Security Operations Centre (SOC) for Information Assurance

Transcriptie

1 Security Operations Centre () for Information Assurance Modelleren en meten van de effectiviteit Stef Schinagl vrije Universiteit amsterdam 10 december 2014 File: Vurore Presentatie Seminar , Versie: Phone

2 Introductie Stef Spreker: Stef Schinagl, 24 jaar IT-auditor sinds 2012 Afgeronde VU PGO ITACA Secretaris VUroRE Scriptie samen met Keith Schoon Security Operations Center 2

3 IT Services and their context User population Development Process Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Data Financial Data Things Data IT Service Delivery DATA Applications Users and their processes Systems, sensors, machines etc. Our society Internet of Things Network Operating Centre Functional & Technical Support AV Infrastructure Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners Security Operations Centre 3

4 De E-overheid: Communicatie met de burger Vroeger, de blauwe envelop van de Belastingdienst: Nu alles via IT: De E-overheid En er gaat best iets fout: Juni 2011: SSL certificaten voor social media en voor websites van de overheid gekraakt. De hacker veroorzaakte chaos DIGINOTAR Sleutels ontvreemd voor SSL certificaten 4

5 Vroeger: De E-Bank: Financiële stromen en de klant Nu alles via IT: Bank-apps FRAUDE INTERNETBANKIEREN GEDAALD Fraude in 2 de helft van 2012 was 10 miljoen 1 ste helft ,2 miljoen. Gedaald met 58% Consumenten trappen minder vaak in trucs van criminelen Banken kunnen oplichting sneller opsporen 5

6 Het E-kaartje: Financiële stromen en de reiziger Vroeger: Nu alles via IT: Het E-kaartje OV-CHIPKAART Gekraakt plus fraudes door reizigers Etc. Etc. Etc. Etc. De krakers: Prof Bart Jacobs en zijn team 6

7 Our vital infrastructure (the Internet of Things IoT) Schiphol Dow Chemical, Terneuzen SCADA computers How vulnerable is our vital infrastructure? 7

8 Threats to our vital infrastructure El Palito oil refinery, Venezuela SCADA computers?!?! Schiphol, TK1951, 2009 Air France flight 447 Our vital infrastructure is vulnerable! 8

9 Getallen Cyber Security Aantal (geslaagde) aanvallen of Impact in Incidenten OWASP Fraude Misbruik DDoS Buitenwereld Slordigheid Wraak Etc. Voorgaande jaren of maanden Security Operations Center 9

10 Types of data streams for Information Assurance Information: Data is its digital representation Information systems Confidentiality Integrity Availability CIA Human data System Human domain Data Information specific measures for Human data Data Financial data $ System Financial domain Information specific measures for Financial data Things data Thing Thing Things domain Data Information specific measures for Things data Data Security Operations Center 10

11 Types of data streams for Information Assurance Business Value at Risk IA Requirements IA Measures Residual risk Decomposition Cyber world External good actors Internal good actors Transport, Process & Store Information systems Internal domain External good actors Bad actors Human data System System Human Functionality Data System System Financial data Things data System Thing System $ H T Thing H F Financial Functionality F T Data Things Functionality Data F H T F System T H Thing System Thing 11

12 NCSC: Actoren en dreigingen Actors (NCSC) Dreigingen Incidenten OWASP Fraude Gebruikersorganisatie Voortbrengingsproces Leveranciersmanagement Diensten Ontwikkeling & Onderhoud Arch OTAP Klant bedrijfsprocessen Eisen FO TO Bouw Test Accep Web applicaties WAARDE Financieel Privacygevoelig Vertrouwelijk IT Dienstverlening GEGEVENS Applicaties Klanten en partners van de klant Sensoren en Machines Dreigingen DDoS Buitenwereld Wantrouwen Misbruik Wijzigingen Fouten Storingen Netwerk Operating Centrum Functioneel & Technisch Beheer AV Infrastructuur Kantoor Automatisering & Mobiel Data Netwerk (WAN en LAN s) IDS & IPS AV DMZ APP MW AC OS HW Rekencentra Internet Buitenwereld Koppelingen Partners Storage Storage Lekkage Etc. Slordigheid Wraak Actors (NCSC) Security Operations Center 12

13 Hoe beschermen wij onszelf? Security Operations Centre? Security Operations Centre 13

14 Hoe beschermen wij onszelf? Wat is een Security Operations Center? Security Operations Center 14

15 Opdrachtformulering PROBLEEMSTELLING RIJK Meer technische dreigingen voor informatie Meer behoefte aan goed functionerende s De Baseline Informatiebeveiliging Rijk (BIR) is verplicht voor alle Rijksdiensten Vereist een effectieve monitoring van netwerksystemen Een is daarbij onmisbaar Behoefte Schaarse deskundigheid, inzet van tools en de veelheid van relaties efficiënt benutten Eén rijksbreed expertise netwerk, die met gezag advies kan geven aan beleidsmakers VRAAGSTELLING Hoe, op welke manier en voor welke dienstverlening kan Rijksbreed samenwerking tussen de s worden gerealiseerd? 15

16 Een is mensenwerk Een is een groep competente medewerkers welke vanuit een integraal stelsel van maatregelen de gewenste bescherming biedt tegen cyberdreigingen en IT-misbruik Anti Virus PKI IDS en IPS Etc. Compliance tools Vulnerability tools SIEM Etc. 16

17 Preventief, Detectief, Correctief en Repressief SECURITY BY DESIGN CORRECTIEF REPRESSIEF WAARDE PREVENTIEF DETECTIEF Monitoring Voortbrengingsproces Leveranciersmanagement Diensten Ontwikkeling & Onderhoud Arch NOC FB & TB Infrastructuur Kantoor Automatisering & Mobiel AV OTAP Eisen FO TO Bouw Test Accep Data Web software IT diensten Applicaties GEGEVENS DMZ Netwerk (WAN en LAN s) AV IDS & IPS Storage Storage Internet Buitenwereld Koppelingen Partners Rekencentra Security Operations Center 17

18 Metingen via Spiderdiagrams Kennisdeling Ervaring Consultants Security Governance IB-Beleid 5 4 Opstellen beveiligingseisen Testen en Toetsen Risico's en dreigingen Risicoacceptatie Secure Service Development L IE Incidenten afhandeling 3 2 Pentesten T 1 IN Cyber Intelligence 1 Codereviews Externe Kennisdeling 0 Ervaring Analisten Ervaring Scadebeperkers Monitoring Schadebeperking Security Awareness Respons Plan Ingrijpen op gebruikers Security Operations Center Ingrijpen op techniek SIEM Forensische onderzoeken Beheer Tooling Compliance Scan Vulnerability Scan Sterren: 5 = Gewenste situatie 4 = Voldoende 3 = Suboptimaal 2 = Zorgelijk 1 = Hoog risico Continuous Monitoring 18

19 De componenten van een / Topologie Kaderstellend Sturen en Beheersen Missie Organisatie Bedrijfsdoelstellingen IB organisatie IB Beleid CIO CISO SECURITY BY DESIGN functie BIA Beveiligingseisen Code review RA SSD Dashboard Pentesten PIA Risicoacceptatie INTELLIGENCE functie Attack Patterns BASELINE SECURITY functie CERT Klant specifieke dreigingen Internet dreigingen Rules Verkeersstromen Events > 100 G / dag Botnets MONITORING functie Logs Filter PENTEST functie 4 à 5 Alerts of Events per dag FORENSISCHE functie Security Operations Center 19

20 Positionering en verankering van het Gebruikersorganisatie 1 CISO ISO WAARDE Security by Design Schadebeperkers (Web) applicaties GEGEVENS INTELLIGENCE functie BASELINE SECURITY functie Attack Patterns Infrastructuur A Functioneel en technisch beheer NOC Security beheerder Infrastructuur Gebruikersorganisatie Gebruikersorganisatie N MONITORING functie Logs Infrastructuur Z Functioneel en technisch beheer CISO ISO WAARDE Security by Design Schadebeperkers (Web) applicaties GEGEVENS PENTEST functie FORENSISCHE functie NOC Het kan alleen effectief opereren met verankerde relaties Security beheerder Security Operations Center 20

21 Evaluatie van het model REFLECTIE Het complexe vraagstuk is eenvoudiger geworden Decompositie Invoeren van standaard bouwblokken De introductie van de elementaire basisfuncties maakt het ontwerp van een nieuw overzichtelijk Standaardisatie helpt tevens bij het optimaliseren van een bestaand Er is een bouwwerk gerealiseerd, dat leidt tot een optimaal overall resultaat Schaalvoordeel Het bundelen van kennis en expertise Dit resulteert in een verhoogde weerbaarheid Er kunnen best practices worden ontwikkeld per basisfunctie Zonder te veel discussie over bijvoorbeeld inhoud en positionering 21

22 Epiloog SECURITY OPERATIONS CENTER Een is de logische opvolger van de vroegere informatiebeveiligers, die zich overal ongevraagd mee bemoeiden Het is gericht op Het proactieve aspect, weten wat de attacks zijn en de voordeur zoveel mogelijk dichtzetten, evenals de achterdeur Het detectieve aspect, snel signaleren dat er iets aankomt of iets aan de hand is Het reactieve aspect, namelijk snel een einde maken aan een verstoring en de rommel opruimen Hiervoor zijn experts nodig, onder andere oud-beheerders, die tussen actieve beheerders zitten Plus ervaren IT-auditors, die de gebruikers, beheerders en systemen controleren Security Operations Center 22

23 Vragen Security Operations Center 23