Wednesday, March 29, 2017

Threat hunting как процесс SOC

Сегодня на 7-ом собрании SOC Club-а "SOC в России" рассказывал о Threat hunting-e в рамках работы SOC. Вот презентация:


Технически получилось немного смазано, так как я не совсем уложился во время, поэтому в этом посте перечислю основные тезисы, которые я хотел донести:
1. Переход "защиты от ВПО" в "защиту от целевых атак" - очевидная эволюция ландшафта угроз.
2. Эволюции п.1 соответствует очевидное развитие подходов к защите: от Alerting-а, как реакции на предопределенные сигнатуры, до Hunting-а, как поиска новых угроз.
3. Современные атаки обладают рядом свойств, которые надо брать во внимание при планировании СЗИ (слайд 5)
3. История с Vault7 полностью добила веру в эффективность превентивных средств защиты и сместила приоритеты развития СЗИ именно в сторону своевременного обнаружения и быстрого восстановления (слайд 6)
7. Слайд 7 - концептуальные различия подходов. Слайд "пропал", так как я забыл его сделать видимым в pptx ;), однако, попереживав несколько секунд, решил, что в этом нет ничего страшного, так как уже неоднократно его показывал и рассказывал, например, здесь.
8. Threat hunting не исключает подходы классического мониторинга, а дополняет. На слайде 8 показано это взаимное дополнение, разложенное по процессу управления инцидентами.
9. Для TH нужны исходные данные и технологии. Это представлено на слайде 9. Расскажу по аббревиатурам - это наши внутренние подразделения-поставщики знаний для нас: Global Research and Analysis team (GReAT), Anti-Malware research (AMR), Targeted Attack Research Group (TARG), Security Operations Center (SOC) - имеется в виду наша внутренняя практика обнаружения, коей больше с каждым инцидентом, не являющемся фолсой, Security Services Research (SSR) - наш внутренний ИБ ресеч; сервисы расследования инцидентов - Incident response (IR), Digital forensics (DF), Malware analysis (MA); ну а поставщиком на сырых нотификаций на низком уровне выступает - Endpoint (EP).
Важным моментом в этом слайде является стрелочка "Постоянное совершенствование", означающая, что мы реализуем новые детектирующие и микрокорреляционные логики на уровне ЕР, - можно считать, аналогично, созданию сигнатур.
В качестве иллюстрации дана картинка все с той же презентации, где показана максимально упрощенно текущая процессная модель ТН.
10. Последний слайд - действительно последний, отражающий где в общем списке процессов SOC (список процессов взят из ГосСОПКИ) ТН и на что он в основном нацелен.

Надеюсь, что доклад (в совокупности с этим постом) будет полезен аудитории.








No comments: