которые освещают практические аспекты информационной безопасности и дают конкретные примеры инцидентов и методов их выявления и расследования. Поэтому сегодняшняя статья посвящена нескольким интересным кейсам, с которыми мы в Solar JSOC сталкивались за последнее время.
Читать дальше →
Всего голосов 34: ↑32 и ↓2 +30
Просмотры11.9K
Комментарии 7

SOC for beginners. Задачи SOC: мониторинг

Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Мы продолжаем рассказывать о буднях Security Operations Center – о реагировании на массовые кибератаки, любопытных кейсах у заказчиков и правилах корреляции событий, позволяющих нам детектировать атаки на заказчиков и пр.

Сегодня мы хотим открыть новый цикл статей, задача которого – продемонстрировать, с какими задачами и трудностями сталкиваются все начинающие (и не очень) SOCостроители, и главное – поделиться нашим опытом по их решению.


Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры18.5K
Комментарии 0

SOC for beginners. Задачи SOC: контроль защищенности

Ростелеком-СоларИнформационная безопасностьIT-инфраструктураSaaS / S+S
Продолжаем цикл наших статей о центрах мониторинга кибератак для начинающих. В прошлой статье мы говорили о Security Monitoring, инструментах SIEM и Use Case.

Термин Security Operations Center у многих ассоциируется исключительно с мониторингом инцидентов. Многим сервис-провайдерам это, в принципе, на руку, поэтому мало кто говорит о том, что мониторинг имеет ряд серьезных ограничения в плане защиты от кибератак.

В этой статье мы на примерах продемонстрируем слабые места мониторинга инцидентов ИБ, расскажем, что с этим делать, и в конце, как обычно, дадим несколько практических рекомендаций на тему того, как провести аудит защищенности инфраструктуры своими силами.


Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Просмотры10.4K
Комментарии 4

SOC for beginners. Глава 3. Использование внешних источников данных об угрозах для Security Operation Center

Ростелеком-СоларИнформационная безопасностьIT-инфраструктураSaaS / S+SУправление проектами
Tutorial
В предыдущих статьях «SOC for beginners» мы рассказали, как устроен и как организовать базовый мониторинг инцидентов и контроль защищенности инфраструктуры. Сегодня речь пойдет о Threat Intelligence — использовании внешних источников данных об угрозах.

При всей кажущейся простоте, запуск работы с Threat Intelligence — чуть ли не самый длительный и болезненный процесс. Исключение, наверное, составляют только те случаи, когда у вас на рабочих станциях эталонные образы ОС с включенным Application Control, пользователи — без прав администратора, а доступ в интернет — исключительно по белым спискам. К сожалению, мы за все время работы таких компаний пока не встречали. В связи с этим все интересующиеся темой Threat Intelligence – добро пожаловать под кат.


Читать дальше →
Всего голосов 24: ↑23 и ↓1 +22
Просмотры7.8K
Комментарии 4

DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки

Ростелеком-СоларИнформационная безопасностьАнтивирусная защитаSaaS / S+S
Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.

Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:

  1. Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
  2. Пользователи обнаруживали, что их учетная запись заблокирована.
  3. Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.


Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры14.6K
Комментарии 11

SOC for beginners. Как организовать мониторинг инцидентов и реагирование на атаки в режиме 24х7

Ростелеком-СоларИнформационная безопасностьSaaS / S+SУправление проектамиУправление персоналом
Продолжаем цикл наших статей «SOC for beginners». В прошлый раз мы говорили о том, как внедрить в компании Threat Intelligence и не пожалеть. Сегодня хотелось бы поговорить о том, как организовать процессы, чтобы обеспечить непрерывный мониторинг инцидентов и оперативное реагирование на атаки.

В первом полугодии 2017 г. совокупный среднесуточный поток событий ИБ, обрабатываемых SIEM-системами и используемых Solar JSOC для оказания сервиса, составлял 6,156 миллиардов. Событий с подозрением на инцидент – в среднем около 960 в сутки. Каждый шестой инцидент – критичный. При этом для наших клиентов, в числе которых «Тинькофф Банк», «СТС Медиа» или «Почта Банк», вопрос оперативности информирования об атаке и получения рекомендаций по противодействию стоит очень остро.

Мы решили рассказать, как мы решали эту задачу, с какими проблемами столкнулись, и какой метод организации работы в итоге используем.


Читать дальше →
Всего голосов 33: ↑33 и ↓0 +33
Просмотры12K
Комментарии 4

SOC for beginners. 3 мифа об автоматизации и искусственном интеллекте в Security Operations Center

Ростелеком-СоларИнформационная безопасностьIT-инфраструктураSaaS / S+SУправление проектами
В последнее время (и тематический SOC-форум не стал исключением) все чаще можно слышать заявления, что люди в процессах SOC вторичны и технологии в состоянии заменить большинство из них — «Смерть Tier-1 аналитиков», «Искусственный интеллект, победивший самого умного пианиста/филолога/кандидата естественных наук», «Автоматические обучаемые правила» и вот это все. Наш же опыт подсказывает, что до власти SkyNet еще далеко, и недооценивать роль человека даже в базовых процессах SOC пока не стоит.

Сегодня хотелось бы разобраться, где правда, а где неистовый маркетинг, и заодно развенчать несколько мифов о возможностях искусственного интеллекта. Интересующиеся и желающие подискутировать — добро пожаловать под кат.


Читать дальше →
Всего голосов 23: ↑21 и ↓2 +19
Просмотры5.9K
Комментарии 4

«Не влезай, убьет!» или вся правда о безопасности АСУ ТП

Ростелеком-СоларИнформационная безопасностьПромышленное программирование
Больша́я часть наших заказчиков — это промышленные и производственные компании. Каким бы крупным и значимым ни был фронт-офис и корпоративная сеть подобных компаний, основной их бизнес — непосредственно производство, а также связанные с ним задачи и процессы. И зачастую, решая с заказчиками задачи мониторинга и реагирования на кибератаки, мы начинаем с корпоративной сети и периметра, а в итоге приходим к закрытым сетям и сегментам производственных и технологических сетей.

Мы решили собрать наш опыт защиты АСУ ТП и рассказать о самых частых проблемах и популярных мифах о безопасности в данной области.

Читать дальше →
Всего голосов 40: ↑40 и ↓0 +40
Просмотры17.5K
Комментарии 28

«Не влезай, убьет!» или вся правда о безопасности АСУ ТП. Часть 2

Ростелеком-СоларИнформационная безопасностьПромышленное программирование
Где-то благодаря самостоятельной инициативе организации, где-то – вследствие активных действий государства в части регулирования вопросов защиты АСУ ТП и в целом критических инфраструктур РФ, в большинстве компаний на текущий момент запущен, по крайней мере, один из процессов:

  • Анализ текущего среза состояния ИБ в АСУ ТП (аудит).
  • Проектирование и построение соответствующих систем защиты АСУ ТП.
  • Либо в дополнение к этому – построение или модернизация непосредственно самих АСУ ТП с учетом соответствующих требований безопасности.

Вне зависимости от движения по этим этапам, на стороне Заказчика могут быть проведены мероприятия, позволяющие несколько повысить защищенность, и при этом не требующие больших затрат. Например, настройка и использование аутентификации там, где она предусмотрена, но не используется, и где её использование не повлияет на технологический процесс.

Читать дальше →
Всего голосов 29: ↑28 и ↓1 +27
Просмотры8.4K
Комментарии 13

SOC — это люди. Как собрать команду в условиях кадрового голода

Ростелеком-СоларИнформационная безопасностьУчебный процесс в ITУправление персоналомКарьера в IT-индустрии
Говорят, в 70-х годах Геннадий Зайцев, первый президент легендарного Ленинградского рок-клуба, так сформулировал принцип отбора музыкантов: «Беглость пальцев — дело наживное. Был бы человек хороший».

Возможно, если бы мы с Геннадием Борисовичем решили за рюмкой чего-нибудь горячительного пожаловаться друг другу на сложности в подборе кадров, то обнаружили бы много общих моментов. Когда мы собирали первую команду Solar JSOC, рынка сервисов мониторинга и противодействия кибератакам фактически еще не существовало, следовательно, не было ни готовых специалистов под эти задачи, ни даже четких критериев поиска. Нам предстояло собрать команду уникумов, но до этого — много раз пробовать новое, ошибаться и снова пробовать. Именно про команду сегодня и поговорим: как это было в самом начале и к чему мы пришли в результате.


Читать дальше →
Всего голосов 35: ↑33 и ↓2 +31
Просмотры12.8K
Комментарии 6

SOC – это люди. Качаем экспу или как стать аналитиком 20 уровня

Ростелеком-СоларИнформационная безопасностьУчебный процесс в ITУправление персоналомКарьера в IT-индустрии
В предыдущей статье речь шла о поиске и обучении инженеров для первой линии центра мониторинга и реагирования на кибератаки. Сегодня мы поговорим о поиске и подготовке кадров для второй линии — аналитиков, которые занимаются расследованием нетиповых инцидентов и работой с контентом SIEM-системы, а также инженеров эксплуатации СЗИ, отвечающих за настройку средств защиты, анализ атак и разработку кастомных сигнатур.

Если спросить, какие требования мы предъявляем к кандидатам, ответ может показаться очень банальным: определенные технические компетенции, аналитический склад ума, внимательность… Однако как проверить эти качества, на что опираться, чтобы свести к нулю влияние субъективной оценки? Рассказываем, на что мы обращаем внимание и какие задания даем кандидатам.

Читать дальше →
Всего голосов 28: ↑27 и ↓1 +26
Просмотры11.5K
Комментарии 4

Майнеры пришли на смену шифровальщикам

Ростелеком-СоларИнформационная безопасностьSaaS / S+SИсследования и прогнозы в ITЧитальный зал
Мы в Solar JSOC на постоянной основе собираем данные о событиях и инцидентах информационной безопасности в инфраструктурах заказчиков. На базе этой информации мы раз в полгода делаем аналитику, которая демонстрирует, как меняются атаки на российские организации. Сегодня мы собрали для вас самые интересные тренды второго полугодия 2017 г.


Читать дальше →
Всего голосов 25: ↑24 и ↓1 +23
Просмотры5.6K
Комментарии 8

SOC for intermediate. Разбираемся в том, что защищаем, или как провести инвентаризацию инфраструктуры

Ростелеком-СоларИнформационная безопасностьIT-инфраструктураSaaS / S+SУправление проектами
И снова всем привет. Цикл «SOC for …» продолжает свое движение и развитие. Первый слой внутренней кухни центров мониторинга и реагирования на инциденты мы уже успели осветить в предыдущих статьях, поэтому попробуем понемногу пойти вглубь, к техническим подробностям и более тонким проблемам.

Мы уже несколько раз косвенно касались темы управления активами: и в статье про контроль защищенности, и в вопросах автоматизации и искусственного интеллекта в SOC. Очевидно, что без инвентаризации инфраструктуры заказчика центр мониторинга не сможет его защищать. При этом составить ее детальное описание отнюдь не тривиальная задача. И главное — через пару месяцев оно снова не актуально: одни хосты исчезли, другие появились, возникли новые сервисы или системы. Но защита инфраструктуры — процесс непрерывный, и SOC не может притормозить свою деятельность до получения актуальной информации об активах заказчика. Напомню, качество работы Solar JSOC регулируется не абстрактными обещаниями, а вполне конкретным SLA, за нарушением которого следуют различные небесные кары. Как выкрутиться в такой ситуации и не потерять в качестве оказываемого сервиса?


Читать дальше →
Всего голосов 31: ↑31 и ↓0 +31
Просмотры5.8K
Комментарии 0

Solar JSOC Forensics: дело о майнинге на 32-х несуществующих гипервизорах

Ростелеком-СоларИнформационная безопасностьIT-инфраструктура
Последний год можно считать расцветом массового майнинга криптовалют. Ровно год назад этот хайп достиг пика, и цены на видеокарты в магазинах взлетели. Затем алгоритмы майнинга портировали в браузеры, и появился знаменитый сервис Сoinhive. Даже недавнее падение курса основных криптовалют не сильно затормозило процесс. Естественно, злоумышленники не только следили за этим явлением, но принимали в нем активное участие.

Можно по-разному относиться к самим криптовалютам и токенам, однако каждый безопасник негативно относится к майнингу, когда он производится несанкционированно и на оборудовании предприятия. Мы фиксировали и расследовали множество инцидентов, когда внешние нарушители распространяют майнеры в нагрузку к основному модулю вредоносного ПО, скрывают его под именами системных процессов (например, C:\Windows\Sys\taskmgr.exe), а иногда бывали случаи, когда распространение шло за счет сетевых эксплойтов, Psexec-ов и их аналогов, и разумеется, вредоносного Javascript.

Но, кроме нарушителя внешнего, бывает нарушитель внутренний. И чаще всего он хорошо знает, что делает и как скрыть следы так, чтобы остаться безнаказанным. Один такой случай нас попросили расследовать.

Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Просмотры6K
Комментарии 3

Patch Tuesday: критически важные патчи, которые вы могли пропустить

Ростелеком-СоларИнформационная безопасностьInternet ExplorerIT-инфраструктура
Надеемся, что очередной выходной посреди недели вас не расслабил и вы внимательно следили за «вторником обновлений», который фактически начинается в 9-10 вечера по Москве. Если же парад Победы и поездка на дачу немного выбили вас из рабочего ритма, то добро пожаловать под кат. Вендоры выкатили несколько важных патчей, закрывающих действительно серьезные уязвимости, так что рекомендуем обратить внимание.



Само название Patch Tuesday придумали в Microsoft, поэтому с них и начнем.

В Microsoft Exchange устранены сразу 5 уязвимостей, одна из которых — CVE-2018-8154 — особенно выделяется: злоумышленнику достаточно отправить на почтовый сервер MS Exchange специальным образом созданное письмо, чтобы на сервере выполнился код с привилегиями уровня SYSTEM.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры9.4K
Комментарии 2

SOC — это люди: курсы переподготовки джедаев

Ростелеком-СоларИнформационная безопасностьУчебный процесс в ITУправление персоналомКарьера в IT-индустрии
Мы уже некоторое время рассказываем о кадровых задачах и модели развития сотрудников в Solar JSOC. Наверняка вам удалось прочитать статью о том, как студенту третьего курса попасть в центр мониторинга и реагирования, или как инженеру прокачать опыт для вертикального движения в структуре Solar JSOC (из первой линии во вторую). Не за горами материалы о дальнейшем вертикальном развитии аналитиков и о том, как сервис-менеджер может превратиться в полноценного CISO. Но пока хотелось бы поговорить о другом.

Рыба всегда ищет, где глубже, а человек — где лучше. Это расхожее утверждение довольно четко отражает стремления сотрудников и кандидатов. Только слово «лучше» для каждого из них имеет свое значение. Отнюдь не всегда оно связано с финансовыми условиями, грейдами/малиновыми штанами или временем в пути от дома до офиса.

Часто бывает, что сотрудник просто устал от текущих задач и стремится не столько «прокачать» опыт, т.е. заниматься тем же, но глубже, сколько найти для себя новые вызовы в смежных направлениях. В таких случаях мы всячески стараемся помочь ему обрести новое призвание и получить не «вертикальное», а «горизонтальное» развитие внутри Solar JSOC. Сложность лишь в том, чтобы не упустить этот момент, а также дать человеку все необходимое «снаряжение» для покорения новых вершин.

Вот о нескольких таких случаях мы и попробуем рассказать.


Читать дальше →
Всего голосов 27: ↑25 и ↓2 +23
Просмотры4.9K
Комментарии 0
1