Security Operations Center WORKSHOP 13 JULI 2017 Bart Bosma, Remco Poortinga van Wijnen
Agenda 10:00 Welkom 10:10 Korte presentatie over de deliverable 10:20 Discussie over de deliverable (inhoud en aanbevelingen) 11:00 Presentatie "SOC: een boeiend proces om te komen tot een realistische invulling!" door Renato Kuiper (Universiteit Utrecht) 12:00 Lunch 13:00 Inventarisatie punten voor discussie 13:15 Discussie 15:00 Hoe nu verder 15:30 Conclusie en afronding 16:00 Borrel 2
Geschiedenis/aanleiding Meerjarenplan SURF 2015-2018 - Niet specifiek zo benoemd ( Ontwerp security intelligence & compliance ) Eerste aanzet was interne deliverable in 2015 - Inrichting operational security Een seminar (15 september) en paper (eind 2016/begin 2017) Een panel/workshop bij SURFtweedaagse begin 2017 - Moet SURFnet een SOC inrichten? - Ja, Nee en alles er tussen in - Instellingen die actief willen meedenken Paper gepubliceerd 3
Doel vandaag Delen van informatie Discussiëren over te kiezen richting - En mogelijke stappen - Prioriteiten hierin Input voor jaarplan 2018 en nieuw Meerjarenplan SURF (2019-2022) 4
Lopende activiteiten Communities (kennisdeling) (Open Source) Intelligence (Rogier Spoor, Sjors Haanen, Jeroen Janssen) - Shodan - Censys MISP pilot met 4 instellingen & NCSC (Melvin Koelewijn, Wim Biemolt) Contacten met Hardenize / Ivan Ristic (Joost van Dijk, Rogier Spoor, e.a.) Gebruiken van DNS informatie voor SURFmailfilter (Roland van Rijswijk, Bart Geesink, Olivier van der Toorn) Anansi (IDS), (Rogier Spoor) SURFcert 5
Security Operations Center Onderzoeken van haalbaarheid SURF-breed SOC - Security speelt immers voor iedereen - erbeteren Threat Intelligence - erlengde/overlap SURFcert en bestaande dienstverlening Maar wat is een SOC? - erschillende beelden afhankelijk van wie je vraagt - Buzzwordinflatie erschillende soorten SOC - Controlling SOC - Uitvoeren van vulnerability scans, compliance testing - Monitoring SOC - Monitoren van firewalls, Intrusion Detection Systems (IDS), virusscanners - Operational SOC - Uitvoeren van beheer op firewalls, IDS, certificate management Gebaseerd op eerder PvIB paper (februari 2011, Security Operations Center: een inrichtingsadvies ) - Nieuwer paper PvIB 27 april 2017 ( Een wendbaar SOC is mensenwerk ) 8
Type SOC C M O Firewall log analyse Firewall beheer Intrusion Detection and Prevention (IDP) log analyse Intrusion Detection and Prevention (IDP) beheer ulnerability scan Penetration test Compliance management Identity and Access Management (IAM) beheer Risico Assessment Sleutel management Digitale kluis Cyber Intelligence Forensics Computer Emergency Response Team (CERT) (D)DoS Protection and Mitigation Data Loss Prevention (DLP) Security Advies Security Information and Event Management (SIEM) Privileged User Management 9
Type SOC C M O Behoefte? Firewall log analyse Firewall beheer X Intrusion Detection and Prevention (IDP) log analyse Intrusion Detection and Prevention (IDP) beheer X ulnerability scan X Penetration test X Compliance management X Identity and Access Management (IAM) beheer X Risico Assessment X Sleutel management X Digitale kluis X Cyber Intelligence Forensics X Computer Emergency Response Team (CERT) (D)DoS Protection and Mitigation Data Loss Prevention (DLP) X Security Advies Security Information and Event Management (SIEM) Privileged User Management X 10
Type SOC B G/O Int. Firewall log analyse Firewall beheer Intrusion Detection and Prevention (IDP) log analyse Intrusion Detection and Prevention (IDP) beheer ulnerability scan Penetration test Compliance management Identity and Access Management (IAM) beheer Risico Assessment Sleutel management Digitale kluis Cyber Intelligence Forensics Computer Emergency Response Team (CERT) (D)DoS Protection and Mitigation Data Loss Prevention (DLP) Security Advies Security Information and Event Management (SIEM) Privileged User Management 11
Over- en afwegingen Onderdelen worden al - geheel of gedeeltelijk - door SURF(net) geleverd - ulnerability scanning - Compliance management (SURFaudit) - Forensics (SURFcert) - CERT (SURFcert) - (D)DoS protection & mitigation (SURFcert) - Security advies (SURFcert, communities) Onderdelen gepland/in onderzoek - Cyber/threat intelligence - SIEM - IDS loganalyse - Risico assessment - Sleutel management - Penetration test Andere onderdelen intern instelling - Firewall beheer - Identity & Access Management (IAM) beheer - Digitale Kluis - Data Loss Prevention (DLP) - Privileged User Management 12
Aanbevelingen en vervolgstappen Aanbevelingen Richt op korte termijn geen grootscheeps (ingekocht) doelgroep-breed 24*7 SOC in - ul de belangrijkste behoeften (op SOC onderdelen) in met diensten(verlening) - Deze lijken vooral te liggen op meer proactieve monitoring/detectie en alerting (Threat Intelligence) - Invulling samen met SURFcert en doelgroep, op basis van concrete behoeften en haalbaarheid Mocht er bij een deel van de doelgroep behoefte bestaat aan een (ingekocht) 24*7 SOC: - Pak dit dan op zoals community-cloud project (a la SURFcumulus) ervolgstappen Input voor jaarplan 2018 en nieuw Meerjarenplan SURF (2019-2022) Haalbaarheidsonderzoek Security Operations Center https://www.surf.nl/binaries/content/assets/surf/nl/2017/haalbaarheidsonderzoek-security-operations-center.pdf 13
14
15
16
De vraag voor vandaag Klopt dit? Is invulling door diensten/dienstverlening en SURFcert de goede richting? Kloppen de onderdelen en behoeften? Missen we onderwerpen (Of) Moet er een full SOC komen? - Inkoop/aanbesteding door SURFmarket of geheel door SURFnet (of onder dat label) 17