Мониторинг информационной безопасности: Центры управления инцидентами и большие данные Виталий Сильчев Школа Бизнес-информатики факультета бизнеса и менеджмента магистерская программа «Системы больших данных» vasilchev@edu.hse.ru Высшая школа экономики, Москва, 2015 www.hse.ru Содержание 1. Управление информационной безопасностью 2. Мониторинг и реагирование на инциденты фото 3. Центр управления инцидентами (Security Operation Center) 4. Техническое обеспечение 5. Фреймворк OpenSoc 6. Перспективы использования фото Высшая школа экономики, Москва, 2015 Управление информационной безопасностью Планирование Внесение изменений и улучшений Воздействие Определение контекста Определениефото и анализ рисков Выполнение фото Мониторинг и аудит Проверка Разработка и внедрение методов управления рисками фото ISO 27001:2013 ISMS Высшая школа экономики, Москва, 2015 Мониторинг и реагирование на инциденты Основные задачи • Необходимость обрабатывать огромное количество событий ИБ, поступающих с разных источников в разных форматах • Необходимость быстро выявлять и реагировать на инциденты информационной безопасности • Необходимость бороться с неизвестными угрозами • Необходимость соответствовать требованиям стандартов Высшая школа экономики, Москва, 2015 В 60% случаев, данные похищаются за фоточасов несколько В 54% случаев, инцидент обнаруживается в течение месяца и фото более фото Центр управления инцидентами (Security Operation Center) Центр управления инцидентами (Security Operation Center, SOC) – фото совокупность процессов (регламентов), персонала и технических средств, обеспечивающих непрерывный мониторинг ИБ и оперативное реагирование на инциденты. photo фото photo фото Высшая школа экономики, Москва, 2015 Техническое обеспечение SIEM «Большие Данные» 1. Лог-менеджеры • структурирование и хранение журналов (логов) • в основе реляционные СУБД 1. NoSQL и MapReduce • хранение и обработка больших фото объемов данных • масштабируемость • перенос вычислений к данным 1. SIEM системы • «корреляция» на основе правил • наборы правил для соответствия стандартам (PCI DSS, ISO 27001) 1. «продвинутые» SIEM системы • корреляция на основе рисков • анализ сетевых потоков • переход на NoSQL • инструменты для анализа данных (HP ArcSight Pattern Discovery, IBM Qradar & BigInsight) Высшая школа экономики, Москва, 2015 1. Apache Storm & Apache Kafka • анализ потоковых данных в реальном времени фото 1. Elasticsearch • поиск в неструктурированных данных • визуализация фото Cisco OpenSoc, (+Splunk Enterprise) Фреймворк OpenSOC OpenSOC – открытый фреймворк для построения SOC, основанный на компонентах экосистемы Apache Hadoop. фото Threat Intelligence Feeds Raw Network Stream Raw Application Logs Alert Syslog Enrich Netflow Applications + Analyst Tools Parse + Format Network Metadata Stream Other Streaming Telemetry Enrichment Data Высшая школа экономики, Москва, 2015 фотоBig Data Log Mining and Analytics Network Packet Mining and PCAP Reconstructio n Elastic Search HBase Hive Real-Time Index Raw Packet Store Long-Term Store Exploration, Predictive Modeling фото Перспективы использования • Построение инфраструктуры мониторинга и управления инцидентами ИБ на основе распространённых фото компонентов, которые можно применять для других задач (снижение стоимости обслуживания) • Использование системы, изначально построенной для решения задач мониторинга больших потоков событий и фото поиска скрытых закономерностей • Высокий уровень масштабируемости, возможность доработки и подключения дополнительных компонентов фото Высшая школа экономики, Москва, 2015