SOC binnen VU nu. FYSIEKE BEVEILIGING (meldkamer) INFORMATIE BEVEILIGING (vucert)

Transcriptie

1 1

2 2 SOC binnen VU nu FYSIEKE BEVEILIGING (meldkamer) INFORMATIE BEVEILIGING (vucert)

3 SOC taken? Camera observatie Inbraak detectie Toegangscontrole Brand en ontruiming Bouwkundige beveiligingsmaatregelen FYSIEKE BEVEILIGING Sociale Veiligheid ARBO Milieu 3

4 SOC taken? inrichtings advies PvIB PvIB Expertbrief februari

5 2. Security Operation Center (VU SOC) VUCERT VU SOC Reactief Proactief Schade herstellen Schade voorkomen 6 IT

6 VU SOC Fase 1 Huidige situatie CvB Dir Dir Dir IT / CISO Dir Dir Dir HR Comm ISOC ISO Jz FM SOC FB S&E ISOC Team Team Team VUCERT 8 IT

7 SOC Fase 3 SOC onder CISO Q CvB Dir Dir Dir IT / CISO Dir Dir Dir HR Comm SOC ISO Jz FM SOC FB operations ISOC Team Team Team CERT 10 IT

8 SOC Fase x? Integrale beveiliging CvB Dir Dir Dir IT Dir Dir Dir/ CISO? HR Comm ISOC ISO Jz FM SOC FB operations ISOC Team Team Team CERT 11 IT

9 SOC fase x? Integrale beveiliging verankerd CvB Dir Dir Dir IT Dir Dir Dir/ CISO? HR Comm ISOC ISO Jz FM SOC FB operations ISOC Team Team Team CERT 11 IT

10 SOC fase x? Centraal - Decentraal CENTRAAL: SURF SOC INCL CERT DECENTRAAL: SURF INSTELLINGEN 11 IT

11

12 Onze doelen QSight IT Bedrijfspresentatie

13 QSight IT Bedrijfspresentatie

14 QSight IT in cijfers QSight IT Bedrijfspresentatie

15

16 Managed Security Services CGI Netherlands Luciën Sikkens Wageningen - Donderdag 9 februari 2017 CGI Group Inc. CONFIDENTIAL

17 CGI Luciën Sikkens Over CGI Wereldwijde ICT dienstverlener, hoofdkantoor te Canada (Wereldwijde kennis uitwisseling, bijv Threat Intelligence & Use Cases in het geval van onze SOC dienstverlening) 5 kantoren in Nederland, CGI s proximity beleid (Rotterdam, Hoofddorp, Groningen, Arnhem, Maastricht) Managed Security Services gericht op de lokale markt (alle data lokaal, aangepast aan lokale regelgeving/compliancy) Over Luciën Verantwoordelijk voor CGI MSS Nederland Brede achtergrond in alle aspecten van zowel fysieke als logische security en security binnen het ICS domein Securely facilitating business als uitgangspunt 2

18 CGI NL - Managed Security Services SIEM (SOC) Security Information & Event Management or Blue team Vulnerability management Red team Endpoint security PKI Publik Key Infrastructure IAM Identity & Access Management Security Management Services Core Values CIA Availability CGI Effective 3

19 i 4

20 Security Information & Event Management (SOC) SIEM (SOC) Security Information & Event Management or Blue team Vulnerability management Red team Endpoint security PKI Publik Key Infrastructure IAM Identity & Access Management Security Management Service delivery Technology Implementation Pricing 24x7 full service, NL based, Remote service, on-site service & white labeling SIEM based on LogRhythm, Bitsensor (applications), Cyberbit (ICS), EclecticIQ (threat intel), and others Typically 3 months duration, 2 months calibration, service subscription per month Based on average number of Events Per Second per month, variances per 100 EPS File/system access monitoring In application access monitoring Data transport monitoring CIA File change monitoring Configuration change monitoring System change monitoring Tied to BIA methodology Sector specific compliances (i.e. DNB, NEN7510) Sector specific technology (i.e. ICS monitoring) Client proximity with decentralized SOC s CGI Shared service (65 clients) Best practices (SANS, ISO) High automation and AI Multi disciplined (SOC & PEN testing) Availability Effective System health monitoring ICS proces behavioral analysis 5 24x7 operations Unlimited use cases Shared KPI s & 80/20 alarms ratio Complementary solutions

21

22 Peter Twente Security manager Voorzitter CERT-UT Contactpersoon voor Responsible Disclosure meldingen (Tijdelijke) vervanger Security Officer Coördinator kwaliteit 1

23 Peter Twente Sinds juni 1991 Netwerkbeheer TSOsc (Telecommunicatie, Systemen, Operations support center): SOC 2

24 Peter Extern lid sinds juni

25 Wat is een SOC? 4

26 Wat is een SOC? 5

27 Wat is een SOC? 6

28 Wat is een SOC? 7

29 SOC vs. CSIRT (of CERT)? CERT = computercrisisteam? CSIRT = computercalamiteitenteam? SOC =? 8

30 Aspecten van Security Operations WORKSHOP 9 februari 2017

31 Agenda 9:30 10:15 Inleiding door de panelleden 10:30 11:30 Discussie aan de hand van een zestal stellingen Wat doet hij eigenlijk? Threat Intelligence!

32 Panelleden Peter Peters Lid SURFcert (& UTwente) Luciën Sikkens Director Managed Security Services, CGI Jeroen Herlaar Regional Director Consulting Services, Mandiant/FireEye Christian Prickaerts Director Managed Security Services, Fox-IT Jelle Wieringa Innovation Officer, QSight IT Remco Poortinga - van Wijnen Teamhoofd security SURFnet Hans Alfons Security Officer, VU Amsterdam Moderator: Don Stikvoort Partner, m7 Voorzitter Open CSIRT Foundation SCIRT Secretaris

33 Inleiding Korte Presentaties door de Panelleden

34 Stellingen voor de panel discussie Stelling 1: Een SOC is eigenlijk niets meer dan syslog+!

35 Stellingen Stelling 2: Als je een SOC hebt, heb je geen CSIRT nodig.

36 Stellingen Stelling 3: Een SOC monitort en werkt reactief, niet pro-actief.

37 Stellingen Stelling 4: Een SOC analyseert bedreigingen en geeft advies daarover.

38 COC

39 Stellingen Stelling 5: Een SURFsoc* voor aangesloten instellingen is levensvatbaar. * Fictieve naam

40 Stellingen Stelling 6: Een SURFsoc* moet 24/7 actief zijn. * Fictieve naam

41 Aspecten van Security Operations WORDT VERVOLGD 9 februari 2017