Security Operations Centre (SOC) for Information Assurance

Security Operations Centre (SOC) for Information Assurance Modelleren en meten van de effectiviteit

Stef Schinagl

vrije Universiteit amsterdam 10 december 2014

File: Vurore Presentatie Seminar 2014 12 10 © 2014, Versie: 0.07

[email protected] [email protected] www.noordbeek.com Phone +31 71 3416911

Introductie Stef Spreker: Stef Schinagl, 24 jaar • IT-auditor sinds 2012 • Afgeronde VU PGO ITACA • Secretaris VUroRE • Scriptie samen met Keith Schoon

Security Operations Center

2

IT Services and their context Our society

User population VALUE at RISK

Users and their processes

Human Data Financial Data Things Data

Development Process

Users and their processes Systems, sensors, machines etc.

IT Service Delivery

Supplier Management

D-T-A-P Service Development & Maintenance Arch

Reqs

Web Applications

FD TD Build Test Accep

Applications

Internet of Things

DATA

Infrastructure DMZ

Network Operating Centre

Internet Outer World

Network (WAN and LAN’s)

Functional & Technical Support

Connections Partners

IDS & IPS

Office Automation & Mobile AV

Data

Data centres Application Middleware Access Control

Storage Storage

Operating System Hardware

Security Operations Centre

3

De E-overheid: Communicatie met de burger Vroeger, de blauwe envelop van de Belastingdienst:

Nu alles via IT:

De E-overheid

En er gaat best iets fout: Juni 2011: SSL certificaten voor social media en voor websites van de overheid gekraakt. De hacker veroorzaakte chaos

DIGINOTAR

Sleutels ontvreemd voor SSL certificaten

4

De E-Bank: Financiële stromen en de klant Vroeger:

Nu alles via IT:

Bank-apps

FRAUDE INTERNETBANKIEREN GEDAALD • Fraude in 2de helft van 2012 was € 10 miljoen • 1ste helft 2013 € 4,2 miljoen. Gedaald met 58% • Consumenten trappen minder vaak in trucs van criminelen • Banken kunnen oplichting sneller opsporen 5

Het E-kaartje: Financiële stromen en de reiziger Vroeger:

Nu alles via IT: Het E-kaartje

OV-CHIPKAART

Gekraakt plus fraudes door reizigers

Etc. Etc.

Etc.

Etc.

De krakers: Prof Bart Jacobs en zijn team

6

Our vital infrastructure (the Internet of Things – IoT)

Schiphol SCADA computers Dow Chemical, Terneuzen

How vulnerable is our vital infrastructure?

7

Threats to our vital infrastructure

El Palito oil refinery, Venezuela

SCADA computers ?!?!

Our vital infrastructure is vulnerable!

Schiphol, TK1951, Air France flight 447

8

2009

Getallen Cyber Security Aantal (geslaagde) aanvallen of Impact in €

Incidenten OWASP Fraude Misbruik

DDoS Buitenwereld

Slordigheid

Wraak

Etc.

Voorgaande jaren of maanden Security Operations Center

9

Types of data streams for Information Assurance Information systems

Information: Data is its digital representation Data

Human domain

Human data

Confidentiality Integrity Availability

CIA

Information specific measures for

Human data

System Data

$€£

Financial data

Things data

Information specific measures for

Financial domain

Financial data

System

Thing

Data

Things domain

Information specific measures for

Things data

Thing

Data

Security Operations Center

10

Types of data streams Business for Information Assurance

Value at Risk

IA Requirements

IA Measures

Residual risk

Decomposition

Transport, Process & Store

Cyber world

External good actors

Internal domain

Internal good actors

External good actors

Information systems Human data

Human Functionality

System

Bad actors

System

System

System Data HF

FH

System Financial data

$€£ System HT

Financial Functionality Data FT

Thing

System TH

TF Thing

Thing Things data

System

Things Functionality

Thing

Data

11

NCSC: Actoren en dreigingen Actors (NCSC)

Dreigingen

Klant bedrijfsprocessen

Incidenten OWASP Fraude

WAARDE

Klanten en partners van de klant

Financieel Privacygevoelig Vertrouwelijk

Sensoren en Machines

Gebruikersorganisatie

Voortbrengingsproces

DDoS

IT Dienstverlening

Leveranciersmanagement

Buitenwereld

OTAP

Diensten Ontwikkeling & Onderhoud

Web applicaties

Arch Eisen FO TO Bouw Test Accep

Applicaties

Wantrouwen

GEGEVENS

Infrastructuur

Misbruik

DMZ

Netwerk Operating Centrum

Internet Buitenwereld

Wijzigingen

Koppelingen Partners

IDS & IPS

Kantoor Automatisering & Mobiel AV

Storingen

Lekkage

Netwerk (WAN en LAN’s)

Functioneel & Technisch Beheer

Fouten

Dreigingen

Data

Rekencentra APP MW AC AV OS HW

Etc.

Storage Storage

Slordigheid Wraak Security Operations Center

Actors (NCSC)

12

Hoe beschermen wij onszelf?

Security Operations Centre? SOC

SOC SOC

SOC

SOC SOC

SOC SOC

SOC

SOC Security Operations Centre

13

Hoe beschermen wij onszelf?

Wat is een Security Operations Center?

Security Operations Center

14

Opdrachtformulering PROBLEEMSTELLING RIJK • Meer technische dreigingen voor informatie  – Meer behoefte aan goed functionerende SOC’s • De Baseline Informatiebeveiliging Rijk (BIR) is verplicht voor alle Rijksdiensten – Vereist een effectieve monitoring van netwerksystemen – Een SOC is daarbij onmisbaar • Behoefte – Schaarse deskundigheid, inzet van tools en de veelheid van relaties efficiënt benutten – Eén rijksbreed expertise netwerk, die met gezag advies kan geven aan beleidsmakers

VRAAGSTELLING Hoe, op welke manier en voor welke dienstverlening kan Rijksbreed samenwerking tussen de SOC’s worden gerealiseerd? 15

Een SOC is mensenwerk Een SOC is een groep competente medewerkers welke vanuit een integraal stelsel van maatregelen de gewenste bescherming biedt tegen cyberdreigingen en IT-misbruik Anti Virus

Compliance tools

PKI

Vulnerability tools

IDS en IPS

SIEM

Etc.

Etc.

16

Preventief, Detectief, Correctief en Repressief

SECURITY BY DESIGN

CORRECTIEF REPRESSIEF WAARDE

PREVENTIEF

Voortbrengingsproces

IT diensten

Leveranciersmanagement

OTAP

Diensten Ontwikkeling & Onderhoud

Arch Eisen FO TO Bouw Test Accep

Web software

Applicaties

GEGEVENS

DETECTIEF NOC FB & TB

Infrastructuur

DMZ Netwerk (WAN en LAN’s)

Kantoor Automatisering & Mobiel

Monitoring

Security Operations Center

AV

Data

IDS & IPS AV

Internet Buitenwereld Koppelingen Partners Rekencentra

Storage Storage

17

Metingen via Spiderdiagrams Kennisdeling Ervaring Consultants Security Governance Opstellen beveiligingseisen 5 IB-Beleid

Secure Service Development

Testen en Toetsen SOC L

4

Risico's en dreigingen

Risicoacceptatie

SOC IE

3

Incidenten afhandeling

SOC T

Pentesten SOC1 IN

2

Cyber Intelligence

Codereviews 1

Externe Kennisdeling

0

Ervaring Scadebeperkers

Ervaring Analisten

Monitoring

Security Awareness

Respons Plan Ingrijpen op gebruikers

Beheer Tooling

Compliance Scan

Sterren: 5 = Gewenste situatie 4 = Voldoende 3 = Suboptimaal 2 = Zorgelijk 1 = Hoog risico

Vulnerability Scan

Ingrijpen op techniek SIEM Forensische onderzoeken

Schadebeperking

Security Operations Center

Continuous Monitoring

18

De componenten van een SOC / Topologie Kaderstellend Sturen en Beheersen Missie Organisatie Bedrijfsdoelstellingen IB organisatie

IB Beleid CIO CISO

SECURITY BY DESIGN functie BIA RA PIA

Beveiligingseisen SSD Dashboard Risicoacceptatie

Code review Pentesten

Attack Patterns

Internet dreigingen Klant specifieke dreigingen

‘CERT’

Verkeersstromen

Botnets Events > 100 G / dag

INTELLIGENCE functie Rules SOC

BASELINE SECURITY functie Logs

SOC

Filter

MONITORING functie

PENTEST functie FORENSISCHE functie

Security Operations Center

SOC

4 à 5 Alerts of Events per dag

SOC

19

Positionering en verankering van het SOC

Gebruikersorganisatie 1

Infrastructuur A

Security by Design Attack Patterns

Schadebeperkers CISO ISO

INTELLIGENCE functie (Web) applicaties

WAARDE

Security beheerder NOC

GEGEVENS BASELINE SECURITY functie

Gebruikersorganisatie …

Gebruikersorganisatie N Security by Design CISO ISO

Functioneel en technisch beheer

Logs MONITORING functie

PENTEST functie

Schadebeperkers FORENSISCHE functie

Infrastructuur … Infrastructuur Z Functioneel en technisch beheer

Security beheerder NOC

(Web) applicaties WAARDE

GEGEVENS

Het SOC kan alleen effectief opereren met verankerde relaties

Security Operations Center

20

Evaluatie van het model REFLECTIE • Het complexe vraagstuk is eenvoudiger geworden – Decompositie – Invoeren van standaard bouwblokken • De introductie van de elementaire basisfuncties maakt het ontwerp van een nieuw SOC overzichtelijk – Standaardisatie helpt tevens bij het optimaliseren van een bestaand SOC • Er is een bouwwerk gerealiseerd, dat leidt tot een optimaal overall resultaat – Schaalvoordeel – Het bundelen van kennis en expertise – Dit resulteert in een verhoogde weerbaarheid • Er kunnen best practices worden ontwikkeld per basisfunctie – Zonder te veel discussie over bijvoorbeeld inhoud en positionering 21

Epiloog SECURITY OPERATIONS CENTER • Een SOC is de logische opvolger van de vroegere informatiebeveiligers, die zich overal ongevraagd mee bemoeiden • Het SOC is gericht op – Het proactieve aspect, weten wat de attacks zijn en de voordeur zoveel mogelijk dichtzetten, evenals de achterdeur – Het detectieve aspect, snel signaleren dat er iets aankomt of iets aan de hand is – Het reactieve aspect, namelijk snel een einde maken aan een verstoring en de rommel opruimen • Hiervoor zijn experts nodig, onder andere oud-beheerders, die tussen actieve beheerders zitten • Plus ervaren IT-auditors, die de gebruikers, beheerders en systemen controleren

Security Operations Center

22

Vragen

Security Operations Center

23