1 of 15

SOC

Education - Security Operations Center

David Heed - Sunet

en överblick av en framtida tjänst från Sunet; skapad tillsammans inom sektorn

2 of 15

100% säkerhet går inte

Ett stort förtroendeproblem för IT-säkerhetsarbetet i stort är att trots investeringar i brandväggar, antivirus och andra skyddsåtgärder så sker ändå intrång och missbruk av resurserna.

  • Aldrig klart trots proaktivt arbete och massiva utbildningsinsatser
  • Detektion är lika viktigt som förhindrande åtgärder

  • Hur är fördelningen idag för lärosätet?
    • Investeringar, Förvaltningskostnader gentemot monitorering och analys �(95% vs. 5% ?)

3 of 15

Attacker och motåtgärder

4 of 15

Drivkrafter för attacker

  • Förstöra
  • Stjäla information
  • Statlig maktutövning / krigsförberedelse
  • Pivotera från resurs till annat objekt
  • Exponera innehåll publikt
  • Förändra viktigt verksamhetsdata
  • Påverka verksamhetsprocesser
  • Utpressning med hjälp av information som är känslig
  • Bibehålla fotfäste inom organisationen
  • Ransomware
  • Förändra extern webben (Defacement)
  • Utstörningsattacker, DDoS
  • Försämra förtroende hos kunder, medarbetare, partners och samhället i stort

5 of 15

Faser av ett intrång

  • Underrättelse
  • Initialt utnyttjande av sårbarhet
  • Etablerande av ihärdig åtkomst
  • Installation av verktygsstöd/ramverk
  • Förflyttning mellan nätverksresurser
  • Åtkomst till känslig data | GAME OVER

6 of 15

Genomsnittlig tid för upptäckt

2011 - 416 dagar

2012 - 243 dagar

2014 - 205 dagar

2015 - 146 dagar

2016 - 99 dagar

Utan aktiv bevakning 1000+?

Källa: Mandiant

7 of 15

SOC processen

  • Förebygga
  • Upptäcka
  • Åtgärda

8 of 15

Projektets idé

  • Att etablera en distribuerad organisation för att kunna upptäcka och hantera it-säkerhetshändelser för Sunetanslutna organisationer och de tjänster Sunet tillhandahåller

  • Att kunna agera mer förebyggande och assistera vid mitigering/åtgärder
  • Förbättra och ha en mer lokal insikt än vad Sunet CERT har idag

  • Vissa organisationer har inte kompetens, andra kan hjälpa andra
  • Parallellt projekt till Campusnät som tjänst, synergier kring övervakning och trafikanalys

9 of 15

Områden en SOC kan hjälpa

  • Rådgivning IT-säkerhetsfrågor
  • Hot och sårbarhetsanalyser
  • Omvärldsbevakning, sårbarheter och felkonfigurationer
  • Logginsamling, detektion av intrång
  • Forensiska undersökningar
  • Granskning och kontroll av leveranser

10 of 15

Styrning

Projektsamordning David Heed, Sunet�Projektägare Leif Johansson, Sunet

Styrgrupp:

  • Sören Berglund, UMU
  • Magnus Bodelson, MDH
  • Magnus Höglund, DU
  • Hans Wohlfarth KTH
  • John Westerlund, LU
  • Johan Johansson, ITCF
  • Leif Johansson, Sunet
  • Per Nihlén, Sunet

Referensgrupp/användarprioriteringar:� DU?

11 of 15

Resultat från passet i förmiddags

12 of 15

13 of 15

14 of 15

SOC arbetes nivåer

Nivå 1 - Triagehantering (NOC / SOC / Servicedesk)

Nivå 2 - IM / Incident Responder (CSIRT / Incident manager)

Nivå 3 - Hotanalys, Hunt Team (Analys, Arkitektur, Penetrationstest)

Nivå 4 - MGMT, Compliance, Rapporter, eskalering av kris

15 of 15

Frågor och synpunkter?