Budujeme SOC Best practice. Ing. Karel Šimeček, Ph.D

Budujeme SOC – Best practice

Ing. Karel Šimeček, Ph.D. +420 724 042 686 [email protected]

SOC – je součástí skutečných SIEM řešení

MINISTERSTVO OBRANY ČESKÉ REPUBLIKY

Co je SOC?

www.axenta.cz

Co je to SOC? A hlavně, co není SOC!

Security  Opera-on  Center   Tým  osob   Analy-k  

Operátor  

Člen  CERT  

Nástroj   Manažer  

SIEM  

Log   management  

Network  IDS/ IPS  

Vulnerability  

Primární  účel   Analyzování  

Detekce  

Reakce  

Reportování  

Primární  cíl   Předcházení výskytům kybernetických incidentů  

Organizace  

Kde je potřeba SOC?

Citlivá  data  

Kyberne-cký  zákon  

Regulatorní  potřeby  

Vyhláška  ČNB  

Core-­‐business  služby  v   kyberne-ckém  prostředí  

PCI  DSS  

Kyberne-cký  zákon  ustavuje  +/-­‐  85  požadavků.  Více   než  polovina  požadavků  mimo  rámec  SOC  !!!!  

Stavba SOC

www.axenta.cz

Hodnocení SOC (nejen SOC) Prostor  možných  akcí  

Špatná   reakce  

False   nega-ves  

Spuštění   Alertu  

True   posi-ves  

False   posi-ves  

Kvalita  reakce   False  nega=ves  (nedetekovaný  problém)   False  posi=ves  (falešný  poplach)   True  nega=ves  (nehlášená  událost)   True  posi=ves  (detekovaný  problém)   Rychlost  reakce   Zpoždění  reakce  mezi  výskytem  a   informováním  o  provozním  problému   • Kladné  (zpoždění)   • Real-­‐-me   • Záporné  (proak-vita)   True   nega-ves  

Činnosti SOC Penetra-on   Control  

Vulnerability   User/Access  

Vizualizace  děje  

Trendy  

Detekce  False   nega-ves  

SOC  

Kontextová  analýza  

Monitoring  

Detekce  False   posi-ves  

User  account   Opera-on  

Není  strojová  náhrada  za   analy-cké  schopnos-  člověka  !!!  

Incident   management  

Device  Access   Comm.  Rules    

Úrovně vyspělosti dohledového systému  

Úroveň     4:     • adaptace  SOC  na  základě     zpětné  vazby  –  od  uživatelů,  z  prostředí,  od  výrobce   Adaptace     Úroveň  3:   Předvídání   situací   Úroveň  2:   Rozpoznávání  a   hodnocení  situací   Úroveň  1:     Filtrování  a  směrování   událosh   Úroveň  0:     Sběr  událosh  

• pro-­‐ak-vní  dohled   • včasné  upozornění  pro  předcházení  situacím   • pokročilý  dohled   • rozpoznání  významných  situací    na  základě   zpracování  událosh,  historie  a  dalších   souvisejících  informací   • základní  dohled   • výběr  zajímavých  událosh  a  jejich   předání  kompetentním  osobám   • úložiště  logů   • sběr,  čištění  a  validace  událosh  

Uživatel SOC v roli Vyhledávače 5%  úsilí  

reakce  

15%  úsilí  

rozhodování   prohledávání,   porovnávání,     ověřování,  …    

80%  úsilí  

Měření,  logy,  alerty,  exporty,  …  

Uživatel SOC v roli Supervisora 70%  úsilí  

reakce  

15%  úsilí  

rozhodování  

15%  úsilí  

 

Informace  stojící  za  pozornost    

Filtrování  

Korelace  

Validace  

Měření,  logy,  alerty  ,  exporty,  …  

Jak se provozuje SOC? 1 díl - Nástroj Log  management  

LOG  –  Syslog  protocol  

LOG  –  Text  file  

LOG  –  String  stream  

§ 

§  §  § 

SIEM  

Parsing  

DB  Write  

Storebox

Každá  událost  je  iden-fikována  pouze  IP  adresou.   Každá  doplňující  informace  k  této  IP  adrese  musí  pocházet  z   důvěryhodného  zdroje.     Neexistuje  důvěryhodné  propojení  mezi  virtuálním  a  reálným   světem,  ve  kterém  je  provozován  informační  systém.   Připojená  zařízení  mohou  mít  více  síťových  rozhraní  než  jednu.    

Taxonomy  

Correla=on  

Evalua=on  

Escala=on  

Otázkou  je:   § 

Enviroment  

Syslog  protocol  

Enviroment  -­‐  Základní  problémy:   § 

§ 

Collection

LOG  –  Microso]  Event  

Jak  rychle  a  správně  iden=fikovat  problém  v  informačním   systému    s  jeho  korektním  přiřazením  k  příslušnému  správci  pro   efek-vní  řešení?  

Repor=ng  

Context  data   Problem   Incident  

Jak se provozuje SOC? 2 díl – Tým osob SOC   Operator   Parsing

Normalizatio n

CIRT/CERT  

SOC

SIEM   LOG  

Event  

Alert  

Vizualization

Filtering

Scoring

Incident  

Ac-on  

Jak vypadá bezpečnost? Analyze

Security   Analyst  

Correlation Rules

Co dělá bezpečnost pro bezpečnost?

Evaluation

Trendy Soulad s normami

Potřebujete  určit  co  se  děje,  kdo  to    způsobuje  a  kdo   má  co  řešit  !!!!  

Jaký business byl ovlivněn? Jak vysoké jsou ztráty? Jaké incidenty byly řešeny ?

Provoz SOC

www.axenta.cz

Cena SOC     Cena  Sovware    • Licence   • Support   • Servisní  smlouvy  

Cena  hardware   • Servery   • Storage  

Cena  implementace   • Instalace   • Konfigurace   • Školení  obsluhy   • Školení  provozu   • Školení  analýzy  

Vlastnit,  Pečovat,  Užívat  

Cena  služby   •  Model  reakce  (8x5,  10x5,  24x7)   •  Support  napojení  na  SOC   •  Servisní  smlouvy  

Cena  správy  ak-v   •  Zranitelnos-   •  Hrozby   •  Knowledge  base  (Co  mám  udělat?)  

Cena  implementace   •  Instalace   •  Školení  provozu   •  Školení  analýzy  

Užívat,  Reagovat,  Zlepšovat  se  

Implementace SOC

www.axenta.cz

Implementační součinnost Výrobce      Dodavatel    Zákazník  

Execu=ve  Summary  

Worglow&Eskalace  

Korelace&Scénáře  

Parsing&Normalizace  

Metriky   Incidenty   Alerty  

Událos-  

Integrace&Interface  

LOG  data  

S O C R e p o r t y  

Principiální koncept SOC Security  Opera=on  Center  

SIEM  

Internet  

Log  Management   Ochrana  perimetru  

Firewall  

DDI  -­‐  správa  IP  

IDS/IPS  

adresního   prostoru     DHCP,  DNS,  Radius  

NAC  -­‐  802.1x    

Infrastrukturní   monitoring  

Síťové  DLP   NBA  

MAC  auten=zace  /   autorizace    

Behaviorální   analýza  sítě  

L2  monitoring  

Flow   monitoring  

Aplikační   monitoring  

Ochrana  klientů  

EndPoint   Security  /  DLP   An=vir   An=malware  

Klien=   Desktopy   Mobilní   klien-  

Síť   Ak-vní  prvky   Wifi  prvky  

Infrastruktura   Servery   Aplikace    

Jak se staví SOC jako systém? Variable  C omponents 4. Zpřesnění

AddNet

APM

Nessus

F lowMon

Assets

S EC

Data   for CSIRT

F iremon

SCB

C entreon

2. Aktiva

Tickets Dashboards Reporting

3. Reakce

Servers

Desktops

Network Devices

C ollector

3. Analýza dat

Data   Sources

Powered   by S yslog-­‐ng   P E

1. Sběr dat FWs

2. Aktiva

SIEM Logs   Archive Identity   Monitoring

Operator

Jak se staví SOC jako služba? 3. Připojení na SOC IC T

Data   for C SIRT

Tickets Dashboards Reporting

Servers C ollector

Desktops

Logs  via   VPN+SC P+TLS

Data   Sources

Network Devices

FWs

1. Sběr dat

S IEM

Firewall F U N C T I O N S

O P T

Nessus

S yslog

C entreon

S EC

SCB

F iremon

AddNet

F lowMon

Assets

Logs   Archive Identity   Monitoring

Operator

APM

10/5 nebo 24/7 operátor + analytik + auditor SOC + CSiRT rychlost reakce = schopnost detekce + nové korelační metody 2. Aktiva

Shrnutí SOC Řeším workflow problémů, incidentů, kontext dat a kooperaci zvládání následků

SIEM

Centralize Reporting Data Retention

Centralize Reporting Automatic Detection

Centralizace Reporting Automatic Incident Response

Kooperace v Incident Response Aktualizace aktiv

SOC

LM

Řeším sběr, vyhledávání a archivaci log dat

Řeším, které anomálie mne zajímají (analyzovat, řešit) a které anomálie mne trápí (řešit, eliminovat)

SIEM

management

FLOW

Log

Řeším komplexní prostředí s cílem zajistit Incident Response

Flow a NBA

Aktualizace hrozeb

Dotazy?