Security Operations Center

Transkript

1 Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung

2 Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2

3 Bedrohungslage und Risikopotential: die Qualität der Cyber- Bedrohungen, der Angreifer und der Motivationslage steigt rapide. 3

4 Ein (Cyber) Security Operations Center (SOC) ist verantwortlich für die organisationsweite Sicherheitsüberwachung. SOC werden aufgebaut mit folgender Zielsetzung: Operativer Schutz von kritischen Daten und Assets Operative Absicherung der geschäftlichen Infrastruktur Betrieb von Lösungen zur IT-Sicherheit Vorbereitung und Reaktion auf Sicherheitsvorfälle Die wichtigsten Verantwortlichkeiten eines SOC sind: Proaktive Entwicklung angemessener operativer Maßnahmen zur Informationssicherheit Überwachung, Analyse, Korrelation und Eskalation von Bedrohungen und Sicherheitsvorfällen Vorfallsmanagement und forensische Untersuchungen Aufbau und Pflege einer Security Community im gesamten Unternehmen Operative Unterstützung der Geschäftsbereiche und der IT in Krisensituationen 4

5 Security Operations Center - Operating Model Governance Cyber-Security Command Center Executive Security Intelligence Briefings Local Security Oversight SOC Governance Consolidated Security Analytics & Dashboards Local Intelligence Briefings SOC Service Delivery Management Service Level Management Operational Efficiency Service Reporting Escalation Corporate Business Units Legal Audit Operations Architecture & Projects Admin Support Services Tool Integration Rule Admin Security Intelligence Incident Hunting Use Case Recommendations Threat Monitoring Threat Analysis Impact Analysis Threat Triage Investigations Incident Triage Threat Response Adv. Event Analysis Escalations Incident Mgmt. Security Analytics & Incident Reporting CSIRT Management Corp. Incident Response Table-top Exercises Business Operations Business Ops Investigations Public Relations Legal / Fraud Emergency Response IT Operations Incident Mgmt Problem Mgmt Change Mgmt Release Mgmt Technology SOC Platform Components Security Device Data Event Data (Int./Ext.) Event Patterns Correlation Aggregate Security Events Log Data (Transactional) Unstructured Data (Big Data) Custom Rules SIEM Ticketing & Workflow Portal Integration Tools (Web Services) Reporting/ Dashboard Big Data SOC Data Sources Logs (Transactional) Network Hierarchy & Design Business Data from Structure & Geography Unstructured (Big Data) Asset & Data Classifications Threat Intelligence Legende SOC IT/ Corp

6 Security Intelligence: Intelligente Sicherheitssysteme sind zur Einleitung effektiver Abwehrmaßnahmen unverzichtbar. Security Intelligence Intelligente Sicherheitssysteme sind integriert und korrelieren Ereignisse in Echtzeit Schwachstellen erkennen Bedrohungen verstehen Systeme integrieren Datenmengen verwalten Vorfälle in Echtzeit erkennen, korrelieren und analysieren Risiken automatisiert bewerten Gegenmaßnahmen schnell und kontrolliert einleiten Mobile Devices Servers & Mainframes Network & Virtual Activity Database Activity Application Activity Configuration Info Vulnerability Info Users & Identities Schwachstelle Vorhersagen & Verhindern Sammeln & Korrelieren Vorfall Erkennen & Bewerten Melden & Protokollieren Maßnahme 6

7 Herausforderungen bei der Umsetzung eines SOC Governance Sicherheit als Kostenfaktor Diffuse Anforderungslage Verteilte Zuständigkeiten und Prozesse Fehlende Aufbereitung von Ergebnissen Operations Kein dediziertes Personal - SOC als Nebenaufgabe Operative Hektik anstatt strategischer & taktischer Planung Fehlende Vorbereitung auf Krisensituationen Mangel an qualifiziertem Personal Technology Heterogene, verteilte Systemlandschaft erschwert zentrales Management Reduzierung der Überwachung auf Systemverfügbarkeit Unzureichende Nutzung der Technologie, z. B. Logging, aber keine Korrelation 7

8 Empfehlungen für die Umsetzung eines SOC Governance (IT-)Sicherheit als essentieller Bestandteil der Unternehmenskultur Festlegung von Zuständigkeiten & Rollen Synchronisierung & Integration von Prozessen Kontinuierliche Bewertung von Sicherheitsmaßnahmen Stetige Weiterentwicklung der Sicherheitsstrategie Operations Verzahnung des SOC in die Organisation Dediziertes Personal Regelmäßige Notfallübungen anhand realistischer Krisenszenarien Freiraum für Qualifikation des Personals Technology Erweiterung der Systemüberwachung um sicherheitskritische Parameter Automatisiertes, zentralisiertes Schwachstellenmanagement Korrelation von sicherheitsrelevanten Log-Daten 8

9 Der erste Schritt besteht darin, den Reifegrad der vorhandenen operativen Sicherheit zu verstehen. Hierzu eignet sich ein Capability Maturity Model Integration (CMMI) basiertes Rahmenwerk mit den Dimensionen: Governance Prozesse Organisation Metrik/ analytische Fähigkeiten Technologie 9

10 Im nächsten Schritt werden Anwendungsfälle definiert und Schutzmaßnahmen etabliert. Grundsätzliches Vorgehen: Geschäftsziele definieren Sicherheitsvorgaben ableiten Relevante Anwendungsfälle identifizieren Anwendungsfälle in Regeln zur Erkennung von Angriffen implementieren Vorfallsbearbeitung messen und optimieren Praxisbeispiel: Überwachung unternehmenskritischer Daten Überwachung der Datenbank (z. B. Abzug von Daten, Logins außerhalb der Arbeitszeiten) Automatische Erzeugung von Alarmen, die auf der Überwachungskonsole im SOC in Echtzeit angezeigt werden SOC prüft Alarm und initiiert Gegenmaßnahmen (z. B. Blocken des Datenverkehrs) 10

11 Nadine Nagel Vielen Dank für Ihre Aufmerksamkeit! Dr. Stefan Blum IBM Security Services Global Technology Services IBM Deutschland GmbH Telefon: