Nu vill alla ha säkerhet som tjänst
MSS-djungeln En liten guide till hur man hittar rätt Erik Stenvall, Anna Barkvall 2014-02-20 Agenda 1. Var ser vi hacker-aktiviteten idag? 2. Hur ser en organisation för att skydda sig ut? 3. Vilka delar kan man överlåta åt en MSS-partner? 4. Hur väljer man vad man överlåter? © NTT Com Security IDG Säkerhetsdagen 2014-Public Lösningen är inte bara teknik! © NTT Com Security IDG Säkerhetsdagen 2014-Public Fokus idag: klienter Botnets • Arbetskraft • Spam • DDOS • Spridning • Informationsstöld • Lösenord • Intern data • Rekognosering © NTT Com Security IDG Säkerhetsdagen 2014-Public Detektion: Landningssidor och command-and-controltrafik • Svårt • Ständiga förändringar för att försvåra detektion och förbättra spridning • Tidskritiskt • Skadan sker fort • Smala tidsfönster för att komma över malware för konfirmation/analys • Massiv mängd falsklarm • Annars missar man de riktiga händelserna • Typiskt värde för IDS: 99.9% falsklarm © NTT Com Security IDG Säkerhetsdagen 2014-Public Advanced Persistant Threat (APT) Följer inte mönster så mönsterbaserade mekanismer kommer inte att upptäcka dem. Bästa möjligheten till upptäckt är att leta efter anomalier. En förutsättning för att detta skall vara möjligt är att man har teknik och processer på plats så att ”bruset” blir hanterbart. • Kräver att man vet vad som är ”normalt” • Nyfikna och kunniga människor behövs utöver teknik © NTT Com Security IDG Säkerhetsdagen 2014-Public Jobbigt att hålla sig up-to-date? • • • • • • Många teknologier: • IDS/IPS • SIEM • WAFs • Malware protection Massor av information att bearbeta Ont om tid för att förkovra sig Rasande utvecklingstempo Hälsosam paranoia Magkänsla Visst… men det är inte det stora problemet. © NTT Com Security IDG Säkerhetsdagen 2014-Public Vad händer när man misstänker ett intrång? • Process för hantering • • • • • • Konfirmation Städning Rätt verktyg/policy Rätt resurser för hantering Inte tappa bollar Sammanställning och rapportering © NTT Com Security IDG Säkerhetsdagen 2014-Public Ok, vi har processer mellan support/drift/nätverk… puh… • • • Hackarna håller sig inte till kontorstid… …eller tar semester Övervakning och hantering 24x7x365 är nödvändigt © NTT Com Security IDG Säkerhetsdagen 2014-Public Security Operations Centre (SOC) En egen säkerhetsövervakning 20-25 • • • • Man behöver rekrytera 10-12 personer till teamet. De måste arbeta i skift. De måste vara kvalificerade. De måste följa processer. • Redundans då? • Dubbla SOC:ar… …Som samarbetar –tekniskt och personmässigt © NTT Com Security IDG Säkerhetsdagen 2014-Public Personalförsörjning och -utbildning • Skiftgång är krävande • Längden på skiftgående tjänster är relativt kort • Personalrotation • Kunskapsöverföring • Intern-utbildning • Rekrytering • Kontaktytor • Urvalsprocesser © NTT Com Security IDG Säkerhetsdagen 2014-Public Hur såg hot-bilden ut förresten? Den påverkar vilken lösning som är bäst! Hotbilder: > > > > Informations-läckage? Trovärdighet? Stöld? Samhällskritiska funktioner? Regelverk: > PCI DSS > SOX > Lagar och förordningar? Risk Sannolikhet Lösningar: > > > In-house > Kombinationer av ovanstående Enskilda produkter MSS-tjänster X Konsekvens För att det skall fungera måste alla delar fungera ihop. Man kan köpa en lösning men man kan inte ge bort ansvaret. © NTT Com Security IDG Säkerhetsdagen 2014-Public MSS-djungelns lager Komplett åtagande Strategiskt stöd Design-stöd • On-site SOC • IT-säkerhetschef • ”Säkerhet som tjänst” • Kompletta IT-säkerhetsinfrastrukturer • Processer för hantering av incidenter Kvalificerad analys • Kvalificerade analytiker granskar alla larm • Berikning samt rekommendationer Övervakade produkter • Eskalering vid händelser enligt instruktion • Ingen/marginell analys Managerade produkter • Driftövervakning • Konfigurations-ändringar på begäran Produkter © NTT Com Security IDG Säkerhetsdagen 2014-Public • Support • Signaturer Hur skall man välja? Ja på någon av frågorna Dygnet runt-skydd! MSS blir nästan alltid mest kostnadseffektivt: • 7x24-bemanning Dygnet runt-aktivitet? Höjd hotbild? Policykrav på 24x7-skydd? Nej på alla frågorna © NTT Com Security IDG Säkerhetsdagen 2014-Public MSS blir oftast mest kostnadseffektivt: under kontorstid •Skydd Specialisering • Processer • Infrastruktur Är det kostnadseffektivt? Analys av säkerhetshändelser är ett specialist-jobb • Magkänsla kräver att ständig övning • Massor av speciell utbildning och fortbildning • Få organisationer kan sysselsätta ett team tillräckligt fokuserat – speciellt inte ett 7x24-team Speciell infrastuktur • Processer • Egen utveckling av verktyg för analys och berikning • Infrastruktur för inhämtning och lagring • Fördelar av stordrift © NTT Com Security IDG Säkerhetsdagen 2014-Public Sensmoral Lösningen är inte bara teknik! Välj rätt nivå på lösning Välj en MSS-partner – inte en produkt-partner © NTT Com Security IDG Säkerhetsdagen 2014-Public Tack Välkommen till vår monter Erik Stenvall [email protected] Anna Barkvall [email protected]
© Copyright 2024