Security Operations Center

Transkrypt

1 Security Operations Center czy to właściwa odpowiedź na spełnienie wymagań ustawy o KSC ERYK TRYBULSKI

2 ERYK TRYBULSKI Manager C-level (CSO/CISO) Audytor wiodący ISO 9001, ISO/IEC 27001, ISO Biegły sądowy z dziedziny informatyki (III kadencja) Ponad 20 lat doświadczenia w obszarze IT

3 AGENDA Wprowadzenie Trendy i wyzwania Security Operations Center Trudne wybory Model SOC Polecana literatura

4 CZYM JEST SOC? Operacyjne Centrum Bezpieczeństwa (ang. Security Operations Center) to wysoko wykwalifikowany zespół specjalistów, którzy wykorzystując rozwiązania techniczno-proceduralne, monitorują stan bezpieczeństwa infrastruktury i systemów IT organizacji oraz reagują na pojawiające się zagrożenia i incydenty bezpieczeństwa CEL BIZNESOWY minimalizacja ryzyka poprzez poprawę bezpieczeństwa informacji KLUCZOWE CELE Monitorowanie, wykrywanie incydentów bezpieczeństwa informacji Reagowanie na incydenty bezpieczeństwa Zapobieganie incydentom bezpieczeństwa informacji Zarządzanie jakością zabezpieczeń systemów, informacji i aktywów GŁÓWNE ZADANIA Przeprowadzanie analizy zagrożeń i podatności Proaktywne monitorowanie stanu bezpieczeństwa Zwiększenie świadomości organizacji Automatyzacja złożonych i czasochłonnych procesów zarządzania bezpieczeństwem Współpraca z organami regulacyjnymi

5 SOC VS. NOC VS. CSIRT Network Operations Center (NOC) Centrum Operacyjne Sieci, znane również jako centrum zarządzania siecią, to jednostka odpowiedzialna za monitorowanie i zarządzanie siecią i usługami teleinformatycznymi. Źródło grafiki: Computer Security Incident Response Team (CSIRT) Zespół ds. reagowania na incydenty bezpieczeństwa IT, to podmiot nadrzędny w stosunku do SOC, odpowiedzialny za koordynowanie działań, wymianę informacji np. w ramach danego sektora gospodarki

6 CZY JESTEŚ PRZYGOTOWANY? Pomyśl o najgorszym scenariuszu - do jakiego rodzaju danych uzyskano by dostęp w przypadku naruszenia i czy miałbyś zasoby do odzyskania, lub mógł je odzyskać? Jeśli odpowiedź przeraża cię i nie pozwala spać, wtedy odpowiedź brzmi tak, potrzebujesz SOC. Nick Bradley (kierownik operacyjny IBM) Silna, dobrze przemyślana strategia, w połączeniu z szybką zdolnością zidentyfikowania chwili kiedy systemy zostały spenetrowane, a w efekcie niezwłoczne podjęcie niezbędnych działań, takich jak odizolowanie ataku są kluczowym czynnikiem skuteczności strategii cyberbezpieczeństwa. Stuart Plesser (dyrektor z firmy Standard & Poor s)

7 STATYSTYKI CYBER ATAKÓW Koszty Naruszenia Zasoby 44% polskich firm* poniosło straty finansowe na skutek cyber-ataków, takie wyniki prezentuje badanie stanu bezpieczeństwa przeprowadzone przez PwC. Inne z badań przeprowadzonych przez Accenture wskazuje, że w skali świata koszt cyber-ataków w ciągu najbliższych 5 lat może wynieść 5,2 mld USD 62% polskich firm* odnotowało zakłócenia i przerwy w funkcjonowaniu, w tym 26% takie, które trwały więcej niż jeden dzień roboczy Jedna trzecia mniejszych organizacji w skali świata uważa, że nie ma wystarczających zasobów, aby skutecznie bronić się przed atakami Recovery Haker w sieci W skali świata, przeciętny koszt przywrócenia działalności po ataku cyber oscyluje wokół kwoty 3,7 mln USD Średni czas jaki upływa od chwili przełamania zabezpieczeń do wykrycia intruza to nawet 180 dni Hackers gained access to technology giant Citrix s networks six months before they were discovered, the company has confirmed (kwiecień 2019) * dane odnoszą się wyłącznie do polskich firm objętych 5. edycją Badania Stanu Bezpieczeństwa Informacji przeprowadzonego przez firmę PwC

8 KLUCZOWE WYZWANIA BIZNESOWE Wymogi regulacyjne Zarządzanie ryzykiem TECHNOLOGICZNE Wzrost wolumenu Użytkownicy, big data, machine learning, blokchain, chmura & nowe aplikacje OPERACYJNE Trudność zrozumienia kontekstu Brak pełnego obrazu Ochrona aktywów Redukcja kosztów Chaos technologiczny Tradycyjne rozwiązania nie są wystarczające Skomplikowane dochodzenia Konieczność korelacji wielu faktów, w tym z nierozpoznanych technologii Ciągłość biznesowa Zarządzanie incydentami Przestarzałe technologie Konieczność zarządzania niezliczoną ilością urządzeń, w tym nie posiadającymi wsparcia producenta Fałszywe alerty Ilość zdarzeń i ich powtarzalność obniża możliwości reagowania Wada informacyjna Przeciwnicy wiedzą więcej o tobie niż ty wiesz o nich samych Braki kadrowe Ilość zdarzeń przekraczająca możliwości obsługi

9 WYMOGI USTAWY O KSC Powołanie struktur odpowiedzialnych za cyberbezpieczeństwo Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji Proaktywne zarządzanie ryzykiem Wdrażanie adekwatnych środków technicznych i organizacyjnych Utrzymywanie wymaganej dokumentacji i doskonalenie procedur Zarządzanie incydentami bezpieczeństwa i podatnościami

10 GOTOWE ROZWIĄZANIE? WDROŻONE ZABEZPIECZENIA ZAMÓWIENIE SOC Zgodność i raportowanie > ROZWIĄZANIA TECHNOLOGICZNE Identity & SIEM Firewall IDS/IPS DLP MDM APT Access ZARZĄDZANIE PERSONELEM In-House Co-Deliver Outsource Moduły funkcjonalne Security Intelligence ON Security Monitoring ON Compliance Management OFF Correlation Rules ON Device Management OFF Incident Escalation ON Policy Management OFF Incident Response OFF Zamów Źródło: Cyber-ruletka po polski, raport PWC Polska, 2018

11 FILARY TRIADA SOC Źródło: Rola Security Operations Center (SOC) w wypełnianiu wymagań RODO, XXII e-forum Teleinformatyki

12 KLUCZOWE FUNKCJE SOC REAL-TIME MONITORING Obsługa alertów i ostrzeżeń Korelacja i analiza logów Skanowanie podatności Skoordynowana reakcja ZARZĄDZANIE INCYDENTAMI Obsługa zagrożeń i incydentów Informatyka śledcza Obsługa incydentów Współpraca z CSIRT RAPORTOWANIE Raporty zarządcze Audyty Wskaźniki i mierniki SLA

13 UPROSZCZONA ARCHITEKTURA SOC Procedury Zarządzanie urządzeniami Zarządzanie zagrożeniami i podatnościami Zarządzanie incydentami III Linia Eksperci bezpieczeństwa Threat Intelligent Forensic Ludzie II Linia Analitycy bezpieczeństwa Inżynierowie Obsługa incydentów I Linia Operatorzy (monitoring, obsługa zgłoszeń, wstępna analiza) Oprogramowanie Security Information and Event Management (SIEM) Hardware Security and Network Devices

14 MODEL OPERACYJNY SOC Użytkownicy Cloud Korelacja danych w czasie rzeczywistym System ticketowy I LINIA MONITORING ZAGROŻEŃ 24/7 Przyjmowanie i obsługa zgłoszeń Redukcja fałszywych alarmów Serwery & Storage Aplikacje Sieć LOGI & ZDARZENIA ALERTY INCYDENTY II LINIA INCIDENT RESPONSE Działania zaawansowane i niestandardowe Interakcja z chronionymi elementami Urządzenia końcowe ZAPOBIEGANIE INCYDENTOM DZIAŁANIA PROAKTYWNE Źródła danych o zagrożeniach (Threat Intelligence) Korelacja informacji (SIEM) Baza wiedzy Analiza nieznanych zagrożeń informatyka śledcza III LINIA Poszukiwanie i analizowanie nowych zagrożeń Optymalizacja polityk i procedur

15 MODEL OPERACYJNY SOC Użytkownicy Cloud MONITOROWANIE Korelacja danych w czasie rzeczywistym System ticketowy REAGOWANIE I LINIA MONITORING ZAGROŻEŃ 24/7 Przyjmowanie i obsługa zgłoszeń Redukcja fałszywych alarmów Serwery & Storage Aplikacje Sieć LOGI & ZDARZENIA ALERTY INCYDENTY II LINIA INCIDENT RESPONSE Działania zaawansowane i niestandardowe Interakcja z chronionymi elementami Urządzenia końcowe ZAPOBIEGANIE INCYDENTOM THREAT HUNTING DZIAŁANIA PROAKTYWNE Źródła danych o zagrożeniach (Threat Intelligence) Korelacja informacji (SIEM) Baza wiedzy Analiza nieznanych zagrożeń informatyka śledcza III LINIA Poszukiwanie i analizowanie nowych zagrożeń Optymalizacja polityk i procedur

16 STRUKTURA ZESPOŁU SOC Skuteczność SOC musi odpowiadać potrzebom organizacji i zależy od umiejętności ludzi go tworzących Źródło: Building a World-Class Security Operations Center: A Roadmap, SANS Institute

17 WYMAGANE UMIEJĘTNOŚCI ZESPOŁU SOC UMIEJĘTNOŚCI TECHNICZNE Biegła znajomość TCP/IP, DNS, HTTP/S, SMTP SIEM, IDS/IPS, Web Gateway, Sandbox, Fairewall, VPN Programowanie w językach skryptowych (np. perl, bash, python) Algorytmy kryptograficzne: AES, RSA, SHA, SSL/TLS UMIEJĘTNOŚCI MIĘKKIE Team Spirit Komunikatywność Pewność siebie Asertywność Dociekliwość + twórczość NIESTANDARDOWE GODZINY PRACY Źródło grafiki: DTS Solution

18 STRUKTURA MAŁEGO SOC Źródło: Ten Strategies of a World-Class Cybersecurity Operations Center, MITRE

19 STRUKTURA DUŻEGO SOC Źródło: Ten Strategies of a World-Class Cybersecurity Operations Center, MITRE

20 PROCESY SOC BIZNESOWE OPERACYJNE ANALITYCZNE TECHNOLOGICZNE BCP/DRP Plany Ciągłości Działania Plany Przywrócenia Działalności DOSKONALENIE PROCESÓW Ocena dojrzałości Metodologia projektowa Zarządzanie wiedzą ZAPEWNIENIE ZGODNOŚCI Przepisy wewnętrzne Wymagania regulacyjne Przepisy branżowe MIERNIKI Raportowanie KPI Skuteczność SIEM Skuteczność operacyjna ZARZĄDZANIE ZDARZENIAMI Selekcja Zarządzanie przypadkami Reagowanie Współpraca z CSIRT CODZIENNE OPERACJE Obsługa Call-center Monitoring i selekcja Alerty bezpieczeństwa i ostrzeżenia Dystrybucja news ów o zagrożeniach Skanowanie podatności Grafik dyżurów Rotacja dyżurów SZKOLENIA Plan szkoleń Ścieżka rozwoju ANALIZA BEHAWIORALNA Wizualizacja danych Wzorce analityczne Modelowanie zagrożeń RAPORTOWANIE Komentarze analityczne Podsumowanie incydentów Raporty o zagrożeniach ZARZĄDZANIE INCYDENTAMI Obsługa incydentów Skoncentrowany monitoring Tworzenie niestandardowych sygnatur ANALIZA NARUSZEŃ Analiza malware Analiza naruszeń Threat intelligence Synteza informacji PROJEKTOWANIE Opracowywanie przypadków użycia Projektowanie architektury SOC ZARZĄDZANIE KONFIGURACJĄ Utrzymanie i dostrajanie sensorów Integracja źródeł danych Definiowanie polityk bezpieczeństwa ADMINISTRACJA SYSTEMEM Zarządzanie dostępem Utrzymanie & aktualizacja Tworzenie skryptów i automatyzacja

21 KLUCZOWE NARZĘDZIA SOC KLUCZOWE TECHNOLOGIE & NARZĘDZIA SIEM Skanery podatności Analizatory logów i pamięci Skanery sieciowe Analizatory pakietów Honeypot IDS/IPS DAM Anit-APT Narzędzia informatyki śledczej Narzędzia GRC Patch Manaement Anti-DDoS Analityka & Raporty Skanery rejestru Threat Intelligence Platform IAM/IDM Systemy Zarządzania NMS/EMS Password Recovery Urząd Certyfikacji (CA) OBSŁUGA SOC ZARZĄDZANIE INFRASTRUKTURĄ SOC Service Desk ITSM System e-learning Baza wiedzy Urządzenia Zarządzanie sieciowe & serwerami OS Systemy Storage & Backup Systemy Składowania & Backupu Server FTP Syslog server

22 ZROZUMIENIE CELÓW BIZNESOWYCH Wielu interesariuszy, procesów i technologii do rozważenia ORGANIZACJA Jaki jest główny cel budowy/wdrożenia SOC? Jakie zadania powinien realizować SOC? Kim są interesariusze i jakie mają oczekiwania? Kto będzie właścicielem i sprzedawał SOC reszcie organizacji? Jakiego rodzaju zdarzenia bezpieczeństwa będą monitorowane? W jakim modelu będzie oferowana usługa? In-house czy outsource? ZASOBY LUDZKIE Czy potrzebujemy usługi świadczonej w formule 24x7x365? Jakie umiejętności są wymagane? Skąd pozyskać zespołu? Co ze szkoleniem zespołu? Jak utrzymać zatrudnienie zespołu? Wskaźniki pomiaru wydajności Obsada personelu o odpowiednich umiejętnościach

23 ZROZUMIENIE CELÓW BIZNESOWYCH Model i framework PROCESY W jaki sposób będziemy dokonywać pomiaru postępu i KPI? Jak optymalnie zaprojektować kluczowe procesy (np. zarządzanie incydentami, monitorowanie itd.)? Ciągłe doskonalenie TECHNOLOGIA Architektura SOC, dobór narzędzi i infrastruktury Architektura SIEM i przypadki użycia Typy dzienników i opcje logowania zdarzeń Integracja platform, system obsługi zgłoszeń, big data Usługi sieciowe do integracji z SOC Infrastruktura sprzętowa i narzędzia

24 MODEL WDROŻENIA WŁASNY SOC USŁUGA SOC TECHNOLOGIA Wymaga zakupu wielu produktów i umów z dostawcami INTEGRACJA NARZĘDZI Różne narzędzia, które nie są zintegrowane w jednym rozwiązaniu CZAS KORZYŚCI Długotrwałe wdrożenie w ciągu wielu miesięcy (lub lat) TALENT I WIEDZA SPECJALISTYCZNA Trudności z zatrudnieniem i zatrzymaniem wykwalifikowanych specjalistów CZAS REAKCJI Kilka godzin (lub dni) na wykrycie i zareagowanie WYDATKI (CAPEX) I UTRZYMANIE Duże nakłady na inwestycje i utrzymanie TECHNOLOGIA Wszystkie usługi objęte jedną subskrypcją w oparciu o roczne zobowiązanie INTEGRACJA NARZĘDZI W pełni zintegrowane i zarządzane centralnie CZAS KORZYŚCI Krótki czas wdrożenia (kilka tygodni) TALENT I WIEDZA SPECJALISTYCZNA Dostęp do wysokiej klasy specjalistów bezpieczeństwa przez całą dobę CZAS REAKCJI Kilkadziesiąt sekund WYDATKI (CAPEX) I UTRZYMANIE Brak nakładów na inwestycje i utrzymanie

25 MOŻLIWE OPCJE SOC WŁASNY SOC MODEL PRZEJŚCIOWY MODEL HYBRYDOWY PEŁEN OUTSOURCING Zatrudnienie specjalistów i ich utrzymanie po stronie organizacji Opracowanie koncepcji przez dostawcę I Linia wsparcia po stronie organizacji Dostępność różnych profili specjalistów ad-hoc Budowa infrastruktury SOC wewnątrz organizacji Budowa infrastruktury SOC wewnątrz organizacji Budowa infrastruktury SOC wewnątrz organizacji Infrastrukturę zapewnia usługobiorca Framework wewnątrz organizacji Przygotowanie dokumentacji procesów i procedur przez dostawcę Procedury organizacji i usługobiorcy Framework usługobiorcy Zmienne koszty Zmienne koszty Koszty zależne od świadczonych usług Stałe koszty abonamentowe Monitoring 24/7/365 w trybie zmianowym Pełna gotowość operacyjna po upływie 1-3 lat Rozliczenie na podstawie raportów pracy SOC Umowy SLA i monitoring 24/7/365

26 POLECANA LITERATURA

27 PODSUMOWANIE Sprawnie funkcjonujący SOC znacząco wspiera realizację wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa w zakresie zarządzania bezpieczeństwem teleinformatycznym Budowa SOC to skomplikowane zadanie, wymagające zaangażowania wielu zasobów SOC jest filarem programu zarządzania bezpieczeństwem organizacji Pozwala zwiększyć zaufanie do organizacji Systematyzuje wiedzę o incydentach bezpieczeństwa w organizacji

28 Wyznaczam kurs na bezpieczeństwo Twojego biznesu DZIĘKUJĘ ZA UWAGĘ linkedin.com/in/eryk-trybulski