Embed Size (px)
Citation preview
Опыт Сбербанка в построении SOC
Качалин Алексейисполнительный директор Центра киберзащиты Сбербанка
2
Объект защиты и масштабы угроз
12 территориальных банков
50+ значимых дочерних зависимых организаций
17 000+ офисов обслуживания клиентов
350 000+ автоматизированных рабочих мест
75 000+ устройств самообслуживания
35 000+ серверов
25 000+ мобильных устройств
1 200+ автоматизированных систем
ЦК СЦИБ СПб
ОЦИБЦК СЦИБ Самара
ЦК СЦИБ ЕкатеринбургЦК СЦИБ Новосибирск
3
Объект защиты и масштабы угроз
12 территориальных банков
50+ значимых дочерних зависимых организаций
17 000+ офисов обслуживания клиентов
350 000+ автоматизированных рабочих мест
75 000+ устройств самообслуживания
35 000+ серверов
25 000+ мобильных устройств
1 200+ автоматизированных систем
ЦК СЦИБ СПб
ОЦИБЦК СЦИБ Самара
ЦК СЦИБ ЕкатеринбургЦК СЦИБ Новосибирск
3,2 млрд событий безопасностиДо 200 подозрений на инциденты
Ежедневно (в среднем):
До 100 угроз
INCIDENT RESPONSEPLATFORM
Внедрение Системы реагирования на инциденты КБ
THREAT INTELLIGENCE PLATFORM
Внедрение Системы аналитики киберугроз
PROCESSES
Разработаны и внедрены процессы SOC
REPORTING SYSTEM(Sit.Awareness)
Внедрена Система отчётности
SIEM IBM QRadar
Внедрение/апгрейд Системы управления событиями безопасности
Создание ядра SOC
TICKETING SYSTEM
Внедрена Система управления инцидентами КБ
Security Operations
Center
4
5
Организационная структура
SOC
Отдел киберугроз Отдел реагирования
Отдел средств мониторинга
Forensic
Объединённая дежурная смена
СЦИБСанкт-Петербург
Функциональное подчинение
Отдел средств защиты
СЦИБЕкатеринбург
СЦИБСамара
СЦИБНовосибирск
УправлениеCTIУправление инцидентами КБ Инжиниринг
RedTeam
ЦК Внешний периметр
ЦК Внутренний периметр ЦК Endpoint ЦК Application
6
Процессы SOC
INCIDENT RESPONSEPLATFORM
Внедрение Системы реагирования на инциденты КБ
THREAT INTELLIGENCE PLATFORM
Внедрение Системы аналитики киберугроз
PROCESSES
Разработаны и внедрены процессы SOC
REPORTING SYSTEM(Sit.Awareness)
Внедрена Система отчётности
SIEM IBM QRadar
Внедрение/апгрейд Системы управления событиями безопасности
Создание ядра SOC
TICKETING SYSTEM
Внедрена Система управления инцидентами КБ
Security Operations
Center
7
Заявка взята
в работуУгроза?Анализ
результатовИсточники ИТ
Внешние источники
Поиск инф ормации
Заявка
закрыта
Создание IT-запросов
Исполнение запросов
Локализовано
ДА
НЕТ
АнализПринятие решения
Локализация45 минут 5 минут
180
20 минут до 290 минут
Общее время ФАЗЫ (Анализ +
Локализация
Автоматизация и роботизация: оценка эффекта внедрения IRP
Справочники организации
ВнутренниеСЗИ
Узловыепризнаки
Сетевые признаки
Внешнесетевыевзаимодействия
Пораженные узлы
Блокировка на узлах
Блок. Сет. активностей
Блок. Внешних взаимодействий
Отключение узлов
290
30
120
Свыше 300 минут
до 6часов
8
Обогащение инцидентов КБ
Интеграция с АС Банка
Сопровождениесистем КБ
Управлениетестовой средой
Сбор дополнительной инф ормацииоб инциденте КБ в рамках выполнения шагов дежурной процедуры (Playbook)
Автоматизация работ по разворачиванию и сопровождению
тестовых сред SOC
Автоматизация рутинных операций, выполняемых администраторами
систем КБ в рамках операционной деятельности
Обеспечение интеграции с АС Банка,не имеющими стандартные протоколы
взаимодействия
Области применения роботизации в SOC
Заявка взята
в работуУгроза?Анализ
результатовИсточники ИТ
Внешние источники
Поиск инф ормации
Заявка
закрыта
Создание IT-запросов
Исполнение запросов
Локализовано
ДА
НЕТ
АнализПринятие решения
Локализация45 минут 5 минут
180
20 минут до 290 минут
Общее время ФАЗЫ (Анализ +
Локализация)Справочники организации
ВнутренниеСЗИ
Узловыепризнаки
Сетевые признаки
Внешнесетевыевзаимодействия
Пораженные узлы
Блокировка на узлах
Блок. Сет. активностей
Блок. Внешних взаимодействий
Отключение узлов
290
30
120
Свыше 300 минут
Угроза?
Заявка
закрыта
Локализовано
ДА
НЕТ
Принятие решения
Локализация
5
5 минут От 3 минут
Автоматическая блокировка
От 15 минут!
Заявка взята
в работуАнализ
результатовИсточники ИТ
Внешние источники
Поиск инф ормации
Автоматизированный Анализ
7 минут
Справочники организации
ВнутренниеСЗИ
СКРИ
ПТЫ
И
РОБО
ТИЗА
ЦИ
Я
Блокировка на узлах
Блок. Сет. активностей
Блок. Внешних взаимодействий
Отключение узлов
3
3
3
3
до 6часов
IRP
10
Автоматизация и роботизация: оценка эффекта внедрения IRP
Поиск контактных данных пользователя
Получение данных об актуальности баз АВПО
Поиск инф ормации о последнем аналогичном инциденте
Сбор данных о доступности хоста
Сбор инф ормации об учетной записи пользователя
Получение дополнительных данных из SIEM
Автоматизация установки базового приоритета для
инцидентов КБ
Сбор инф ормации из внешнего сегмента сети
Определение даты последней проверки на вирусы локального
диска
Считывание полей карточки заявки на инцидент
Получение инф ормации по групповым политикам
Получение инф ормации из заявок HPSM
Получение данных из SCCM
Роботизация: примеры и эффект
Ежемесячно (конец 2018г): - автоматизировано закрывается более 1500 инцидентов- обогащается инф ормацией более 2400 инцидентов
Накопительный эф ф ект: инвестиция труда в развитие автоматизации: +20% ежеквартально
INCIDENT RESPONSEPLATFORM
Внедрение Системы реагирования на инциденты КБ
THREAT INTELLIGENCE PLATFORM
Внедрение Системы аналитики киберугроз
PROCESSES
Разработаны и внедрены процессы SOC
REPORTING SYSTEM(Sit.Awareness)
Внедрена Система отчётности
SIEM IBM QRadar
Внедрение/апгрейд Системы управления событиями безопасности
Создание ядра SOC
TICKETING SYSTEM
Внедрена Система управления инцидентами КБ
Security Operations
Center
12
13
Обучение команды кибербезопасности и сотрудников Банка
13
Информирование об угрозах кибербезопасности
Повышение профессиональной квалификации сотрудниковSOC и ИТ в области кибербезопасности
Актуальные практико-ориентированные знания: Академия Кибербезопасности
Обучение по культуре Кибербезопасности в Банке, повышение уровня киберустойчивости
ЦОД ________ (TIER III)
ЦОД _______ (TIER III)
КлиентыВнешние поставщики услуг
(_______)
Операционный Центр Кибербезопасности ________________
Резервный Операционный Центр Кибербезопасности ________________
Сервисные центры Кибербезопасности
Распределенная сеть ВСП
Резервные площадки ПЦП “____________”
Площадки ПЦП “____________”
Internet
Системы ДБО:_____________
Корпоративная сеть Банка
___________
Распределенные площадки _____
Дежурные смены
Ситуационный центрБлок Т
Бизнес-подразделение
Кассово-инкассаторские
Центры
Резервные Комплексы _____
14
Пример учений: киберугрозы и BCM
Региональные площадки
Блока ТУчения по реагированию на инцидент _________
(реагирование и взаимодействие между SOC и другими подразделениями Банка)
15
Технологии и процессы сами не живутГлавный результат: Команда
СПАСИБОЗА ВНИМАНИЕ!
