SECURITY INFORMATION & EVENT MANAGEMENT (SIEM) EN SECURITY OPERATIONS CENTER (SOC) BINNEN UW GEMEENTE

Transcriptie

1 SECURITY INFORMATION & EVENT MANAGEMENT () EN SECURITY OPERATIONS CENTER (SOC) BINNEN UW GEMEENTE Gemeenten hebben in de afgelopen jaren grote stappen gezet in hun informatiebeveiliging. Met de implementatie van de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is de basis op orde. De volgende logische stap is een sterkere focus op detectie en actieve preventie van incidenten. Gezien de toenemende complexiteit van dreigingen en aanvallen zijn conventionele beveiligingsmaatregelen steeds vaker niet meer toereikend. Security Information & Event Management () en Security Operations Center (SOC) kunnen uw gemeente helpen om deze dreigingen te adresseren. In deze factsheet worden de begrippen en hun werking uitgelegd. Deze factsheet vormt een tweeluik met de factsheet Threat Intelligence (TI) die ook beschikbaar is op de website van de IBD. Om geavanceerde dreigingen 1, zowel vanuit binnen als buiten de organisatie, te kunnen adresseren is het essentieel om over de juiste hulpmiddelen en processen te beschikken, waarmee dreigingen en aanvallen in een zeer vroeg stadium gedetecteerd kunnen worden. Op basis van deze vroegtijdige detectie kan er actie ondernomen worden om de aanval zo snel mogelijk te stoppen of in een aantal gevallen zelfs te voorkomen. Het inrichten van een Security Information & Event Management () proces met de bijbehorende tooling en organisatie binnen uw gemeente kan er voor zorgen dat de gevolgen van aanvallen worden verminderd of in sommige gevallen worden voorkomen. Het proces kan worden ondersteund/aangevuld met Threat Intelligence (TI 2 3 ). TI kan als bron voor functioneren, waardoor nog beter kan worden ingezet om de gevolgen van aanvallen te verminderen. Het is een logische volgende stap. De combinatie van en TI is in de toekomst onmisbaar. Het uitvoeren van zowel als TI kan in een Security Operations Center (SOC) belegd worden. Dit is het organisatieonderdeel dat alle IT-security gerelateerde zaken kan begeleiden en uitvoeren TI: Threat Intelligence. Informatie over actuele dreigingen bedoeld om gericht dreigingen op te kunnen sporen. 3 Zie ook de Factsheet TI van de IBD WAT IS? is een proces dat alle beschikbare informatie binnen de ICT-infrastructuur, die een relatie heeft met informatie beveiliging, verzamelt en analyseert. Op basis van deze analyses kunnen kwetsbaarheden ontdekt worden en kunnen aanvallen en verdacht gedrag in een vroeg stadium worden gesignaleerd. In figuur 1 wordt het proces schematisch weergegeven. Network s Databases Applications Intrusion detection Etc. Security events from ICT components Figuur 1, proces Attack based on usecases Vulnerabilities False positives Rule-based filtering can minimize the damage caused by an attack! Risk analysis Nadat er een kwetsbaarheid, aanval of verdacht gedrag gedetecteerd wordt, kan er direct adequate actie ondernomen worden. Het is belangrijk dat dit snel gebeurt, zodat de schade tot een minimum beperkt kan blijven. Het opereren in een dergelijk situatie vergt speciale vaardigheden van de betrokken medewerkers. Medewerkers met het juiste kennisniveau en competenties zijn momenteel schaars op de arbeidsmarkt. Het uitbesteden van /SOC bij een externe leverancier kan hierbij wellicht een werkbare optie zijn. Alert Follow up KAN SCHADE MINIMALISEREN OF IN SOMMIGE GEVALLEN ZELFS VOLLEDIG VOORKOMEN kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

2 Hoe werkt het? Om de dienstverlening van een gemeente optimaal te kunnen beschermen, is het mogelijk om scenario s, gebaseerd op een specifiek dreigingsprofiel, te definiëren die absoluut niet voor mogen komen. Ook verdachte gedragingen op een netwerk vallen hieronder. Dit zijn de zogenaamde use-cases. Een use-case beschrijft activiteiten die, indien ze optreden, de dienstverlening direct of indirect in gevaar brengen. Met -tooling kan het netwerk gemonitord worden op basis van deze usecases. Op het moment dat een use-case op treedt, of het er alle schijn van heeft dat deze use-case gaat optreden, genereert de -tooling een alarm. Op basis van dit alarm kan adequate actie ondernomen worden. Op deze wijze is een passende use-case te definiëren voor ieder bedrijfsmiddel dat beschermd moet worden. Een use-case werkt als volgt: WAT IS EEN SOC? SOC staat voor Security Operations Center. Dit is de plek in de organisatie die alle IT-security gerelateerde zaken kan begeleiden en uitvoeren. Figuur 3 en 4 geven een inzicht in wat een SOC is en hoe dit past binnen het geheel, samen met en TI. Security Operations Center (SOC) Organisatie van bekwame, gespecialiseerde mensen, welke alle operationele taken met betrekking tot Informatie Beveiliging kunnen uitvoeren. Maakt gebruik van: Security Information & Event Management () + Threat Intelligence (TI) Verzamelen events, verzamelen IoC s, verzamelen logs, correlatie van verzamelde informatie. Voert uit: Security Operations Correlatie, analyse, monitoring, alarmering, opvolging, rapportage, incident management, change management, communicatie, beheer tooling. Web Applicatie Database Dienst xyz, normaal gebruik Figuur 2, werking use-case Use-Case: Er mag geen informatie gestolen worden uit (primaire) dienst xyz. Brute-force of Dictionary attack op Webserver websrvr, anders dan via browser. (http & https) appl. server, anders dan van web server. Manipulatie van de applicatie Uitgaande connecties anders dan naar web & database, anders dan van Appl.. Onverwacht grote hoeveelheid data download Uitgaande connecties anders dan naar Toegang vanuit onvertrouwde locaties database applicatiesrvr Webserver Applicatie server Database server Correlatie, filtering, analyse => alarmering + opvolging Het ontwikkelen van de juiste use-cases is essentieel voor een effectieve implementatie van. Er zijn naar verwachting use-cases te ontwikkelen die op een groot gedeelte van de gemeenten van toepassing zijn. De IBD zal in 2017 deze basis-set van use-cases in samenwerking met gemeenten ontwikkelen en ter beschikking stellen via de gebruikelijke IBD kanalen. False Positives Bij ieder detectiemechanisme komen er situaties voor waar een use-case op van toepassing is, maar wat eigenlijk niet tot een alarm zou moeten resulteren. Dit zijn de zogenaamde false positives. Ook bij een -implementatie komen die voor. Een overdosis aan false positives zorgt ervoor dat de echte, belangrijke meldingen verdrinken in de massa. Het goed ontwikkelen en implementeren van de use-cases is cruciaal voor het voorkomen van grote hoeveelheden false positives. Ook na implementatie van de use-cases is er een periode van tuning noodzakelijk, zodat het aantal false positives tot een minimum wordt teruggedrongen. Tevens kunnen aanpassingen in de ICT-infrastructuur voor nieuwe false positives zorgen. Het is van belang om dit aspect ook in het wijzigingsbeheer te integreren. De IBD zal in de toekomst de gemeenten adviseren en ondersteunen bij het ontwikkelen van use-cases. Ook leveranciers kunnen hier aan bijdragen door dreigingen op bedrijfsniveau te vertalen naar technische, configureerbare use-cases. Figuur 3, verhoudingen, SOC en TI De medewerkers van een SOC hebben specifieke, diepgaande kennis van informatiebeveiliging, zowel op het gebied van technologie als ook processen en bedrijfsvoering. Deze combinatie van competenties is momenteel schaars op de arbeidsmarkt. Er zijn diverse manieren om een SOC in te richten en te positioneren binnen een organisatie. In deze factsheet kijken we naar de twee hoofdstromingen. De informatie binnen een SOC heeft een vertrouwelijk karakter. Dit is vaak de belangrijkste motivatie om te besluiten een SOC binnen de eigen organisatie in te richten. Een intern SOC binnen de eigen organisatie vervult doorgaans een rol zoals dat in figuur 4 is weergegeven. Externe TI feeds ICT infrastructuu r TI Wetgeving BIG tooling SOC Onderhoud security Risico s Preventief Advies & actie op Alarmering & Communicati kwetsbaarheden aanval Incident Rapportage e stoppen afhandeling & coördinatie Gemeente Figuur 4, SOC als interne organisatie Aandachtspunten bij het inrichten van een intern SOC zijn: Zijn er mensen met de juiste competenties, of kunnen die geworven worden? Welke soort informatie (classificatie) zal er binnen het SOC inzichtelijk zijn en gebruikt worden? Zijn er wettelijke (dwingende) redenen die van invloed zijn op de inrichting van het SOC? Heeft men de beheer processen goed werkend ingericht?

3 Beweegredenen voor de keuze van het zelf inrichten van een SOC zijn: De gemeente wenst zeggenschap en flexibiliteit over het proces maximaal te benutten. De informatie moet binnen de eigen organisatie blijven i.v.m. het vertrouwelijke karakter. Het is technisch of anderszins onmogelijk (op onderdelen) het SOC uit te besteden. Het inrichten van een intern SOC brengt een aantal uitdagingen met zich mee, zoals het vinden van goed gekwalificeerd en betaalbaar personeel. Een optie is om een extern SOC van een leverancier af te nemen als dienst. Er zijn voordelen en nadelen aan het uitbesteden van diensten als een SOC en deze moeten goed tegen elkaar worden afgewogen. Gezien het vertrouwelijke karakter van de informatie binnen een SOC is het van essentieel belang dat hierbij een betrouwbare partner geselecteerd wordt. Deze partner dient uw gemeente in staat te stellen om te voldoen aan de BIG en aan relevante wetgeving. Figuur 5 geeft weer hoe een extern SOC zou kunnen opereren. Gemeente ICT infrastructuur Externe TI feeds Figuur 5, SOC uitbesteed TI Preventief actie op kwetsbaarheden Rapportage SOC Externe leverancier Alarmering & aanval stoppen Advies & Communicati e BIG Incident afhandeling & coördinatie Risico s Onderhoud security tooling Wetgeving Het inrichten van een SOC met alle tooling en processen is een complexe onderneming. Een leverancier die dit als dienst aanbiedt kan hierbij uw gemeente in grote mate ontzorgen. Een volwassen leverancier kan uw gemeente bij het volledige proces van de inrichting ondersteunen. Aandachtspunten bij het uitbesteden van een SOC zijn: Hoe gaat de leverancier om met vertrouwelijke informatie en mag dat door de opdrachtgever gecontroleerd worden? (audit, ook toetsen aan BIG) Zijn er wettelijke (dwingende) redenen die van invloed/ belemmerend zijn op de inrichting van een extern SOC? Blijft de verzamelde informatie, meestal met een privacygevoelig karakter, in Nederland, of in een ander land? En wat voor wettelijke impact heeft dat? Stel een goede verwerkersovereenkomst 4 op met duidelijke afspraken. Beweegredenen voor de keuze van het uitbesteden van een SOC zijn: beschikbaar is in de eigen organisatie in te kopen. De baten van uitbesteden wegen op tegen de kosten en minder flexibiliteit. Niet alleen de implementatiestrategie is belangrijk bij het inrichten van een SOC, ook de exitstrategie is van groot belang. Het ontstaan van een vendor lock-in, een situatie waarin de klant vast zit aan een bepaalde leverancier, is in alle gevallen van uitbesteding onwenselijk. Bespreek altijd met een leverancier hoe deze met een eventuele beëindiging van de dienst om gaat. Het is voornamelijk van belang wat er met de verzamelde informatie gebeurt na de beëindiging van de dienst. WAAROM IS NODIG? Het hoofddoel van is het beperken van schade door: Aanvallen op de ICT infrastructuur. Exploiteren van kwetsbaarheden. Informatiebeveiligingsincidenten kunnen leiden tot onderbreking van de dienstverlening, directe en indirecte financiële schade en zelfs tot vertrouwensschade van de burger in de gemeente (reputatieschade). Met kunnen aanvallen op de ICT-infrastructuur en het exploiteren van kwetsbaarheden vroegtijdig worden gedetecteerd. Hierdoor kan de gevolgschade sterk worden beperkt en in sommige gevallen zelfs volledig worden voorkomen. Met de introductie van ontstaan nieuwe taken binnen de organisatie en krijgt operationele security een andere positie binnen uw gemeente. Om een optimale samenwerking te bereiken is het belangrijk om de werkzaamheden van het SOC en de andere organisatieonderdelen volledig op elkaar aan te laten sluiten en de verantwoordelijkheden goed te beleggen. De opzet en inrichting van een SOC kan uw gemeente helpen dit succesvol te realiseren. WAT LEVERT HET VOOR GEMEENTEN OP? Gemeenten zijn klaar voor de logische vervolgstap van detectie en preventie van incidenten. kan gemeenten ondersteunen om in control te komen of te blijven. Met krijgt een gemeente real-time inzicht in de security activiteiten die plaatsvinden in de ICT-infrastructuur. Dit stelt de gemeente in staat om direct en adequaat te reageren op verdachte activiteiten in het netwerk. kan doeltreffend bijdragen tot het actief beschermen van de (primaire) dienstverlening. Het inrichten van een SOC is een mogelijkheid voor het beleggen van de taken die voorvloeien uit de implementatie van (en TI). Dit heeft als voordeel dat de operationele IT-security taken centraal belegd zijn en de verantwoordelijkheden eenduidig belegd kunnen worden. Dit komt de efficiëntie en daadkracht van de (IT-security) organisatie ten goede. Men kiest ervoor kennis en ervaring die niet 4 Zie hiervoor de factsheet verwerkersovereenkomsten en de modelverwerkersovereenkomst van de IBD:

4 RANDVOORWAARDEN bestaat uit meer dan enkel technologie. Het is een samenspel van mensen, processen, organisatie en technologie (zie figuur 6). Om het proces optimaal te laten werken moeten alle vier aspecten op elkaar afgestemd zijn. Afhankelijk van het volwassenheidsniveau moeten er in de aangegeven stappen meer of minder activiteiten uitgevoerd worden. De basis voor een goede implementatie vormen de activiteiten in fase 1 en 2. Het is van essentieel belang dat hier voldoende aandacht aan wordt gegeven. Ook de opzet en manier van werken met en binnen een SOC is afhankelijk van de volwassenheid van de gemeente. Het is dus van belang om het niveau eerst te bepalen. Figuur 8 laat zien welke volwassenheidsniveaus er zijn en wat de kenmerken daarvan zijn. Figuur 6, relatie tussen de aspecten Om op een juiste manier in te richten moeten enkele randvoorwaarden ingevuld worden: Niveau Geen kennis en ervaring Niveau 1 Basale kennis en ervaring aanwezig Niveau 2 Uitgebreide kennis en ervaring aanwezig. Men gebruikt al TI//SOC Niveau 3 Autoriteit op het gebied van TI//SOC TI//SOC volledig ingericht. Niveau 4 Support op managementniveau binnen organisatie. Volwassenheid (ICT-)organisatie. Beheer op orde, zowel processen als technologie. Incident 5 - en wijzigingsbeheer 6 op orde. Beschikbaarheid medewerkers met de juiste kennis en competenties. In geval van uitbesteding: Volwassen leveranciersmanagement. Volwassenheid De manier/opzet van een implementatie van is afhankelijk van de volwassenheid van een organisatie. Het is daarom van belang om het volwassenheidsniveau eerst te bepalen. Om de volwassenheid te bepalen kan de / SOC volwassenheidscheck 7 worden gebruikt. Met dit hulpmiddel krijgt een gemeente inzicht in het huidige volwassenheidsniveau. Op basis van het vastgestelde volwassenheidsniveau kan de gemeente bepalen hoe en waarmee men kan starten bij de implementatie van. De IBD ontwikkelt in 2017 een Implementatiepakket per volwassenheidsniveau 8. Een Implementatiepakket bevat richtlijnen die stapsgewijs kunnen worden uitgevoerd, passend bij het betreffende volwassenheidsniveau. Dit draagt bij aan een succesvolle implementatie in uw gemeente. Implementatie Zoals gezegd hangt een implementatie af van de volwassenheid van de gemeente. Het implementatie proces is weergegeven in figuur 7. Implementeer Vertaal deze incidenten, Identificeer risico s naar formuleren bedrijfsrisico s Tooling incl. 1 2 use-cases 3 use-cases 4 advies voor 5 Figuur 7, implementatie proces respons Passende respons op gesignaleerde incidenten Tijd Figuur 8, volwassenheidsniveaus De implementatiepakketten die momenteel in ontwikkeling zijn bij de IBD zullen bij de weergegeven volwassenheidsniveaus aansluiten. Aspecten in de organisatie Om het proces op een effectieve manier te kunnen laten werken zijn er verschillende verantwoordelijkheden die binnen de organisatie belegd moeten worden. Deze verantwoordelijkheden zijn: Risicomanagement: Het management is doordrongen van het belang van detectie van ongewenste activiteiten in de ICT infrastructuur en de daaruit volgende mitigatie van de mogelijke bedrijfsrisico s (beschadigen vertrouwen, kosten, datalek, verloren werk). Men heeft kennis van de bedrijfsprocessen en kan daarmee de prioriteiten bepalen voor het oplossen van een gevonden aanval/exploitatie van een kwetsbaarheid. Technologie: De ICT afdeling (of leverancier bij uitbesteding ICT-beheer) kan op basis van technische aspecten bepalen wat er met een gedetecteerde activiteit moet gebeuren. In overleg met het management kunnen de juiste prioriteiten en oplossingsrichting bepaald worden. Het is hiervoor van belang dat er snel geschakeld kan worden tussen de betrokken niveaus in de organisatie. CISO: Verantwoordelijk voor het proces, inclusief de noodzakelijke verbeterslagen. Dit past binnen de verantwoordelijkheid voor het Information Security Management System (ISMS 9 ). Communicatie: Het communiceren van een aanval kan gevoelig zijn en onrust veroorzaken. Zeker als dit in de media komt. Het is van belang dat dit op juiste wijze en met gepaste voorzichtigheid wordt ingevuld (de woordvoerder van de IBD kan u hierin adviseren). 5 Zie hiervoor het operationele BIG product Voorbeeld Incidentmanagement en response beleid van de IBD 6 Zie hiervoor het operationele BIG product Handreiking proces wijzigingsbeheer van de IBD 7 De / SOC volwassenheidscheck van de IBD is op het moment van schrijven in ontwikkeling en wordt gepubliceerd op de website van de IBD 8 De implementatiepakketten volgen in de loop van Zie hiervoor het operationele BIG product Information Security Management System van de IBD

5 ADVIES VAN DE IBD Gezien de toenemende mate van complexiteit en impact van dreigingen is het sterk aan te raden om een start te maken met. De IBD adviseert de volgende stappen om te starten met : Start met de volwassenheidscheck. Onderzoek of er kennis van /SOC binnen de gemeente aanwezig is. heeft een sterke verbinding met TI. Het is aan te raden om hier ook in te verdiepen. Onderzoek hoe (diensten)leveranciers waarmee de gemeente of het samenwerkingsverband een contract heeft met dit onderwerp omgaan. De vervolgstappen worden beschreven in de implementatiepakketten die in de loop 2017 worden ontwikkeld door de IBD. ROL VAN DE IBD De IBD heeft een ondersteunende rol bij de implementatie van /SOC binnen gemeenten. De IBD zal de benodigde implementatiehulpmiddelen ontwikkelen en beziet of aanvullende gewenst zijn. Het inrichten van /SOC is de volgende stap in het reeds bekende (stapsgewijze) aansluitproces 10 van de IBD. Stap 5 is een nieuwe, maar logische vervolgstap en sluit aan bij de behoefte van gemeenten om vervolgstappen te zetten op het gebied van informatiebeveiliging. Het is noodzakelijk om eerst de stappen 1 t/m 4 in het aansluitproces te realiseren, voordat stap 5 kan worden gezet. DEFINITIE Security Information and Event Management () is een proces dat alle security gerelateerde informatie en gebeurtenissen in een ICT infrastructuur kan verzamelen, interpreteren, analyseren en op basis van deze analyses de noodzakelijke responses kan initiëren of uitvoeren. bestaat o.a. uit de volgende hoofdcomponenten: Definitie en interpretatie (bedrijfs)risico s (op basis van use-cases) Tooling omgeving Organisatie (SOC, CISO, beheer teams) Response op incidenten, gevonden dreigingen Rapportage Het inrichten van het proces raakt zowel de bedrijfsvoering als de ICT omgeving en de inrichting van de operationele organisatie. DEFINITIE SOC Een Security Operations Center (SOC) is verantwoordelijk voor het signaleren en opsporen van kwetsbaarheden in de operationele infrastructuur, het duiden van cyberdreigingen en het adviseren van tegenmaatregelen om bestaande risico s op te heffen. ONTWIKKELINGEN IN DE TOEKOMST De IBD houdt de ontwikkelingen op het gebied van /SOC nauwlettend in de gaten. De IBD zoekt zoveel als mogelijk de aansluiting bij collectieve projecten en programma s van gemeenten, VNG en KING 11. MEER INFORMATIE MEER INFORMATIE OVER ONZE DIENSTVERLENING VINDT U IN DE ANDERE FACTSHEETS VAN DE IBD EN OP DE WEBSITE HIER KUNNEN GEMEENTEN BOVENDIEN VIA DE COMMUNITY RELEVANTE INFORMATIE MET ELKAAR DELEN, VRAGEN AAN ELKAAR STELLEN EN DOCUMENTEN UITWISSELEN. DE HELPDESK VAN DE IBD IS TE BEREIKEN TIJDENS KANTOORUREN VAN 9:00 TOT 17:00 UUR OP HET NUMMER OF VIA HET ADRES INFO@IBDGEMEENTEN.NL. TIJDENS DEZE KANTOORUREN REAGEERT DE IBD BINNEN 30 MINUTEN OP EEN INCIDENTMELDING. BUITEN KANTOORUREN IS DE IBD OP HETZELFDE NUMMER BEREIKBAAR VOOR SPOEDEISENDE MELDINGEN EN ZAL DE IBD BINNEN 60 MINUTEN REAGEREN OP EEN TELEFONISCHE OPROEP. 10 Zie hiervoor de aansluitstappen op de website van de IBD 11 Zie ook: