come realizzare e gestire un security operations center
DESCRIPTION
Come realizzare e gestire un Security Operations Center (MSSP). Presentazione tenuta da Davide Del Vecchio il 19/11/2012 a Milano presso il CLUSIT.TRANSCRIPT
Come realizzare e gestire un
Security Operations Center
Cos’è, come si realizza e tante altre cose che ho imparato negli ultimi anni...
Davide Del Vecchio Responsabile SOC Enterprise di FASTWEB SpA
Come realizzare e gestire un SOC – Davide Del Vecchio
Agenda
Chi sono
Cos’è un SOC
La realizzazione
Gli spazi
Servizi erogati
Conoscenze / Certificazioni / Skill
Chi sono
Oggi:
• Responsabile del SOC Enterprise (MSS) di FASTWEB SpA.
• Autore freelance per WIRED Italia
• Socio fondatore del Centro Studi Hermes (http://logioshermes.org)
• Autore del blog http://socstartup.blogspot.com
• Socio CLUSIT
• Socio ISACA
• Certificato: CISM, ITILv3
In passato:
• Consulente in ambito IT Security per 10 anni
• Ho partecipato allo startup di 2 SOC
• Responsabile per 2 anni della rubrica «vulnerabilità» di ICT Security Magazine
• Ricercatore indipendente nell’ambito della sicurezza informatica conosciuto con il nickname «Dante»
(pubblicazione di numerosi advisory, ricerche, tool)
• Relatore presso numerosi congressi nazionali ed internazionali
Cos’è un SOC
Un Security Operations Center (SOC) è un centro operativo da cui vengono erogati servizi finalizzati alla Sicurezza dei Sistemi informativi:
Dedicato alla sicurezza interna dell’azienda stessa (SOC Corporate / Interno);
Dedicato all’erogazione dei servizi ai Clienti (Managed Security Services - MSS);
Un SOC può anche fornire servizi di Incident Response, in questo
caso svolge la funzione di C-SIRT
(Computer Security Incident Response Team)
Anche se le due funzioni sono logicamente e funzionalmente
assimilabili, alcune grandi aziende dispongono di strutture SOC e
C-SIRT separate.
• Quando un SOC è dedicato alla sicurezza interna dell’azienda stessa il suo principale compito è di
fornire la capacità di analizzare le informazioni e rilevare potenziali rischi e/o tentativi di intrusione,
nonché rispondere in modo tempestivo ad eventuali incidenti di sicurezza.
Un SOC fornisce inoltre tutti quegli strumenti necessari a misurare le performance dei sistemi dedicati
alla sicurezza e quindi a valutare correttamente il livello di rischio/esposizione aziendale.
• Un SOC dedicato all’erogazione di servizi di sicurezza verso terzi viene solitamente denominato MSSP
(Managed Security Service Provider).
Un MSSP eroga servizi che sollevano le aziende dalle gestione operativa della sicurezza aziendale.
Questi servizi sono solitamente gestiti tramite un centro di eccellenza in cui convergono competenze e
tecnologie messe al servizio dei Clienti.
Classificazione dei servizi SOC / MSS
Gestione: tutte le attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate nel SOC, la funzionalità dei sistemi è in questo modo demandata a specialisti di sicurezza e non ad un generico reparto IT
Monitoring: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misuse (utilizzo non corretto) dei sistemi
Incident Response: un team di specialisti in collaborazione con il Cliente individua il miglior approccio possibile per mitigare un attacco in corso (incident handling, DDoS mitigation, crisis team)
Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione dell'organizzazione (risk evaluation, security assessment, early warning, security awareness, event correlation)
Il progetto di realizzazione
Security
Operations
Center
Pre-design
Design
Implementation
Improvement
Pre-design
Certificazioni utili al design
Analisi del mercato dei servizi di sicurezza
Parla con altre persone già coinvolte nel mercato
Costruisci il team di design
Visita altri Security Operations Center
Studia i competitor
Budget
Timing
Pre-design
Certificazioni utili al design
Alcune certificazioni possono risultare molto utili durante la fase di design. Ti
metteranno in grado di risparmiare tempo e denaro evitando di farti commettere gli
errori più comuni. Alcuni esempi di certificazioni utili al design sono: ITIL,
ISO27001LA, PMP, etc
L’approccio più razionale.
In generale, è utile ricordare che “ho seguito le best practice” è la migliore risposta
alla domanda (che sicuramente vi sentirete fare prima o poi) “perché stai facendo/hai
fatto le cose in questa maniera?”
Pre-design
Analisi del mercato dei servizi di sicurezza
Mai dimenticare che si è guidati dal mercato. Bisogna implementare i servizi che
sono richiesti dal mercato. Bisogna evitare di trasformare il SOC in un centro di
ricerca. Un buon esempio di un’analisi di mercato (facile da trovare sul web) sono i
magic quadrant di GARTNER.
Esiste anche un’analisi di mercato di GARTNER ad hoc sui servizi di sicurezza
gestita del mercato europeo.
Pre-design
Parlare con persone già coinvolte nel mercato
Per capire meglio la situazione dei servizi di sicurezza gestita nel tuo paese, dovresti
provare a parlare con il maggior numero di persone possibili già coinvolte in questo
mercato.
Prova ad iscriverti a gruppi specifici su LinkedIN, chiama gli amici e parla con i
protagonisti più conosciuti del mercato.
Pre-design
Costruire il team di design
I componenti del team di design dovrebbero essere sia interni che esterni (consulenti)
all’azienda. Se hai l’opportunità, coinvolgi le persone del marketing, i pre-sale e il NOC.
Le persone del marketing ed i pre-sale ti aiuteranno a spingere sui venditori mentre le persone
del NOC ti potranno aiutare a risolvere i classici problemi ben noti di burocrazia interni alla
compagnia.
Più persone riuscirai a coinvolgere (ma non troppe) e più queste spingeranno il progetto sia
internamente che sul mercato.
Pre-design
Visitare altri Security Operations Center
Se possibile, visita altri SOC e prova a capire come funzionano (o come dovrebbero
funzionare!).
Pre-design
Studiare i competitor
Prova a capire:
• Quali servizi erogano
• Quali non erogano e perché
• Le mancanze, i difetti ed i possibili miglioramenti
• I prezzi ed il modello d’offerta.
Pre-design
Budget
Valuta quali sono le risorse economiche a cui puoi attingere, quali tipi di tecnologie
potrai implementare (un SIEM per esempio è molto costoso) e se sarai in grado di
acquisire il know-how (certificazioni e corsi).
Pre-design
Timing
L’azienda ti darà un obiettivo temporale. Nel migliore dei casi riuscirai a negoziarlo,
nel peggiore sarà mandatorio.
Sarai in grado di effettuare lo startup del SOC ed implementare tutti i servizi che hai
in mente? Quali sarai in grado di offrire nei tempi previsti?
Design
Decidere i servizi da erogare
Effettuare il design dei servizi
Effettuare le scelte tecnologiche
Definire i KPI/KPO
Le facility
Condividere le figure professionali tra i servizi
Pianificare una strategia di mercato
Design
Decidere i servizi da erogare
Decidi i servizi da erogare basando la tua scelta sui fattori presi in considerazione
nella fase di pre-design: analisi del mercato, budget a disposizione, tempi, etc.
Design
Effettuare il design dei servizi
Studia come i servizi devono essere erogati.
Design
Scegliere le tecnologie
Dovrai scegliere quali tecnologie gestire e vendere.
Una buona metodologia per la scelta può essere:
1. Analisi di mercato
2. Creazione di una short list
3. PoC (Proof of Concept)
4. Valutazione
5. Scelta
Design
Definire i KPI/KPO
Per il governo del SOC è molto importante definire i Key Performance Indicators
e i Key Performance Objectives. Utile coinvolgere nelle decisioni anche i tecnici.
Esempi?
Ticket gestiti, apparati gestiti, numero cessazioni, numero escalation…
Design
Le Facility
Dal punto di vista delle facility, avrai bisogno di una stanza (open space) con
accesso ristretto, computer e telefoni (con cuffia), il videowall (in realtà quasi
inutile ma è ciò che i clienti si aspettano di vedere). Da non dimenticare che la rete
del SOC dovrà essere divisa mediante un firewall (e un IPS) dal resto della rete
(slide 41 per dettagli).
Design
Condividere le figure professionali tra i servizi
Prova a pensare a quale tipo di risparmio puoi ottenere facendo gestire dallo stesso
gruppo di analisti più servizi o ancora (più complicato) far gestire gli stessi servizi
da due strutture (ad esempio l’allarmistica di notte potrebbe essere seguita da un
NOC).
Design
Pianificare una strategia di marketing
Contatta il marketing (sarebbe meglio che una persona del team di design venisse
dal marketing) e pianifica una strategia.
Implementation
Scrivere processi e procedure
Acquisire il know-how
Implementare le tecnologie
Creare una cultura della sicurezza nei venditori
Creare un ambiente di test
Far partire la strategia di marketing
Applicare KPI/KPO
Implementation
Scrivere processi e procedure
Coinvolgi il personale tecnico (se possibile, delega) nella scrittura delle procedure
tecniche (dovrai comunque leggerle ed approvarle).
Cerca di far scrivere i processi a persone che sono già da molto tempo in azienda
in maniera tale che siano consapevoli del funzionamento dei processi interni, dei
problemi di burocrazia e di quelli “politici”.
Implementation
Acquisire il know-how
Per acquisire il know-how si può:
• Assumere personale (consulenti o dipendenti, con relativi pro e contro)
• Iscriversi a corsi ed ottenere certificazioni
Implementation
Implementare le tecnologie
Implementa le tecnologie che hai selezionato durante la fase di design.
Implementation
Creare una cultura della sicurezza nelle vendite
Fai sapere alle vendite che esistono dei nuovi servizi da vendere.
Organizza incontri, prepara loro dei powerpoint (di semplice comprensione) sia per
spiegar loro i servizi e sia per venderli.
Implementation
Creare un ambiente di test
Avrai bisogno di un ambiente di laboratorio dove testare le nuove configurazioni, le
nuove tecnologie, i PoC, etc.
Implementation
Far partire la strategia di marketing
Dai il via alla strategia di marketing.
Implementation
Applicare KPI/KPO
I KPI e KPO dovranno essere applicati al lavoro di ogni giorno.
«Non si può gestire ciò che non si può misurare»
Improvement
Valutare le certificazioni utili al SOC
Valutare le certificazioni utili al team del SOC
Mantienere tu ed il tuo team aggiornato
Fare in modo che il mercato ti conosca
Fare in modo che il management ti conosca
Effettuare uno scouting dei nuovi servizi erogabili
Effettuare un periodico aggiornamento delle tecnologie
Tenere sotto controllo KPI/KPO
Improvement
Valutare le certificazioni utili al SOC (visto come struttura)
Alcune certificazioni sono richieste dai bandi di gara, per esempio la ISO27001 è
quasi sempre presente.
Improvement
Valutare le certificazioni utili al team del SOC
Alcune saranno richieste dai bandi di gara, altre ti saranno utili nelle fasi di
troubleshooting.
Una short list di certificazioni utili come esempio: GIAC, CISM, Security+, vendor
specific, CCNA, CISSP, ITIL, etc. (vedi dettagli nella slide 56)
Improvement
Mantenere tu ed il tuo team aggiornati riguardo le news di sicurezza
Leggi ogni giorno le sorgenti più importanti di notizie legate all’IT Security /
hacking. Ad esempio: dark reading, twitter, the hacker news, gruppi linkedin,
twitter, update di status di persone conosciute, etc.
Improvement
Fare in modo che il mercato ti conosca
Organizza incontri, prendi parte a conferenze, usa LinkedIN, twitter, apri un blog e
più in generale fai in modo che le altre persone capiscano che sei un attore
importante del mercato.
Improvement
Fare in modo che il management ti conosca
Non dimenticare mai che sei parte di un’organizzazione più grande. Il tuo
management deve sempre sapere cosa stai facendo e quali sono i tuoi risultati.
Organizza presentazioni periodiche, diffondi le informazioni e nel caso in cui arrivi
un nuovo ed importante cliente, fallo sapere a più gente possibile.
Improvement
Effettuare uno scouting dei nuovi servizi erogabili
È molto importante non smettere mai di parlare con i clienti, leggere le analisi di
mercato, etc per capire dove sta andando il mercato per riuscire ad intercettare in
tempo i bisogni dei clienti.
Improvement
Effettuare un periodico rinnovo delle tecnologie
Almeno una volta l’anno dovresti controllare che le tecnologie che stai
vendendo/gestendo (UTM, proxy, IPS, etc) o che stai usando (SIEM, ticketing, etc)
sono ancora lo stato dell’arte per le tue necessità.
Se così non fosse, dovresti valutare un rinnovo delle stesse.
Improvement
Monitorare KPI/KPO
I Key Performance Indicator e i Key Performance Objectives sono il termometro
del tuo lavoro. Se riuscirai a scegliere i giusti KPI/KPO, questi ti aiuteranno a
capire se stai lavorando bene o meno, se puoi fare meglio o no, se stai lavorando
troppo o troppo poco ed a prendere delle decisioni in maniera razionale.
Caratteristiche degli spazi Open Space
Il posto di lavoro ideale per un SOC è l’openspace. Non ci devono essere muri tra gli analisti. Hanno bisogno di
analizzare insieme eventi, configurazioni, problemi etc e discutere senza barriere. Anche se alcuni si lamentano…
Accesso ristretto
L’accesso all’openspace deve essere ristretto e solo il personale autorizzato deve poter entrare nella stanza. Fai
attenzione al pavimento ed al soffitto flottante: non ci deve essere la possibilità semplice di sfruttarli per saltare
l’autenticazione.
La scrivania
Un telefono (con cuffie) e 2 computer: uno connesso ad internet e l’altro connesso alla rete di management del
SOC. La scrivania dovrebbe essere posizionata a mezza luna in maniera tale che ogni analista sia in grado di vedere
chiaramente il videowall. Tra le scrivanie ci dovrebbero essere dei separatori per fare in modo che un Cliente al
telefono non possa accidentalmente ascoltare la comunicazione di un altro Cliente. Può essere presa in analisi
l’ipotesi di utilizzare un thin client.
Il videowall
Ogni SOC ha un videowall. Il mio suggerimento è di costruirlo con degli LCD e non con degli schermi
retroproiettati. Gli schermi retroproiettati (sono dei videoproiettori) sono più economici all’inizio ma hanno dei
costi di manutenzione molto alti dovuti al fatto che le lampade si fulminano spesso.
La rete
La rete di management del SOC deve essere divisa dal resto della rete dell’azienda per mezzo di un firewall (e un
IPS).
SOC di Swisscom
I servizi erogati ed il modello logico
Early
Warning
DDoS
Protection
Log
Management
Security
Device
Management
Professional
Services
SOC MSSP - Managed Security Services
Threat
Management
Security Services
Channels
Mobile
Security
(Q4 2012)
Security Solution Management Vulnerability Management
Incident
Management
Change
Management Security Monitoring Proactive Security
Event & Log
Correlation
(Q4 2012)
Governance
Servizi di Sicurezza
Argomenti
Security Device Management Obiettivo
Delegare la gestione degli apparati di sicurezza (FIREWALL , IDS/IPS, ANTIVIRUS, HONEYPOT, etc.):
• Gestisce gli apparati chi conosce approfonditamente la tecnologia e ha già affrontato i problemi più comuni in centinaia di installazioni;
• In caso di attacco il team del SOC conosce dove/come agire per riportare la situazione in sicurezza minimizzando i disservizi;
• Le modifiche vengono gestite entro tempi stabiliti (SLA) e le configurazioni sono validate da personale specializzato: no configurazioni improvvisate!! (e.g. un IDS implementato in modo maldestro può bloccare traffico lecito e creare disservizi, un firewall non correttamente configurato, dando un falso senso di sicurezza, apre la strada verso i sistemi interni!)
Secure Connection
Azienda Security Operation Center
Firewall / IDS / etc.
Product Specialist
Security Analyst
Service Manager
Early Warning Obiettivo
Prevenire, contenere o contrastare possibili incidenti di natura informatica aggregando ed analizzando le tematiche di
sicurezza che coinvolgono i Clienti. In generale, fornire all’azienda gli strumenti per decidere in modo consapevole sulle
azioni da intraprendere per garantire la sicurezza dei propri sistemi IT
• Individuare le minacce che possono avere un impatto reale sulla sicurezza filtrando i casi non significativi e non afferenti alla realtà del Cliente;
• Informazioni affidabili e verificate da uno staff di esperti al fine di suggerire le corrette contromisure in base al reale pericolo che una minaccia rappresenta;
• Analizzare le problematiche rispetto a molteplici punti di vista, sia tecnologici che di impatto sul business;
• Avere strumento comprensibile contenente informazioni «pre-digerite» permette al reparto IT aziendale di risparmiare tempo (e costi) durante le fasi implementative
Azienda A
Security Operation Center
Security Analyst
Azienda B
Azienda C
C. Presentazione (report, web-portal, etc.)
B. Elaborazione dati (analisi e contestualizzazione)
A. Raccolta informazioni (analisi di molteplici fonti)
Log Management & Collection Obiettivo Raccogliere e conservare tutti i log del cliente, in
particolare quelli di “accesso” in conformità alla
normativa italiana.
Analizzare e correlare gli eventi per individuare
comportamenti anomali ed eventuali tentativi di
intrusione
Il Provvedimento del Garante della privacy
pubblicato nella GU il 24 dic. 08 obbliga
tutte le aziende e la pubblica
amministrazione a conservare i “log” di tutti
gli accessi amministrativi” a dispositivi e
applicazioni che contengono “dati
personali”.
Il Provvedimento
Plus della gestione attraverso il SOC:
• Supporto e consulenza
nell’identificazione delle sorgenti di log
• Garanzia di immutabilità e integrità dei
dati raccolti
• Utilizzo di piattaforma tecnologiche
leader di mercato
• Soluzioni Scalabili e Modulari che
consentono di crescere facilmente
seguendo le necessità del cliente
Professional Services Obiettivo Offrire ai Clienti consulenza professionale specializzata attraverso attività che consentano di
ottenere una fotografia del livello di sicurezza di un’area della propria infrastruttura IT.
Tipologia di servizi offerti
Penetration Test
Vulnerability Assessment
Web Application Assessment
Wi-Fi Assessment
Mobile Assessment
PCI-DSS ASV scan
Professional Services Penetration test e Vulnerability Assessment Obiettivo
Individuare problematiche di sicurezza proponendo dei sistemi informatici specificati, simulando le metodologie di attacco utilizzate da persone fisiche o malware ai fini di compromettere la riservatezza, disponibilità e integrità dei dati aziendali e valutarne al meglio i possibili impatti sul business
Potenziali impatti e minacce
I sistemi aziendali, se non adeguatamente protetti e regolarmente aggiornati, possono essere oggetto di attacchi mirati (es. spionaggio industriale) o attacchi distribuiti (es. propagazione di malware)
Professional Services Web Application Assessment Obiettivo
Individuare problematiche di sicurezza delle applicazioni web, simulando le metodologie di attacco utilizzate da persone fisiche o malware ai fini di compromettere la riservatezza, disponibilità e integrità dei dati aziendali o la sicurezza della navigazione dei visitatori
Potenziali impatti e minacce
I siti web sono obiettivi privilegiati poichè più esposti ed utilizzati da un grande numero di utenti (es. clienti, fornitori, dipendenti). Sono soggetti a disservizi, danno di immagine, furto credenziali utente, frodi
Professional Services Wireless Assessment Obiettivo
Identificare reti Wireless all’interno degli edifici aziendali, capire se un utente non autorizzato possa accedervi e quindi esporre il Cliente a rischi per la confidenzialità, integrità e disponibilità dei dati contenuti nei sistemi aziendali raggiungibili da tali reti.
Potenziali impatti e minacce
Le reti wireless non sicure possono rappresentare la testa di ponte verso i sistemi interni e causare accessi non autorizzati a risorse aziendali e furti di informazioni riservate
Professional Services Mobile Assessment Obiettivo
Identificare problematiche di sicurezza delle piattaforme di Mobile Device Management (MDM) aziendali e verificare che applicazioni mobile custom non introducano problematiche di sicurezza che possano consentire il furto di informazioni aziendali o l’accesso non autorizzato a sistemi remoti che trasferiscono dati con tali applicazioni
Potenziali impatti e minacce
Un eventuale smarrimento o furto di un dispositivo, o l’infezione da parte di malware, può portare all’esposizione di informazioni aziendali verso terzi
Professional Services PCI-DSS ASV scan Obiettivo
Effettuare Vulnerability Assessment trimestrali verso i sistemi esterni dei Clienti al fine di soddisfare la conformità al requisito 11.2.2 dello standard PCI-DSS ed emettere la documentazione richiesta
Potenziali impatti e minacce
La mancata conformità a questo standard può essere sanzionata con multe da parte delle aziende emittenti delle carte di credito e con l’estromissione dal circuito dei pagamenti, oltre a creare potenziali problemi con clausole assicurative, rivalse legali, ecc.
PCI: è una società a responsabilità limitata con sede in USA, fondata da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. PCI-DSS: standard che definisce le misure di protezione dei processi di gestione dei pagamenti effettuati attraverso carta di credito:
http://it.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php ASV (Approved Scanning Vendor): aziende autorizzate che validano l’aderenza a certi requisiti DSS attraverso l’esecuzione di Vulnerbility Assessment
Distribuited Denial of Service Mitigation Obiettivo
Un attacco «Distribuited Denial of Service» (DDoS) si verifica quando più sistemi in maniera coordinata inondano, la larghezza di banda o le risorse di un sistema, al fine di ostacolare e bloccare le attività arrecando gravi perdite economiche e d’immagine. Scopo del servizio è rilevare l’attacco ed attuare tutte le contromisure necessarie a limitarne l’impatto.
Azienda
Security Operation Center
Corporate Firewall Anti-DDoS Technology
Traffico illecito
Traffico lecito
Mobile Security Rischi per la riservatezza
Nel corso degli ultimi anni si è enormemente diffuso l’utilizzo di dispositivi mobili (es., smartphone e tablet)
non solo per scopi personali ma anche per finalità lavorative. Questa situazione pone un importante rischio
per la sicurezza perché tali dispositivi, se non adeguatamente protetti e gestiti, possono portare
all’esposizione di informazioni aziendali verso terzi.
Obiettivo
L’obiettivo del servizio è quello di rendere disponibile una piattaforma di Mobile Device Management (MDM)
in modalità SaaS con le seguenti caratteristiche:
•Console di amministrazione
centralizzata per la gestione dei
dispositivi mobili aziendali assegnati ai
dipendenti.
•Console di amministrazione
centralizzata per la gestione dei
dispositivi personali di chi intende
usufruire di dati e servizi aziendali (es.
posta elettronica) con il proprio
dispositivo personale (BYOD).
•Possibilità di impostare e gestire policy
di sicurezza su tutti i dispositivi mobili
connessi alla piattaforma.
Certificazioni e skill Certificazioni tecniche
Utili ad analisti e personale tecnico.
CEH (Certified Ethical Hacker). Corso + esame: 2895$.
CGIH (Certified GIAC Incident Handler). Corso + Esame 3500$
OSCP (Offensive Security Certified Professional). Corso + Esame 4000$
ISECOM OPST (Open Source Security tester). Costo non disponibile.
ISECOM OPSA (Open Source Security Analyst). Costo non disponibile.
Certificazioni vendor specific.
Certificazioni più ad alto livello
Utili ai coordinatori degli analisti ed al responsabile del SOC.
CISM (Certified Information Security Manager) - Esame 500€. Corso ~800€.
CISSP (Certified Information Systems Security Professional) – Costo esame: ~500€.
ISO27001 Lead Auditor. Esame + corso ~1800€.
PMP (Project Manager Professional) Esame 340€ per i membri PMI (129$ costo per essere associato alla PMI)
oppure 465€ per i non associati PMI. Costo del corso 3K€.
ITIL v3 foundations. Costo esame: ~150€
CISA (Certified Information System Auditor) Costo esame 500€. Costo corso ~800€.
Thank you
Riferimenti:
http://socstartup.blogspot.com
https://grandiaziende.fastweb.it (sezione security)