Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK icon VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Аналитик SOC

SOC (security operations center) — центр управления информационной безопасностью (ИБ). Основными задачами SOC является осуществление мероприятий по мониторингу и реагированию на инциденты ИБ.

Выявление инцидентов ИБ производится путём анализа различных событий, генерируемых системами корпоративной инфраструктуры: системами защиты информации, информационными системами, сетевым оборудованием, технологическим оборудованием, рабочими станциями пользователей, серверами и т. д.

В крупных организациях приходится обрабатывать десятки и даже сотни миллионов событий в день, поэтому мониторинг в таком объёме без автоматизации невозможен. Как правило, в качестве ядра комплекса программного и аппаратного обеспечения используются системы класса SIEM.

Security information andevent management (SIEM) — это централизованная система сбора, анализа и хранения событий. SIEM позволяет визуализировать данные, выявлять нарушения по определённым правилам и оповещать ответственный персонал [1].

Аналитик SOC — человек, занимающийся анализом событий, выявлением и реагированием на инциденты ИБ.

Существует два основных сценария мониторинга событий ИБ: Alerting и Hunting.

Alerting — метод, при котором поиск признаков различных атак осуществляется по разработанным правилам. Основную задачу по выявлению осуществляют средства защиты информации (СЗИ) либо SIEM. Результатом работы систем является событие о возможном инциденте ИБ с определённой точностью — подозрение на инцидент ИБ. Оно требует ручной обработки аналитиком SOC с целью подтверждения или опровержения конкретного события.

Hunting — метод анализа событий путём выявления нетипичной активности в работе определённых информационных систем, сетевом трафике и прочих событиях, обрабатываемых при мониторинге. Осуществляется преимущественно «вручную» опытными специалистами. Основная цель — выявление инцидентов ИБ, которые не могут определить текущие средства защиты информации (СЗИ) в автоматическом режиме [1].

Рисунок [2]

При выявлении инцидента ИБ аналитик осуществляет его классификацию и регистрацию в системе учёта. Процесс реагирования в общем случае преследует цели:
— подтвердить или опровергнуть факт инцидента ИБ;
— осуществить сдерживающие мероприятия: отключение хостов от сети, ограничение доступа атакующих к системам и прочее;
— собрать подробную информацию об инциденте, определить все источники и цели;
— устранить инцидент ИБ;
— определить степень влияния инцидента ИБ на затронутые бизнес-процессы;
— составить отчётность по инциденту ИБ;
— формировать перечень рекомендаций по исключению подобных инцидентов в будущем и принять участие в их реализации.

Источники:

  1. Как стать аналитиком SOC
  2. Как стать SOC-аналитиком
  3. Модель зрелости SOC
  4. Видео «Окно Джохари в ИБ»
  5. Обнаружение атак
  6. Управление инцидентами и событиями информационной безопасности
  7. Методология и практика создания SOC
  8. Технологии обнаружения компьютерных атак
  9. Управление информацией и событиями безопасности (SIEM) и Log Management
 3   2 дн   Infosec   Security   SIEM

Основные команды scapy

Scapy — это мощная интерактивная программа для управления пакетами и модуль Python. Он имеет интерактивную оболочку через iPython. Его можно использовать для создания или декодирования пакетов, отправки их по сети и перехвата ответов.

Команды, которые могут быть полезны для подробного описания работы scapy:
ls(): отображает все протоколы, поддерживаемые scapy.
lsc(): отображает список команд и функций, поддерживаемых scapy.
conf: отображает все параметры конфигурации
help(): отображает справку по определенной команде, например help(sniff)
show(): отображает подробную информацию о конкретном пакете, например Newpacket.show()

Примеры

TCP Port Scanning

res, unans = sr( IP(dst="target")/TCP(flags="S", dport=(1,1024)) )

Визуализация результатов:

res.nsummary( lfilter=lambda s,r: (r.haslayer(TCP) and (r.getlayer(TCP).flags & 2)) )

Источник

 12   16 дн   Infosec   network   Python   Security
Ранее Ctrl + ↓