Budujeme SOC Best practice Ing. Karel Šimeček, Ph.D. +420 724 042 686 simecek@axenta.cz
SOC je součástí skutečných SIEM řešení MINISTERSTVO OBRANY ČESKÉ REPUBLIKY
www.axenta.cz Co je SOC?
Co je to SOC? A hlavně, co není SOC! Security Opera-on Center Tým osob Nástroj Analy-k Operátor Člen CERT Manažer SIEM Log management Network IDS/ IPS Vulnerability Primární účel Analyzování Detekce Reakce Reportování Primární cíl Předcházení výskytům kybernetických incidentů
Kde je potřeba SOC? Organizace Citlivá data Regulatorní potřeby Core- business služby v kyberne-ckém prostředí Kyberne-cký zákon Vyhláška ČNB PCI DSS Kyberne-cký zákon ustavuje +/- 85 požadavků. Více než polovina požadavků mimo rámec SOC!!!!
www.axenta.cz Stavba SOC
Hodnocení SOC (nejen SOC) Prostor možných akcí Kvalita reakce False nega=ves (nedetekovaný problém) False posi=ves (falešný poplach) True nega=ves (nehlášená událost) True posi=ves (detekovaný problém) Rychlost reakce Špatná reakce Spuštění Alertu Zpoždění reakce mezi výskytem a informováním o provozním problému Kladné (zpoždění) Real- -me Záporné (proak-vita) False nega-ves True posi-ves False posi-ves True nega-ves
Činnosti SOC Penetra-on Control Vulnerability Kontextová analýza User/Access Vizualizace děje Detekce False nega-ves SOC Monitoring Trendy Incident management Detekce False posi-ves User account Není strojová náhrada za analy-cké schopnos- člověka!!! Opera-on Device Access Comm. Rules
Úrovně vyspělosti dohledového systému Úroveň 4: Adaptace Úroveň 3: Předvídání situací adaptace SOC na základě zpětné vazby od uživatelů, z prostředí, od výrobce pro- ak-vní dohled včasné upozornění pro předcházení situacím Úroveň 2: Rozpoznávání a hodnocení situací Úroveň 1: Filtrování a směrování událosh Úroveň 0: Sběr událosh pokročilý dohled rozpoznání významných situací na základě zpracování událosh, historie a dalších souvisejících informací základní dohled výběr zajímavých událosh a jejich předání kompetentním osobám úložiště logů sběr, čištění a validace událosh
Uživatel SOC v roli Vyhledávače 5% úsilí reakce 15% úsilí rozhodování prohledávání, porovnávání, ověřování, 80% úsilí Měření, logy, alerty, exporty,
Uživatel SOC v roli Supervisora 70% úsilí 15% úsilí reakce rozhodování 15% úsilí Informace stojící za pozornost Filtrování Korelace Validace Měření, logy, alerty, exporty,
Jak se provozuje SOC? 1 díl - Nástroj LOG Microso] Event Log management SIEM Enviroment LOG Syslog protocol LOG Text file LOG String stream Collection Syslog protocol DB Write Storebox Taxonomy Parsing Enviroment - Základní problémy: Každá událost je iden-fikována pouze IP adresou. Každá doplňující informace k této IP adrese musí pocházet z důvěryhodného zdroje. Neexistuje důvěryhodné propojení mezi virtuálním a reálným světem, ve kterém je provozován informační systém. Připojená zařízení mohou mít více síťových rozhraní než jednu. Correla=on Evalua=on Escala=on Context data Problem Incident Otázkou je: Jak rychle a správně iden=fikovat problém v informačním systému s jeho korektním přiřazením k příslušnému správci pro efek-vní řešení? Repor=ng
Jak se provozuje SOC? 2 díl Tým osob SOC Operator CIRT/CERT Parsing SIEM Normalizatio n SOC LOG Event Alert Incident Ac-on Vizualization Filtering Scoring Jak vypadá bezpečnost? Co dělá bezpečnost pro bezpečnost? Analyze Correlation Rules Evaluation Security Analyst Trendy Soulad s normami Jaký business byl ovlivněn? Potřebujete určit co se děje, kdo to způsobuje a kdo má co řešit!!!! Jak vysoké jsou ztráty? Jaké incidenty byly řešeny?
www.axenta.cz Provoz SOC
Cena SOC Cena Sovware Licence Support Servisní smlouvy Cena hardware Servery Storage Cena implementace Instalace Konfigurace Školení obsluhy Školení provozu Školení analýzy Cena služby Model reakce (8x5, 10x5, 24x7) Support napojení na SOC Servisní smlouvy Cena správy ak-v Zranitelnos- Hrozby Knowledge base (Co mám udělat?) Cena implementace Instalace Školení provozu Školení analýzy Vlastnit, Pečovat, Užívat Užívat, Reagovat, Zlepšovat se
www.axenta.cz Implementace SOC
Implementační součinnost Výrobce Dodavatel Zákazník Execu=ve Summary Metriky S O C Worglow&Eskalace Korelace&Scénáře Parsing&Normalizace Incidenty Alerty Událos- R e p o r t y Integrace&Interface LOG data
Principiální koncept SOC Security Opera=on Center Infrastrukturní monitoring SIEM Log Management DDI - správa IP adresního prostoru DHCP, DNS, Radius NAC - 802.1x MAC auten=zace / autorizace L2 monitoring NBA Behaviorální analýza sítě Flow monitoring Ochrana perimetru Aplikační monitoring Internet Firewall IDS/IPS Síťové DLP Ochrana klientů EndPoint Security / DLP An=vir An=malware Klien= Desktopy Mobilní klien- Síť Ak-vní prvky Wifi prvky Infrastruktura Servery Aplikace
Jak se staví SOC jako systém? 2. Aktiva Variable C omponents Assets Data for 4. Zpřesnění AddNet APM FlowMon Centreon Nessus SCB Firemon SEC Tickets Dashboards Reporting CSIRT 3. Reakce Servers Collector 3. Analýza dat SIEM Desktops Network Devices FWs Data Sources 1. Sběr dat Powered by Syslog- ng PE 2. Aktiva Logs Archive Identity Monitoring Operator
Jak se staví SOC jako služba? Servers IC T 3. Připojení na SOC Data for C SIRT Tickets Dashboards Reporting Desktops Data Sources Collector Logs via VPN+SCP+TLS SIEM Network Devices FWs 1. Sběr dat F U N C T I O N S O P T Nessus SEC AddNet Syslog SCB FlowMon Centreon Firemon APM Firewall Assets Logs Archive Identity Monitoring Operator 2. Aktiva 10/5 nebo 24/7 operátor + analytik + auditor SOC + CSiRT rychlost reakce = schopnost detekce + nové korelační metody
Shrnutí SOC Log management Řeším sběr, vyhledávání a archivaci log dat Flow a NBA Řeším, které anomálie mne zajímají (analyzovat, řešit) a které anomálie mne trápí (řešit, eliminovat) SIEM Řeším komplexní prostředí s cílem zajistit Incident Response Řeším workflow problémů, incidentů, kontext dat a kooperaci zvládání následků LM Centralize Reporting Data Retention FLOW Centralize Reporting Automatic Detection SIEM Centralizace Reporting Automatic Incident Response SOC Kooperace v Incident Response Aktualizace aktiv Aktualizace hrozeb
Dotazy?