Security Operations Center jako skuteczne narzędzie ochrony infrastruktury IT i OT
Czy to jest realne zagrożenie?
Czy to jest realne zagrożenie również w OT ? 2000 Australii Maroochy Shire w Queensland przejęcie kontroli nad siecią OT, zrzut milionów litrów ścieków do miejscowych parków i rzek 2009 Stuxnet Irańskie zakłady jądrowe zniszczenie wirówek potrzebnych do udoskonalenia uranu 4 letnie opóźnienie programu jądrowego 2014 Niemcy Phishing na hutę stali uzyskani dostępu do systemów operacyjnych 2015 Ukraina Malware Black Energy Energię straciło 225 000 klientów 2016 podobny atak w Klijowie 2015 Polska Firma Eset znalzła próbki malware GreyEnergy w Polsce 2017 Europa ataki ransomware, WannaCry i NotPetya szpitale, fabryki, uczelnie, logistyka
Obszary wspierane w ramach SOC Zarządzanie Incydentami Ocena wpływu na działalność Decyzje o włączeniach (fizycznych i logicznych) Powoływanie sztabów kryzysowych Monitoring sieci i systemów bezpieczeństwa Zbieranie logów z systemów i sieci Korelacja logów Skanowanie w kontekście podatności Monitorowanie i dostrajanie systemów bezpieczeństwa Analityka śledcza Analiza incydentów Obszar sieci Obszar końcówek Analiza złośliwego oprogramowania Baza wiedzy Źródła danych o zagrożeniach Opensource Komercyjne Własne systemy (np. honypot) Własne rozwiązane incydenty Zarządzanie kryzysowe Formułowanie komunikatów do klientów wewnętrznych i zewnętrznych Wsad do informacji medialnych Wsad do analizy prawnej i współpraca Samodoskonalenie Szkolenia dotyczące systemów Konfiguracja Zarzadzanie Wiedza o podatnościach Wpływ na nadzorowane obszary Metody usuwania Wnioski i przeprowadzanie testów penetracyjnych Audyty i ćwiczenia dla SOC
SOC w strukturze organizacji - przykład Zewnętrzne czynniki Regulacje państwowe Regulacje sektorowe Regulacje prawne Ochrona danych Dobre praktyki … Kierownictwo organizacji Kierownictwo IT/OT Kierownictwo finansowe Kierownictwo operacyjne Kierownictwo bezpieczeństwa Kierownik SOC Administratorzy Audytorzy Analitycy Menedżerowie ryzyka Śledczy Analitycy malware Ciągłość działalności Zarządzanie HR Prawnicy Procedury Sprzedaż Współpraca partnerska Współpraca z dostawcami Czynniki wewnętrzne Bezpieczeństwo informacji Zarządzanie ryzykiem
Monitorowanie > Rozwiązywanie > Przewidywanie - NSOC System wewnętrzny NSOC (Ticketing) Monitoring zagrożeń 24/7 alarmów Przyjmowanie i obsługa zgłoszeń Redukcja fałszywych alarmów Korelacja danych w czasie rzeczywistym Użytkownicy Chmura LOGI ZDARZENIA I LINIA NSOC Serwery Storage ALERTY Aplikacje Raporty Zalecenia Konsultacje INCYDENTY Obsługa incydentów Działania zaawansowane i niestandardowe Interakcja z chronionymi elementami Sieć II LINIA NSOC Urządzenia końcowe Wyniki badań MITYGACJA INCYDENTÓW OT Proaktywne poszukiwanie zagrożeń Poszukiwanie i badanie nowych i nieznanych zagrożeń Propozycje optymalizacji działań i scenariuszy Analiza nieznanych zagrożeń informatyka śledcza III LINIA NSOC Źródła danych o zagrożeniach (Threat Intelligence) Korelacja informacji (SIEM) Baza wiedzy
Działań operacyjne w NSOC Zagrożenia Ataki Procesy i procedury 1 Ludzie Systemy Bazy danych Administratorzy Systemów (Klient) 3 8 2 I LINIA NSOC 4 5 Systemy bezpieczeństwa II LINIA NSOC Właściciel incydentu (Klient) 6 System korelacji Systemy wewnętrzne i zewnętrzne III LINIA NSOC 7 Właściciele biznesowi (Klient)
Struktura NSOC I linia NSOC II linia NSOC Zgłoszenia, Monitoring, Wstępna analiza II linia NSOC Zaawansowani analitycy bezpieczeństwa Administratorzy LAN/WAN, Firewall Administratorzy Data Center, Wirtualizacji, Macierzy III linia NSOC Eksperci Bezpieczeństwa Bezpieczeństwo Informacji Hunters, Treat Intelligent NIRT Grupy wparcia, Zespoły kryzysowe
Przykładowy schemat podłączeń do NSOC
10 Urządzenia ochrony sieci przemysłowych działają w oparciu o kopię ruchu przemysłowego Gwarantuje to kompletną separację tych urządzeń od sieci OT i jej całkowite bezpieczeństwo
Monitorowanie sieci OT - źródło dla SOC Wizualizacja sieci i modelowanie Mapowanie sieciowe i wizualizacja poprawiają przejrzystość systemu i procesu, a także ułatwia rozwiązywanie problemów i usuwanie skutków awarii. Wykrywanie ryzyk i anomalii w ICS Natychmiastowe wykrywanie incydentów cybernetycznych i anomalii procesu ICS pozwala na szybką identyfikację i naprawę sytuacji, które mogą mieć wpływ na bezpieczeństwo i niezawodność. Ocena podatności Najnowocześniejsze repozytorium sprawdza system pod kątem obecnych luk, zapewniając wyraźne ostrzeżenie o zagrożeniu w ICS. Prezentacja wyników Szczegółowe raporty i zapytania w czasie rzeczywistym zapewniają widoczność, która poprawia bezpieczeństwo cybernetyczne i wydajność operacyjną Inwentaryzacja zasobów Automatyczna i zawsze aktualna identyfikacja zasobów oszczędza czas. Dokładna inwentaryzacja systemu znacznie zwiększa odporność cybernetyczną.
Procesy i technologie NSOC Zbieranie zdarzeń, logów, alertów Automatyczne wykrywanie, wstępna analiza, priorytetyzacja, badanie anomalii Kwalifikowanie wstępna analiza ryzyka Wyjaśnianie szczegółowa analiza Neutralizacja zagrożeń Podsumowanie incydentu, Przystosowanie systemów, Zabezpieczenie przed podobnymi przypadkami w przyszłości
Nasze rekomendacje i modele współpracy 13 Nasze rekomendacje i modele współpracy SOC samodzielna budowa wewnątrz instytucji zatrudnienie specjalistów i ich utrzymanie przez organizację brak możliwości powiązania incydentów z analogicznymi w branży oraz z zewnętrznymi koszt budowy infrastruktury bezpieczeństwa po stronie organizacji koszty utrzymania SOC po stronie organizacji praca SOC w trybie zmianowym w trybie 24/7/365 model „ewolucyjny” opracowanie koncepcji budowy SOC dla organizacji (przez NASK SA) przygotowanie dokumentacji procesów i procedur ( przy udziale NASK SA) budowa infrastruktury technicznej SOC w organizacji uruchomienie SOC w organizacji przy wsparciu usługodawcy (NASK SA) i szkolenie personelu pełne funkcjonowanie SOC w organizacji po okresie szkolenia (1-3 lat) model „hybrydowy” infrastruktura techniczna SOC uruchomiona w organizacji pierwsza linia SOC w organizacji całkowite lub częściowe przeniesienie obsługi (specjaliści) SOC do usługodawcy (NASK SA) tryb 24/7 tworzenie raportów z pracy SOC u usługodawcy (NASK SA) model usługowy specjaliści i eksperci bezpieczeństwa dostępni wraz z usługą stała analiza incydentów, powiązanie z występującymi w kraju i za granicą brak kosztów inwestycyjnych miesięczne, stałe, przewidywalne opłaty gwarancja SLA i stałego monitorowania systemów 24/7/365 NSOC
Obowiązki wynikające z KSC możliwe do obsłużenia przy pomocy NSOC Powołanie struktur odpowiedzialnych za cyberbezpieczeństwo lub outsourcing Wdrożenie systemu zarządzania bezpieczeństwem Zapewnienie obsługi incydentów Usuwanie podatności Stosowanie rekomendacji dotyczących urządzeń informatycznych oraz oprogramowania
Dziękujemy za uwagę