Budujeme SOC Best practice. Ing. Karel Šimeček, Ph.D

Podobné dokumenty
OBECNÉ PRINCIPY SIEM

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

Aktivní bezpečnost sítě

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Aby vaše data dorazila kam mají. Bezpečně a včas.

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Integrovaný DDI/NAC a vizualizace komunikace IT aktiv, jako základ rychlé reakce SOC

FlowMon Vaše síť pod kontrolou

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

AddNet integrovaný DDI/NAC nástroj

Praktické ukázky, případové studie, řešení požadavků ZoKB

Kybernetické hrozby - existuje komplexní řešení?

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Zákon o kybernetické bezpečnosti: kdo je připraven?

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Monitorování datových sítí: Dnes

Bezpečně nemusí vždy znamenat draze a neefektivně

Integrovaný DDI + NAC

Kybernetické hrozby jak detekovat?

Systém detekce a pokročilé analýzy KBU napříč státní správou

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Flow Monitoring & NBA. Pavel Minařík

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

NETWORK MANAGEMENT HAS NEVER BEEN EASIER

Koncept centrálního monitoringu a IP správy sítě

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

GDPR, eidas, ZOKB. Nové legislaivní povinnosi organizací a co s Mm? NOVICOM s.r.o

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Co vše přináší viditelnost do počítačové sítě?

Koncept. Centrálního monitoringu a IP správy sítě

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Director

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

FlowMon Monitoring IP provozu

Nástroje pro korelace a vyhodnocování bezpečnostních událostí

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

AddNet I tegrova á správa sítě -

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Flow monitoring a NBA

Bezpečnostní monitoring v praxi. Watson solution market

Technické aspekty zákona o kybernetické bezpečnosti

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Firewall, IDS a jak dále?

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Co se skrývá v datovém provozu?

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Není cloud jako cloud, rozhodujte se podle bezpečnosti

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Koncept aktivního monitoringu sítě

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Firewall, IDS a jak dále?

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Řešení ochrany databázových dat

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Koncept BYOD. Jak řešit systémově? Petr Špringl

ANECT & SOCA ANECT Security Day

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Flow monitoring a NBA

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Zkušenosti z nasazení a provozu systémů SIEM

PREZENTACE ŘEŠENÍ CSX

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Jak se ztrácí citlivá data a jak tato data ochránit?:

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Flow monitoring a NBA

IXPERTA BEZPEČNÝ INTERNET

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Konvergovaná bezpečnost v infrastrukturních systémech

Bezpečná a efektivní IT infrastruktura

Bezpečnostní projekt Případová studie

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

Představení Kerio Control

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Jiří Vařecha

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

ANECT, SOCA a bezpečnost aplikací

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Open source kyberbezpečnost ve školách

RDF DSPS ROZVOJ PORTÁLU

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Sledování výkonu aplikací?

Transkript:

Budujeme SOC Best practice Ing. Karel Šimeček, Ph.D. +420 724 042 686 simecek@axenta.cz

SOC je součástí skutečných SIEM řešení MINISTERSTVO OBRANY ČESKÉ REPUBLIKY

www.axenta.cz Co je SOC?

Co je to SOC? A hlavně, co není SOC! Security Opera-on Center Tým osob Nástroj Analy-k Operátor Člen CERT Manažer SIEM Log management Network IDS/ IPS Vulnerability Primární účel Analyzování Detekce Reakce Reportování Primární cíl Předcházení výskytům kybernetických incidentů

Kde je potřeba SOC? Organizace Citlivá data Regulatorní potřeby Core- business služby v kyberne-ckém prostředí Kyberne-cký zákon Vyhláška ČNB PCI DSS Kyberne-cký zákon ustavuje +/- 85 požadavků. Více než polovina požadavků mimo rámec SOC!!!!

www.axenta.cz Stavba SOC

Hodnocení SOC (nejen SOC) Prostor možných akcí Kvalita reakce False nega=ves (nedetekovaný problém) False posi=ves (falešný poplach) True nega=ves (nehlášená událost) True posi=ves (detekovaný problém) Rychlost reakce Špatná reakce Spuštění Alertu Zpoždění reakce mezi výskytem a informováním o provozním problému Kladné (zpoždění) Real- -me Záporné (proak-vita) False nega-ves True posi-ves False posi-ves True nega-ves

Činnosti SOC Penetra-on Control Vulnerability Kontextová analýza User/Access Vizualizace děje Detekce False nega-ves SOC Monitoring Trendy Incident management Detekce False posi-ves User account Není strojová náhrada za analy-cké schopnos- člověka!!! Opera-on Device Access Comm. Rules

Úrovně vyspělosti dohledového systému Úroveň 4: Adaptace Úroveň 3: Předvídání situací adaptace SOC na základě zpětné vazby od uživatelů, z prostředí, od výrobce pro- ak-vní dohled včasné upozornění pro předcházení situacím Úroveň 2: Rozpoznávání a hodnocení situací Úroveň 1: Filtrování a směrování událosh Úroveň 0: Sběr událosh pokročilý dohled rozpoznání významných situací na základě zpracování událosh, historie a dalších souvisejících informací základní dohled výběr zajímavých událosh a jejich předání kompetentním osobám úložiště logů sběr, čištění a validace událosh

Uživatel SOC v roli Vyhledávače 5% úsilí reakce 15% úsilí rozhodování prohledávání, porovnávání, ověřování, 80% úsilí Měření, logy, alerty, exporty,

Uživatel SOC v roli Supervisora 70% úsilí 15% úsilí reakce rozhodování 15% úsilí Informace stojící za pozornost Filtrování Korelace Validace Měření, logy, alerty, exporty,

Jak se provozuje SOC? 1 díl - Nástroj LOG Microso] Event Log management SIEM Enviroment LOG Syslog protocol LOG Text file LOG String stream Collection Syslog protocol DB Write Storebox Taxonomy Parsing Enviroment - Základní problémy: Každá událost je iden-fikována pouze IP adresou. Každá doplňující informace k této IP adrese musí pocházet z důvěryhodného zdroje. Neexistuje důvěryhodné propojení mezi virtuálním a reálným světem, ve kterém je provozován informační systém. Připojená zařízení mohou mít více síťových rozhraní než jednu. Correla=on Evalua=on Escala=on Context data Problem Incident Otázkou je: Jak rychle a správně iden=fikovat problém v informačním systému s jeho korektním přiřazením k příslušnému správci pro efek-vní řešení? Repor=ng

Jak se provozuje SOC? 2 díl Tým osob SOC Operator CIRT/CERT Parsing SIEM Normalizatio n SOC LOG Event Alert Incident Ac-on Vizualization Filtering Scoring Jak vypadá bezpečnost? Co dělá bezpečnost pro bezpečnost? Analyze Correlation Rules Evaluation Security Analyst Trendy Soulad s normami Jaký business byl ovlivněn? Potřebujete určit co se děje, kdo to způsobuje a kdo má co řešit!!!! Jak vysoké jsou ztráty? Jaké incidenty byly řešeny?

www.axenta.cz Provoz SOC

Cena SOC Cena Sovware Licence Support Servisní smlouvy Cena hardware Servery Storage Cena implementace Instalace Konfigurace Školení obsluhy Školení provozu Školení analýzy Cena služby Model reakce (8x5, 10x5, 24x7) Support napojení na SOC Servisní smlouvy Cena správy ak-v Zranitelnos- Hrozby Knowledge base (Co mám udělat?) Cena implementace Instalace Školení provozu Školení analýzy Vlastnit, Pečovat, Užívat Užívat, Reagovat, Zlepšovat se

www.axenta.cz Implementace SOC

Implementační součinnost Výrobce Dodavatel Zákazník Execu=ve Summary Metriky S O C Worglow&Eskalace Korelace&Scénáře Parsing&Normalizace Incidenty Alerty Událos- R e p o r t y Integrace&Interface LOG data

Principiální koncept SOC Security Opera=on Center Infrastrukturní monitoring SIEM Log Management DDI - správa IP adresního prostoru DHCP, DNS, Radius NAC - 802.1x MAC auten=zace / autorizace L2 monitoring NBA Behaviorální analýza sítě Flow monitoring Ochrana perimetru Aplikační monitoring Internet Firewall IDS/IPS Síťové DLP Ochrana klientů EndPoint Security / DLP An=vir An=malware Klien= Desktopy Mobilní klien- Síť Ak-vní prvky Wifi prvky Infrastruktura Servery Aplikace

Jak se staví SOC jako systém? 2. Aktiva Variable C omponents Assets Data for 4. Zpřesnění AddNet APM FlowMon Centreon Nessus SCB Firemon SEC Tickets Dashboards Reporting CSIRT 3. Reakce Servers Collector 3. Analýza dat SIEM Desktops Network Devices FWs Data Sources 1. Sběr dat Powered by Syslog- ng PE 2. Aktiva Logs Archive Identity Monitoring Operator

Jak se staví SOC jako služba? Servers IC T 3. Připojení na SOC Data for C SIRT Tickets Dashboards Reporting Desktops Data Sources Collector Logs via VPN+SCP+TLS SIEM Network Devices FWs 1. Sběr dat F U N C T I O N S O P T Nessus SEC AddNet Syslog SCB FlowMon Centreon Firemon APM Firewall Assets Logs Archive Identity Monitoring Operator 2. Aktiva 10/5 nebo 24/7 operátor + analytik + auditor SOC + CSiRT rychlost reakce = schopnost detekce + nové korelační metody

Shrnutí SOC Log management Řeším sběr, vyhledávání a archivaci log dat Flow a NBA Řeším, které anomálie mne zajímají (analyzovat, řešit) a které anomálie mne trápí (řešit, eliminovat) SIEM Řeším komplexní prostředí s cílem zajistit Incident Response Řeším workflow problémů, incidentů, kontext dat a kooperaci zvládání následků LM Centralize Reporting Data Retention FLOW Centralize Reporting Automatic Detection SIEM Centralizace Reporting Automatic Incident Response SOC Kooperace v Incident Response Aktualizace aktiv Aktualizace hrozeb

Dotazy?

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář