1
2 SOC binnen VU nu FYSIEKE BEVEILIGING (meldkamer) INFORMATIE BEVEILIGING (vucert)
SOC taken? Camera observatie Inbraak detectie Toegangscontrole Brand en ontruiming Bouwkundige beveiligingsmaatregelen FYSIEKE BEVEILIGING -------------------------------------------------- Sociale Veiligheid ARBO Milieu 3
SOC taken? inrichtings advies PvIB PvIB Expertbrief februari 2011 4
2. Security Operation Center (VU SOC) VUCERT VU SOC Reactief Proactief Schade herstellen Schade voorkomen 6 IT
VU SOC Fase 1 Huidige situatie CvB Dir Dir Dir IT / CISO Dir Dir Dir HR Comm ISOC ISO Jz FM SOC FB S&E ISOC Team Team Team VUCERT 8 IT
SOC Fase 3 SOC onder CISO Q2-2015 CvB Dir Dir Dir IT / CISO Dir Dir Dir HR Comm SOC ISO Jz FM SOC FB operations ISOC Team Team Team CERT 10 IT
SOC Fase x? Integrale beveiliging CvB Dir Dir Dir IT Dir Dir Dir/ CISO? HR Comm ISOC ISO Jz FM SOC FB operations ISOC Team Team Team CERT 11 IT
SOC fase x? Integrale beveiliging verankerd CvB Dir Dir Dir IT Dir Dir Dir/ CISO? HR Comm ISOC ISO Jz FM SOC FB operations ISOC Team Team Team CERT 11 IT
SOC fase x? Centraal - Decentraal CENTRAAL: SURF SOC INCL CERT DECENTRAAL: SURF INSTELLINGEN 11 IT
Onze doelen QSight IT Bedrijfspresentatie 01-03-17
QSight IT Bedrijfspresentatie 01-03-17
QSight IT in cijfers QSight IT Bedrijfspresentatie 01-03-17
01-03-17
Managed Security Services CGI Netherlands Luciën Sikkens Wageningen - Donderdag 9 februari 2017 CGI Group Inc. CONFIDENTIAL
CGI Luciën Sikkens Over CGI Wereldwijde ICT dienstverlener, hoofdkantoor te Canada (Wereldwijde kennis uitwisseling, bijv Threat Intelligence & Use Cases in het geval van onze SOC dienstverlening) 5 kantoren in Nederland, CGI s proximity beleid (Rotterdam, Hoofddorp, Groningen, Arnhem, Maastricht) Managed Security Services gericht op de lokale markt (alle data lokaal, aangepast aan lokale regelgeving/compliancy) Over Luciën Verantwoordelijk voor CGI MSS Nederland Brede achtergrond in alle aspecten van zowel fysieke als logische security en security binnen het ICS domein Securely facilitating business als uitgangspunt 2
CGI NL - Managed Security Services SIEM (SOC) Security Information & Event Management or Blue team Vulnerability management Red team Endpoint security PKI Publik Key Infrastructure IAM Identity & Access Management Security Management Services Core Values CIA Availability CGI Effective 3
i 4
Security Information & Event Management (SOC) SIEM (SOC) Security Information & Event Management or Blue team Vulnerability management Red team Endpoint security PKI Publik Key Infrastructure IAM Identity & Access Management Security Management Service delivery Technology Implementation Pricing 24x7 full service, NL based, Remote service, on-site service & white labeling SIEM based on LogRhythm, Bitsensor (applications), Cyberbit (ICS), EclecticIQ (threat intel), and others Typically 3 months duration, 2 months calibration, service subscription per month Based on average number of Events Per Second per month, variances per 100 EPS File/system access monitoring In application access monitoring Data transport monitoring CIA File change monitoring Configuration change monitoring System change monitoring Tied to BIA methodology Sector specific compliances (i.e. DNB, NEN7510) Sector specific technology (i.e. ICS monitoring) Client proximity with decentralized SOC s CGI Shared service (65 clients) Best practices (SANS, ISO) High automation and AI Multi disciplined (SOC & PEN testing) Availability Effective System health monitoring ICS proces behavioral analysis 5 24x7 operations Unlimited use cases Shared KPI s & 80/20 alarms ratio Complementary solutions
Peter Peters @Universiteit Twente Security manager Voorzitter CERT-UT Contactpersoon voor Responsible Disclosure meldingen (Tijdelijke) vervanger Security Officer Coördinator kwaliteit 1
Peter Peters @Universiteit Twente Sinds juni 1991 Netwerkbeheer TSOsc (Telecommunicatie, Systemen, Operations support center): SOC 2
Peter Peters @SURFcert Extern lid sinds juni 2001 3
Wat is een SOC? 4
Wat is een SOC? 5
Wat is een SOC? 6
Wat is een SOC? 7
SOC vs. CSIRT (of CERT)? CERT = computercrisisteam? CSIRT = computercalamiteitenteam? SOC =? 8
Aspecten van Security Operations WORKSHOP 9 februari 2017
Agenda 9:30 10:15 Inleiding door de panelleden 10:30 11:30 Discussie aan de hand van een zestal stellingen Wat doet hij eigenlijk? Threat Intelligence!
Panelleden Peter Peters Lid SURFcert (& UTwente) Luciën Sikkens Director Managed Security Services, CGI Jeroen Herlaar Regional Director Consulting Services, Mandiant/FireEye Christian Prickaerts Director Managed Security Services, Fox-IT Jelle Wieringa Innovation Officer, QSight IT Remco Poortinga - van Wijnen Teamhoofd security SURFnet Hans Alfons Security Officer, VU Amsterdam Moderator: Don Stikvoort Partner, m7 Voorzitter Open CSIRT Foundation SCIRT Secretaris
Inleiding Korte Presentaties door de Panelleden
Stellingen voor de panel discussie Stelling 1: Een SOC is eigenlijk niets meer dan syslog+!
Stellingen Stelling 2: Als je een SOC hebt, heb je geen CSIRT nodig.
Stellingen Stelling 3: Een SOC monitort en werkt reactief, niet pro-actief.
Stellingen Stelling 4: Een SOC analyseert bedreigingen en geeft advies daarover.
COC https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
Stellingen Stelling 5: Een SURFsoc* voor aangesloten instellingen is levensvatbaar. * Fictieve naam
Stellingen Stelling 6: Een SURFsoc* moet 24/7 actief zijn. * Fictieve naam
Aspecten van Security Operations WORDT VERVOLGD 9 februari 2017