CYBER DEFENSE Herausforderungen und Krankheiten von modernen Security Operation Center (SOCs)

Transkript

1 CYBER DEFENSE Herausforderungen und Krankheiten von modernen Security Operation Center (SOCs) Dr. Sebastian Schmerl Solution Manager Cyber Defense Computacenter CeBIT,

2 CDC - CYBER DEFENSE CENTER Schutz, Erkennung und Behandlung von Sicherheitsvorfällen Schnelle Erkennung und Behandlung von Sicherheitsvorfällen eigene Organisationseinheit Bündelung des IT-Security Know-Hows Log-Daten-Auswertung Anomalieerkennung und Verhaltensanalysen Malware Analysen & Maßnahmenplanung Security Intelligence & Intelligence Sharing 2

3 72 % 72 % WAS IST DAS PROBLEM BEI DER CYBER-DEFENSE? SCHNELLIGKEIT UND AUTOMATISMUS IN DER RESPONSE FEHLT Angriffe Response Angriffe Sekunden 43 % Werden ausgefeilter Adaptiv und automatisiert Minuten Stunden 29 % 4 % Dauern meist nur Sekunden Nutzen einer sich stets vergrößernden Angriffsfläche Tage 11 % Cyber Response Langsam Wochen 7 % Nicht adaptiv Monate 7 % Oft manuell Jahre 0 % 3

4 REIFEGRADE VON SOC UND ENTWICKLUNGSKURVE BEISPIELE VON KRANKEN SOCS Antivirus SIEM Monitoring NG Firewalls IPS SIEM Firewalls IR Retrainer TI & Data-Analytics Network Forensik Incident Response On-Demand CIRT-Services Log Analyse Response Fähigkeiten Threat Detection and Reponse Advanced Threat Protection Hunting Threat Intelligence Subscriptions Reine Reaktion auf Alarme Fokus auf dem schnellen Schließen von Vorfällen Abarbeiten ohne Verstehen Alarm-Zentrisches Arbeiten Angreifer sind lange ungestört Hohe Mitarbeiter-Fluktuation wenig zusammenhängende Prozesse Wenig ROI Wenig Orchestration Wenig Automation Kein Hunting 4

5 CYBER-DEFENSE BEI COMPUTACENTER Drei Welten, drei Sichtweisen, aber ein Ziel Reale Welt Prozesse Daten Risiko Services Sicherung der Geschäftskontinuität Standorte Kommunikation Menschen Partner Netzwerke IT-Welt Betriebliche-Welt 5

6 ÜBERGEORDNETE CDC-ZIELE: Widerstands- & Reaktionsfähigkeit bei Vorfällen Normal Tatsächliches Sicherheitslevel Risikobasierter Schutz Echtzeitlagebild Vorfallsmanagement Kritisch Erkennung Unterbrechung Geschäftskontinuität Verkürzung der kritischen Zustände Erforderliches Sicherheitslevel für Business-Continuity Intelligence Reduktion der Anzahl von kritischen Zuständen 6

7 Wissensdomänen KERN-SERVICES EINES CDC Rückkopplung Intelligence Erkennen von Risikoänderungen: Intern: der eigenen Installationen und des Umfelds Extern: der Angreifer-Szene, der Bedrohungen, Bewertung von Risiken und Auswirkungen auf Geschäft und Betrieb. Erstellung eines holistischen Risiko-Lagebildes. Risikobasierter Schutz Schutz- und System- Adaption bei Risikoänderungen Re-Konfiguration von Netzwerken, Systemen oder Schutzmechanismen Umsetzung von neuen Schutzmaßnahmen zum Erkennen, Verzögern, Abschrecken Echtzeitlagebild Überwachung von Geräten, Services und Netzwerken z.b. durch: Log-Zentralisierung Präsenserkennung Einbruchserkennung Anomalieerkennung Netzwerk-Monitoring Vorfalls- Management Reaktion und Schadensminimierung bei Vorfällen Empfehlung von Maßnahmen Informationsbereitstellung zur Auswirkungsabschätzung Umsetzung der Maßnahmen (ggf. automatisiert) Erkenntnisse Silo-übergreifende Zusammenarbeit erforderlich z.b. durch Kenntnis über neue Angriffe, Verwundbarkeiten, Angreifer-Kampanien z.b. durch Konfigurationsänderungen, neue Security-Controls z.b. durch automatisierte & kontinuierliche Überwachung z.b. durch Ursache/Auswirkungs-Analysen Cyber Security Wissen und Kenntnisse Geschäftsprozesse Zusammenhänge und Auswirkungen Infrastruktur Wissen und Kenntnisse Threat Intelligence externe o. interne IoCs & Analytics Services CDC Aufbaurichtungen Startpunkt 7

8 Zeit Vorfallsbehandlung Normalbetrieb CDC: BETRIEBSMODI, ROLLEN UND PERSONAL Evaluierung & Verbesserung von Anweisungen und Abläufen Richtet das CDC im Unternehmen aus Überwachung & Reporting der Sicherheitsperformanz Koordinierung von Aktivitäten zur Bedrohungsanalyse & Schutzanpassung Management und Schnittstelle für CDC-Aktivitäten Überwachung, Verfolgung, Analyse und Dokumentation von Ereignissen zur Sicherstellung des Schutzes vor allen potentialen Gefahren Erarbeitet Runbooks Ursachen-Analysen Identifiziert Schwachstellen Security-Engineering zur Steigerung der Widerstandsfähigkeit der gesamten Infrastruktur Ausarbeitung und Definition von SOP Verbesserung der verwendeten Überwachungs- und Analysemethoden Verbessert Runbooks Pflege von SOPs Optimierung und Fine-tuning der verwendeten Korrelationsregeln Aufgaben in seiner externen Fachabteilung Tagesgeschäft in seiner Fachabteilung (CDC-extern) Umsetzung der Anpassungen und Verbesserungen in der Infrastruktur Koordinator / Security Manager Tier 2 Analyst Tier 1 Analyst Resolver (CDC-extern aus Fachabteilung) Verantwortlich für die Gesamtlage Grob-Klassifikation und Zuteilung kritischer Vorfälle auf Analysten Koordinierung des Reportings zur Verantwortlich Information der CDC-Kunden für die und Stakeholder Gesamtlage Überwachung des Verlaufs Entscheidet über Reaktionen und die Eskalation von Vorfällen basierend auf den Informationen, welche vom Analyst zur Verfügung gestellt werden Verantwortlich für einen eskalierten Vorfall Tiefen-Analyse & Detail-Klassifikation Feststellung der Auswirkungen und verbundenen Risiken Bearbeitet komplexe Vorfälle Zuteilung von Aufgaben auf Tier 1 und Resolver und Überwachung (Ergebnisse & Fortschritt) Krisen-Eskalationen basierend auf Resolver-Informationen und eigene Analysen Verantwortlich für einen Vorfall Analyse & Klassifikation Auswahl der geeigneten Vorfallsbehandlung (SOP) Bearbeitet einfache Vorfälle nach Runbook Zuteilung von Aufgaben auf Resolver und Überwachung (Ergebnisse & Fortschritt) Vorfalls-Eskalationen basierend auf Resolver-Informationen und eigene Analysen Verantwortlich für lokale oder ferngesteuerte Umsetzung der einzelnen Reaktionen z.b.: Netzwerk-Isolierung & -Anpassungen Führt IR-Aufgaben aus Host-, System- und Service- Änderungen Manueller Betrieb von Ressourcen im Krisenfall Normal: 95 % Vorfall: 5 % pro Vorfall: 60 min Normal: 60 % Vorfall: 40 % pro Vorfall: 15 min Normal: 10 % Vorfall: 90 % pro Vorfall: SLAs, Kosten Normal: 95 % Vorfall: 5 % 8

9 CYBER DEFENSE CENTER Mission, Aufträge und Aufgaben CDC Missionsdefinition: Mission und Aufgaben des CDCs sollten sich an den Wertschöpfungskette und der Geschäftszielen orientieren. Ein anvisiertes Sicherheitslevel und Erwartungen sollten spezifiziert werden. KPIs und Erfolgsfaktoren sollten für das Messen der CDC Performanz und Relevanz definiert werden. CDC Missionen sind sehr vielfältig, genauso wie der Scope, und das anvisierte Sicherheitslevel Schlüsselfragen sind: Was sind die internen Kunden der CDC Services? Welche Infrastrukturteile sollen geschützt werden? Welche Angreifergruppen und welches Skill-Level sollen durch das CDC abgewehrt werden? Was sind anvisierte Response-Times? Tipps: Der CDC Beitrag sollte von Anfang an messbar sein! Kontinuierliches Review der definierten KPIs und Missionsziele in allen Ausbaustufen des CDCs. 9

10 CDC IST MEHR ALS ERKENNUNG UND BEHANDLUNG Mittel- und langfriste Schutzausrichtung Angriffe Schutzbedarf Eigene Angriffsfläche Verschwendetes Budget Derzeitiger Schutz Das CDC kennt die Bedrohungen, die Angriffe und die eigene Angriffsfläche. Ausrichtung der Schutzmaßnahmen Ungeschützt 10

11 IR-Prozesse SIEM UEBA Analytics CDC AUFGABEN ZWEI OPTIMIERUNGSSCHLEIFEN Kleines und großes Potential Angreifer Angriffe Angriffsfläche Ausnutzung Monitoring-Fähigkeiten Erkennung Detektion-Fähigkeiten Analyse Eingrenzung Beseitigen Wiederherstellen 11

12 IR-Prozesse SIEM UEBA Analytics Voraussetzung: CDC Hoheiten & Stärke CDC AUFGABEN ZWEI OPTIMIERUNGSSCHLEIFEN Kleines und großes Potential Ganzheitlicher Ansatz große Optimierungsschleife Angreifer Angriffe CDC Ziele: Identifizieren Vorhersagen Vorfallsbehandlung kleine Optimierungsschleife Angriffsfläche Ausnutzung Reduzieren Verhindern Monitoring-Fähigkeiten Ausrichten Erkennung Detektion-Fähigkeiten Verbessern Analyse Eingrenzung Beseitigen Unstrukturierte Daten: Malicious IPs URls, Malware IPs Analyse-Ergebnisse Informationen: Hashes, IoC, Malware Typen Nutzergruppen Häufigkeiten Wissen: Angriffsstrategien Verwundbarkeiten Angriffsziele Monetarisierung Angreifer Wiederherstellen Voraussetzungen: Know-How & Überblick 12

13 CC-LÖSUNG: CYBER DEFENSE PORTFOLIO SÄULEN Consulting Services Technologies Aufbau von CDCs Organisation & Prozesse Technology Consulting Transition & Transformation CDC Consultants Security Analysen Vorfallsbehandlungen Krisenmanagement Threat Intelligence Cyber Security Analysten Krisenmanager SIEM Behavior Analytics Case Management Tools Forensic & Incident Response Tools SIEM Consultants Sensorik: Infrastructure Security, Endpoint Security, IAM Advanced Malware Protection, Vulnerability Management, Net Flows 13

14 VIELEN DANK SECURITY IST KEIN LUXUS, SONDERN EINE NOTWENDIGKEIT. 14