Security Operating Center Jenny Kvist 17 September 2013 Public Powered by NTT Com Security Secode blir WideAngle SECODE WideAngle NTT Com Security ©WideAngle Public 18 September 2013 2 Dagens säkerhetsutmaningar Enorma mängder data från olika system, plattformar och applikationer Stort antal olika punktlösningar (antivirus, brandväggar, IDS/IPS, ERP, behörighetskontroll, IdM, SSO etc.) Millioner meddelanden varje dag Attackerna blir allt mer frekventa och sofistikerade Föreskrifter, regler, lagar, standarder m.fl. lägger en allt större börda på system- och nätverksadministratörer ©WideAngle Public 17 September 2013 3 Varför är inte brandväggar, IDS och antivirus tillräckligt? Brandväggen är aktiv och är känd av angripare > Skyddar systemen, inte användarna Antivirus > Fördröjning i att fånga nya hot > Matchar mot filer, inte trafikmönster. IDS larmar på händelser, men ger ingen kontext > Systemloggar > Proxyloggar > DNS loggar > Information från användare etc. ©WideAngle Public 17 September 2013 4 Varför behövs en SOC? Centraliserad inhämtning av säkerhetsrelaterad information > Externa hot > Interna hot > Användaraktiviteter > Förlust av system-, person- eller annan känslig data > Förse utredningar med bevis Håll organisationen flytande > Övervakning av nätverk och system ©WideAngle Public 17 September 2013 5 Dagens SOC utmaning De senaste åren har komplexiteten ökat exponentiellt för SOC:en Security operations handlar inte längre bara om perimeterskydd > Hundratals källor för händelser – brandväggar, IDS, IPS, proxy information, applikationer, identitetshantering, databaser, routrar, switchar, penetrationstest, nätverksskanning, fysisk säkerhetssystem m.fl. SOC:en hanterar den sammanlagda mängden av miljontals händelser varje dag; samtliga händelser måste övervakas, korreleras och analyseras ©WideAngle Public 17 September 2013 6 All denna information! IDS IPS Brandväggar Antivirus VPN Nätverk Web Servrar Falsklarm Filtrering & Trimning Tröskelvärden & Kategorisering Applikationer Behörighetskontroller Databaser O/S Klientmaskiner Övrigt Analys ©WideAngle Public 17 September 2013 7 Hur hanteras utmaningen i SOC:en? IDS/IPS/F W loggar ©WideAngle Övriga händelser Public Berikning Analys GUI Analytiker Sammanhang, korrelering Rapportering 17 September 2013 Incident Respons 8 En balansakt SOC plattformen Larmkällor Berikningssystem Analyssystem Teknik Labb Individerna VS Ledning Användare Tekniker Övriga experter Analytiker Tekniker som använder tekniken 24/7 ©WideAngle Public 17 September 2013 9 Tekniken: SOC plattformen Säker kommunikation mellan: > IDS/IPS/FW > Manageringssystem > Analytiker System Hantering och uppdatering av signaturer och regler ©WideAngle Public 17 September 2013 10 Tekniken: IDS systemet Säkrat OS IDS mjukvara - Snort - Barnyard2 - Pulled Pork Packet inhämtning - TCPDump - Daemonlogger ©WideAngle Public 17 September 2013 11 Tekniken: Berikningsssystemet Säkrat OS Logghanterings mjukvara - BASE, Snorby, OCCIM, Splunk, Nagios Korrelering, filtrering, automatiska poängsättning; viktning, m.m. ©WideAngle Public 17 September 2013 12 Tekniken: Analyssystemet Säkrat OS Analytiker GUI Analys verktyg - Wireshark - Tcpdump - Netwitness -m.fl. ©WideAngle Public 17 September 2013 13 Tekniken: Labbet Testsystem > Testa nya IDS signaturer och regler > Testa nya konfigurationer > Kan användas som backup En skyddad miljö i vilken man kan: > Utvärdera skadlig kod (malware) > Testa olika intrångsmetoder och –verktyg Med hjälp av labbet hittas kriterier för att bygga skräddarsydda regler för din IDS. ©WideAngle Public 17 September 2013 14 Individerna: Analytikerna En SOC är beroende av kompetenta människor som: StruktuTänker kreativt Förstår källkod, hex, etc... Blir aldrig sjuk Är öppna för nya idéer Public Förstår attacker Har jobbet som hobby Blinkar inte ©WideAngle rerade Älskar att lära Kan nätverk Bra på att resonera och tänka kritiskt Förstår malware Inte sover Är nyfikna 17 September 2013 15 Individerna: Övrig expertis System/Nätverksadministratörer > Håller skeppet flytande > Sätter upp miljöerna Plattformsexperter > Lär känna din IDS Forensik experter > För djupare analys efter en incident Incident respons > För att begränsa skadorna efter en incident Externa resurser > Myndigheter, polisen, CERT, leverantörer etc... ©WideAngle Public 17 September 2013 16 Individerna: Användare Rapporterar händelser > Phishing emails > Stölder > Förlorad information Gör saker > Laddar ner skadlig kod > Ger sig in i olämpliga aktiviteter Uppskatta dina användare; de är den mest vidsträckta IDS lösningen > Om den tunas rätt vill säga... ©WideAngle Public 17 September 2013 17 Individerna: Ledningen Agerar interface till andra delar Håller allt samman Sköter finanserna Tar beslut ©WideAngle Public 17 September 2013 18 “The more advanced a control system is, so the more crucial may be the contribution of the human operator” > Ironies of Automation – Lisanne Bainbridge ©WideAngle Public 17 September 2013 19 Tack för uppmärksamheten! Jenny Kvist [email protected]