SOC le ragioni che determinano la scelta di una struttura esterna

Transcript

1 SOC le ragioni che determinano la scelta di una struttura esterna

2 Indice Scopo Servizi SOC Descrizione Servizi Modello di Erogazione Risorse / Organizzazione Sinergia con altri servizi Conclusioni 2

3 Scopo Communication Valley è un Security Service Provider focalizzato nell area ICT Security e specializzato nella gestione di ambienti complessi in cui è necessario garantire elevata sicurezza e alta disponibilità associati a forte flessibilità operativa. Eroga: Managed Security Services attraverso il suo Security Operations Centre (SOC) operativo H24 Design, integration and deployment di architetture e soluzioni di sicurezza ICT A valle di una sintetica presentazione dei principali p servizi SOC erogati in via continuativa (MSS - Managed Security Services), verranno illustrati gli elementi dei principali servizi SOC. Nel corso della presentazione verrà posto particolare rilievo ai seguenti aspetti: importanza del rapporto fiduciario tra l'outsourcer ed il cliente e modalità operative di interazione (trasparenza) competenze tecniche, aggiornamento e formazione sinergia e conseguente contributo evolutivo tra diversi elementi di servizio (Security Assessment, Network & Security Device Management, FraudManagement, Policy Compliance, Early Warning...) Integrazione degli strumenti, Knowledge Base 3

4 Servizi SOC Descrizione (1/2) Security Monitoring Raccolta e centralizzazione dei log (multisito e multitecnologia). Analisi su richiesta e Reporting Monitoraggio real-time di eventi di sicurezza sull asset sotto monitoraggio Innesco del processo di gestione dei Security Incident System Monitoring Monitoraggio real-time della disponibilità di risorse, servizi di sistema e rete (Availability Monitoring) Misura delle prestazioni (System Performance) Network & Security Device Management Manutenzione Ordinaria / Straordinaria Gestione dei Change Gestione dei Fault Manutenzione Evolutiva (Improvement) 4

5 Servizi SOC Descrizione (2/2) Security Assessment Ricercare le vulnerabilità nelle infrastrutture IT e nelle applicazioni Suggerire piani di intervento per le vulnerabilità critiche, seconda delle Suggerire priorità piani imposte di intervento dai criteri per di le analisi vulnerabilità del rischio critiche, a seconda delle priorità imposte dai criteri di analisi del rischio Fraud Management Individuazione e reazione dei tentativi di frode ai danni di servizi on-line Gestione Shutdown dei siti usati per il Phishing Transaction Monitoring sulle attività online Early Warning Security Policy Policy Compliance Ricerca continua su nuove minacce e vulnerabilità Verifica della conformità dei sistemi agli standard adottati Procedure di hardening per sistemi operativi e applicazioni Procedura per la manutenzione delle configurazioni dei sistemi e applicazioni 5

6 Servizi SOC Modello di Erogazione (1/5) Visione integrata tra le varie componenti di servizio Security Monitoring Vantaggio del difensore System Monitoring Network & Security Device Management Info Ev vento Security Assessment Policy Compliance Security Policy Security Monitoring Fraud Management Early Warning Security Assessment Fraud Management Tecnologie (FW, IPS, AAA, Proxy, Antivirus, AntiSpam, ) Processi / Procedure System Monitoring Network & Security Device Mgmt Early Warning Security Policy Policy Compliance Vantaggio dell attaccante Velocità di Risposta 6

7 Servizi SOC Modello di erogazione (2/5) Cliente SOC (estensione locale) Cliente SOC Cliente Presenza: remota (c/o CV) remota e locale (c/o cliente) Cliente Modalità interazione: i Outsourcing Cosourcing 7

8 8 Servizi SOC Modello di erogazione (3/5)

9 Servizi SOC Modello di erogazione (4/5) Cliente tipo 1 Inoltro diretto eventi SOC Cliente tipo 2 Raccolta locale ed inoltro VPN MPLS e/o VPN su Internet SIEM Centrale + Portale Servizi Cliente tipo 3 SIEM locale (piena funzionalità) 9

10 Servizi SOC - Modello di erogazione (5/5) Approccio one-to-many: esperti di sicurezza informatica operano e ruotano su più clienti / servizi in contemporanea Knowledge Base comune Architettura tecnologica ed organizzativa scalabile Infrastruttura centralizzata e/o distribuita Log retantion: locale o remota (presso il cliente) Analisti 1 livello H24; Analisti 2 livello (locali/remoti); Reperibilità specialistica Sistemisit 1 livello H8; Sistemisti 2 livello (locali/remoti); Reperibilità Specialistica Ambiente / Facility Control Room: spazio indipendente e totalmente dedicati alle attività SOC War Room: ambiente riservato e seggregato dedicato agli Emergency Response Teams atti a gestire situazioni critiche Continuità e Ridondanza su tutte le infrastrutture critiche atte all erogazione dei servizi SLA di servizio Livello base: Data Collectiong&Reporting o livello esteso: Real Time operatività da 8x5 a 24x7 modelli adattabili alle esigenze del cliente impegno (tempi) su: aggiornamento signature ; segnalazione su incidente; accettazione richieste di analisi; tuning regole; capacità di erogare il servizio (es.: sto ricevendo eventi dagli apparati e/o dal SIEM,...?) Output del servizio Portale Servizi: cruscotto, report schedulati, Trouble Ticket Report di sintesi direzionale (mensile o trimestrale) 10

11 Servizi SOC Risorse / Organizzazione (1/2) SOC = 50 + addetti (analisti, sistemisti, i ti tester) t Oltre 100 certificazioni: - altamente specializzati sulle principali tecnologie e soluzioni - attivi presso i principali organismi ed istituti internazionali - centro di competenza all interno di un team (CV + Spike Reply) di oltre 200 professionisti specializzati in ICT Security Vendor Enti ed Organismi 11

12 SOC - Risorse / Organizzazione (2/2) Risorse Analisti Sistemisti Coinvolti nelle attività di Security Monitoring Real Time, Tuning, Analisi, Reporting. Coinvolti nelle attività sistemistiche di amministrazione delle piattaforme SIEM, IDS/IPS, Console Vendor Specific (Maintenance, Change, ) Referente Tecnico Punto di riferimento, verso il cliente e verso i team interni, sulle peculiarità tecniche del servizio verso il cliente. Reperibili Pool di analisti e sistemisti Senior a supporto degli analisti nel NBH, organizzati in base a matrici di competenza (ambiti clienti tecnologie) Service Responsabile unico verso il cliente e verso i team interni, anche Manager per più servizi, della gestione dei servizi erogati e relativa qualità / peculiarità organizzative. 12

13 Servizi SOC Sinergie (1/2) Il servizio di Security Monitoring beneficia dei risultati di altri servizi SOC e viceversa. Qualche esempio Early Warning fornisce analisi i su nuove vulnerabilità e minacce, permettono di essere più reattivi i quando non proattivi i (compreso nel servizio) fornisce alert costruiti da incidenti su realtà diverse (compreso nel servizio) Network & Security Device Management beneficia di quello di Monitoring, dando modo di individuare eventuali errori di configurazione su dispositivi/applicazioni (compreso nel servizio) fornisce evidenze e su: flussi ammessi, policy applicate, Security Assessment (VA/PT) fornisce dettagli sui contenuti dell asset monitorato: es.: sw installati, (se comune) fornisce informazioni i i su eventuali vulnerabilità, indicando d agli analisti SOC a quali minacce prestare più attenzione Policy Compliance fornisce indicazioni sul livello di rischio di un determinato impianto, indicando agli analisti SOC il livello di criticità del Target di una segnalazione beneficia di indicazioni sul grado e ricorrenza di incidenti su un determinato impianto 13

14 Security Monitoring Sinergie (2/2) Team diversi, nell ambito di attività diverse, operano ed interagiscono sullo stesso cliente o target di clienti tramite strumenti e processi condivisi, al fine di mantenere ed alimentare una Knowledge Base comune. Portale Servizi Interazione Contestualizzazione e incident Handling CMDB Correlazione e alerting SIEM Security Monitoring (log / eventi dai device) Security Assessment Early Warning System Monitoring Policy Compliance Fraud Management Security Policy Net & Sec Device MGMT (device gestiti) 14

15 Conclusioni Fattori di distinguo di un SOC Tecnologia di raccolta e correlazione abilitante (SIEM) Integrazione strumenti (SIEM + Knowledge Base + ) ma soprattutto Realtà focalizzate nell IT Security (NOC vs SOC) Competenze delle risorse e massa critica (FTE) Formazione continua Condivisione conoscenze cross-servizi e cross-cliente (sinergie) Processi collaudati e rinnovati 15

16 Contatti eu 16