SOC to the rescue Combating staff shortage, lack of sleep and lack of time
Stanje i problemi ( izazovi ) Broj incidenata, ljudi, vrijeme, izvori, regulative, sofisticiranost napada.
Stanje i problemi ( izazovi )
Stanje i problemi ( izazovi )
Stanje i problemi ( izazovi )
Stanje i problemi ( izazovi ) Mail IDS IPS VPN Firewall WAF DDOS Switch Router Acess Point Storage sustavi Server Antivirus Antispam Aplikacije Sustavi za provjeru ranjivosti Baze podataka Identity management sustavi Active Directory DLP sustavi DHCP DNS Cloud servisi (AWS, O365, Google...)
Stanje i problemi ( izazovi )
Demistifikacija Što SOC uopće je?
Ciljevi SOC-a (High Level) Pregled i uvid u situaciju Smanjenje nedostupnosti i rizika Sprječavanje i kontrola prijetnji Smanjenje administrativnog opterećenja Forenzika Podrška kod usklađenja
Funkcionalnosti Prikupljanje logova Arhiviranje i pohrana logova Upravljanje incidentima Identifikacija prijetnje Nadzor sigurnosnog okruženja kroz prikupljanje sigurnosnih događaja i korelaciju Analiza logova Odgovor na prijetnje Izvještavanje Analiza malware-a, provjere ranjivosti, penetracijska testiranja/red teaming, threat intelligence
Tehnologije Industrial Control Email Mobile Authentication Web DHCP/ DNS Data Loss Prevention Vulnerability Scans Firewall Monitoring, Correlations, Alerts Ad Hoc Search & Investigate Custom Dashboards And Reports Analytics And Visualization Meets Key Needs of SOC Personnel SIEM Developer Platform Network Flows Cloud Apps Servers Badges Intrusion Detection Storage Custom Apps Anti-Malware Asset Info External Lookups / Enrichment Employee Info Threat Feeds Applications Data Stores
Ljudi
Procesi Poslovni Tehnološki Operativni Analitički
Primjeri iz prakse Kako bi SOC pomogao? Kako SOC je pomogao.
Phishing 1 Izrada malicioznog.docx dokumenta Slanje phishing poruka na odabrane korisnike vraćen NDA za sve poruke sa virusom -??? Promjena malicioznog koda u.docx dokumentu mail prolazi Login na računalo gdje je bio logiran domain admin i krađa domain admin passworda iz memorije (mimikatz) Dobiven shell, jer je korisnik otvorio dokument. Iskorištena lokalna ranjivost i dobiven lokal admin pristup Restartan servis na računalu Ukraden hash lokalnog admina. Pokrenute Powershell naredbe Hash iskorišten za lateralno kretanje (50tak računala) Network admin login
Wannacry 15.11.2016. 25.04.2017. Šaljemo redovnu obavijest korisnicima gdje upozoravamo da Ransomware konstantno evoluira i problem je veći nego ikad Navodimo generalne smjernice za obrane od ransomwarea, poput opće higijene sustava i kontrole sigurnosne kopije Šaljemo redovnu obavijest u kojoj upozoravamo o najvažnijoj sigurnosnoj zakrpi u proteklih par godina EternalBlue Preporučujemo da, osim što je nužno instalirati sigurnosne zakrpe, da je nužno i verificirati da su se zakrpe aplicirale na sva računala Za korisnike u sklopu patching održavanja i instaliramo zakrpe 12.05.2017. Šaljemo izvanrednu obavijest korisnicima da je U tijeku je jedna od najvećih ransomware kampanja dosad WannaCry Vanredno skeniramo mrežu za u potrazi za ranjivim računalima Gdje je god moguće gasimo SMBv1 i blokiramo SMB promet na firewall uređajima i endpoint sustavima Pomoću DNS C&A alata pomažemo korisnicima identificirati zaražena računala
Zašto Span?
Jer poslujemo u skladu sa standardima
Brojke za 2018 godinu Broj ticketa godišnje : 86 000 (8-10% vezanih uz sigurnosne probleme) Broj nadziranih uređaja: 17 000+ Broj obrađenih automatski generiranih notifikacija i uzbuna 1.500.000+ Broj instaliranih sigurnosnih zakrpi : 900 000+ Broj komada opreme koji ažuriramo: 1300 125 ugovorenih korisnika Broj otkazanih ugovora: 0 Broj prigovora: 15 (na 86 000 ticketa)