Измерение эффективности SOC. Время обнаружения и отражения атаки

В продолжение предыдущих двух статей об использовании SOC для контроля безопасности бизнес-процессов и зоне покрытия SOC как метрике эффективности, стоит обратить внимание на такой немаловажный фактор, как время реакции SOC на произошедший инцидент. И важно не только время реагирования, но и время отражения атаки. 

Измерить можно тем же методом, что и зону покрытия: провести пентест своими либо наемными силами. Делим команды на Red Team и SOC. Первые - не скрываются. Вторые - бдят и отражают атаки. Обе команды до старта не знают о местонахождении противника.

Обе команды предоставляют отчеты о проведенной работе. При этом фиксируют время (синхронизация команд с одним NTP-сервером и один часовой пояс в отчете).

Измерение эффективности SOC. Зона покрытия

Как уже писал в предыдущей статье, во вторник 17.12.2019 я выступал на конференции "Ведомостей" с докладом на тему "Технологии настоящего и будущего в центрах мониторинга ИБ (SOC)". 

Выступление условно можно было поделить на 3 части: 

1. Вводная.
2. Реализация контроля безопасности бизнес-процессов с помощью SOC.
3. Измерение эффективности SOC.

Пункты 1 и 2 я описал в предыдущей статье, на которую ведет ссылка в списке. Здесь подробнее остановлюсь на том, как можно измерить зону покрытия SOC. 

Логично, что SOC должен покрывать все 100% защищаемой инфраструктуры, будь то IT-, OT- или иные технологии. Но как это проверить, особенно если нет уверенности в том, что IT/OT-подразделения сами владеют всей информацией?

SOC для безопасности инфраструктуры и бизнес-процессов

Во вторник 17.12.2019 я выступал на конференции "Ведомостей" с докладом на тему "Технологии настоящего и будущего в центрах мониторинга ИБ (SOC)". В отличие от многих других моих выступлений, здесь необходимо было сфокусироваться не на технической стороне вопроса, а на взаимосвязи информационной безопасности с бизнесом. При этом, конечно, донести возможность технической реализации того или иного действия. 

Выступление условно можно было поделить на 3 части: 

1. Вводная.
2. Реализация контролей безопасности бизнес-процессов с помощью SOC.
3. Измерение эффективности SOC.

Поскольку регламент давал на все не более 10 минут, пришлось постараться вложить информацию в минимум слайдов и слов. Поэтому осталось и для блога. Опишу 1 и 2 части.

У многих сложилось мнение, что область применения SOC - исключительно инфраструктура, и что-то, полезнее антивируса либо событий операционной системы, мониторить не получится. Отчасти это правда, поскольку SIEM - технологическое ядро SOC - имеет готовые интеграционные модули (коннекторы, коллекторы и т. п. вендорспецифичные термины) в основном для сбора информации с операционных систем, сетевых сервисов и средств защиты информации. И это объяснимо. Приведу в качестве примера слайд из своей презентации.

Если обратить внимание на рисунок и попытаться подсчитать разнообразие возможных источников на каждом слое, то можно заметить, что на уровне приложений их количество резко возрастет.

Основы сетевых технологий. Broadcast-unicast-multicast-anycast

В классе 30 человек. 
Учитель ведет перекличку:
- Абрамов Валера!
- Я!
Протокол переклички основан на широковещательных (broadcast) запросах. Класс очерчивает пределы широковещательного домена. Ответ тоже носит широковещательный характер, поэтому диалог слышат все.

- Забирай тетрадку.
Валера идет за тетрадкой к столу учителя, забирает ее, уносит за свое место и читает. 
Это unicast.

Учитель замечает, что один из учеников занимается ерундой, и окликает его:
- Саша!
Поскольку в классе три Саши, все они поворачиваются к учителю. 
Это multicast запрос к тем, кто отзывается на имя Саша.

В классе включается громкоговоритель, и из учительской транслируется:
- Сергей Смирнов, подойди в кабинет директора.
В школе 30 аудиторий по 30 человек, в каждой пятой аудитории есть Сергей Смирнов. 
В итоге, 6 школьников устремляются в кабинет директора в ответ на anycast запрос.

Все персонажи вымышлены, любое совпадение с реальными людьми - случайность.

Основы сетевых технологий. Incapsulation

Все в курсе, как перевозят через границу что-то очень небольшое, дорогое и запрещённое.

Это инкапсуляция.

Основы сетевой безопасности. Network Segmentation

Если вы едете в новом поезде метро, который можно пройти от начала до конца, и в него заходит бомж - потенциально он может провонять весь состав. В старых - только один вагон.
Так же и с сегментацией сети.

Основы сетевых технологий. Unicast vs broadcast

Открываешь бутылку, пьешь минералку - это unicast.
Открываешь бутылку, поливаешь голову - это broadcast. При этом ловишь ртом воду, чтобы отхлебнуть - снифаешь broadcast.

Противостояние-2019 глазами защитника и SOC

Наша команда "You Shall Not Pass" в этом году уже четвёртый раз принимает участие в "Противостоянии", которое проводится в рамках конференции Positive Hack Days. Фактически, единственные, кто в роли защитников играет в эту игру с самого начала её существования. В этом году мы выступили в составе двух команд: телеком-защита и SOC. Обе команды назывались "You Shall Not Pass".

Наш SOC на PHDays мониторил инфраструктуру двух команд: собственной и клиента. В реальной жизни все происходит аналогично: у нашей компании есть корпоративный SOC, который обеспечивает защиту своей инфраструктуры, и коммерческий, предоставляющий услуги SOC внешним клиентам. По сути, для нас Противостояние каждый год является своего рода киберучениями, где мы тестируем свои методы защиты от атак, которые на тестовой среде не воспроизведешь, а на продуктиве - слишком рискованно. Поэтому псевдопродуктив площадки очень в этом помогает.

Фишинг в реальной жизни. Не тот МФЦ

В последнее время довольно часто приходят фишинговые письма корпоративным пользователям и владельцам личных электронных почтовых ящиков. Недавно мне довелось увидеть фишинг, который выполняется в реальной жизни. 

Для того, чтобы привлечь внимание и завоевать доверие получателя, рассылку провела организация с сокращенным названием "МФЦ". Но это не "Многофункциональный Центр", а "Метрологический Функциональный Центр".