PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?

1. A może tak,
zbudujemy sobie SOC’a ?
Tomasz Wodziński
ISSA, ClearSec

2. Kim jestem ?
• Co robię
– Jestem obrońcą (Defender) z zamiłowania
– Pomagam budować dojrzałe działy bezpieczeństwa w tym SOC
– Zabezpieczam organizacje przeciwko atakom APT, złośliwym wewnętrznym aktorom takimi jak
insaider czy bożek .
– Reagować na incydenty bezpieczeństwa oraz sytuacje kryzysowe
• Kim jestem:
– Etycznym hakerem – C|EH
– Incydent Handlerem - SANS GCIH
– Specjalistą Bezpieczeństwa – CISSP
– Audytorem – CISA
• Co robiłem
– 7 lat związany wyłączenie z bezpieczeństwem
– 12 lat w telekomunikacji w obszarach IT, techniki, rozwoju
– 4 lata w consulting i integracji
– 3 lata w sektorze publicznym

3. Kilka pytań wprowadzających
• Miałem / mam konieczność zbudowania SOC / CERT lub jestem częścią
komórki bezpieczeństwa, której stawia się taki cel ?
• Uczestniczyłem w reakcji na incydent cyber bezpieczeństwa?
• Incydent cyber-bezpieczeństwa prawdopodobnie był APT ?
• W incydent bezpieczeństwa zaangażowane były państwowe organy
ścigania ?
• Pomagałem reagować na zdarzenie, które trwało (systuacja kryzysowa)
?
• Rozumiem różnicę pomiędzy Security Operations Center (SOC) oraz
Computer Emergency Response Team (CERT) ?
• Wiem co to jest ISSA ?
6660540
kahoot.it

4. Stowarzyszenie ISSA
Cel działania:
– Krzewienie wiedzy na temat bezpieczeństwa systemów informacyjnych
– Promowanie zasad i praktyk, które zapewniają poufność, integralność,
niezaprzeczalność i dostępność zasobów informacyjnych
– Promowanie i rozwój swoich członków poprzez podnoszenie ich
umiejętności zawodowych związanych z ochroną systemów informacyjnych
• dostarczanie wiedzy związanej z tematyką szeroko pojętego bezpieczeństwa
systemów informacyjnych,
• edukację i promowanie standardów dotyczących bezpieczeństwa systemów
informacyjnych,
• opiniowanie wydarzeń i rozwiązań z zakresu bezpieczeństwa systemów
informacyjnych oraz
• propagowanie potrzeby bezpieczeństwa systemów informacyjnych.

5. Jak działamy
Nasze konferencje:
• Semafor
• RIBA Forum
• TechRisk
• AT Summit
Konferencje partnerskie:
• Internet Banking Security
• Security Case Study
• PLNOG
• Secure
• PNWing
• Security Banking Forum
• Confidence
• X33con
• …

6. Clear Sec
• Konsultanci / praktycy
– Doświadczenie w pracy i z budowy CSOC / CSIRT
– Wsparcie OnBoardingu dostawcy MSSP
– Ocena dojrzałości CSOC / CSIRT
– Wsparcie w odpowiedzi na incydent i sytuacje kryzysową (atak)
– Przygotowanie procesów i procedur działania CSOC / CSIRT
– Szkolenia dedykowane dla klientów
• Budowanie procesów CSOC / CSIRT
• Ocena zagrożeń (Triage)
• Szybkie metody analizy kodu źródłowego
• Program Awarness
• Konfiguracja narzędzi Security Opertions Management
– RSA Archer
– TheHiveProject / MISP

7. Analiza przypadku – znana marka
• 1.4 miliarda przychód
• 350 miliona zysk brutto
• 2.5 miliarda aktywa
• 3 miliardy obrotu grupy
• Pokłosie WannaCry oraz notPety
• Poziom zatrudniania około 750 osób
• Około 2000 assetów IT (komputery, serwery, telefony itp.)

8. Początki są optymistyczne
• Główna przyczyna
– Incydent
– NIS
– RODO
– KRI
• Wzmacniamy dział
– Rekrutujemy ludzi
– 24 godzinna ochrona

9. Dobór modelu pracy – Gdzie szukać
• Modele współpracy
– OnPremise
– mieszany
– Zakupiony
Technologia
LudzieProcesy
SOC – komórka identyfikująca nieznane zagrożenia w swojej infrastrukturze
CERT – komórka wymieniająca się zidentyfikowanymi zagrożeniami

10. Ludzie – szukamy

11. Ludzie … mieć wiedzę
umiejętności
analityczne
umiejętności
komunikacyjne
wiedza
techniczna

12. Ludzie … ścieżki edukacyjne
path of Samurai
pentesty
informatyka śledcza
analiza kodu / malware
path of Jedi
bezpieczeństwo sieci i aplikacji
architektura bezpieczeństwa
consulting
path of Neo
rozwiązywanie incydentów
wykrywanie anomalii
analitycy (SOC,CERT)
®Warner Bros
®Warner Bros
®LucasFilm
Samotny wilk
o wysokim
kodeksie
moralnym
Stanowią
grupę i dbają
o równowagę;
empatia i
komunikatyw-
ność dostrzegają wzory w chaosie i
anomalie w rzeczywistości

13. analiza TCO (on Premise)
Ludzie (koszt pracodawcy) Narzędzia (licencje i subskrypcje 2000
+ sprzęt)
Procesy (dokumenty i licencje + rozwój)
Orientacyjne TCO : 304.500,-- / miesiąc
7 * L1 (9.000)
2 * L2 (13.000)
3 * L3 (15.000)
1 * M (20.000)
154.000,-- / miesiąc
SIEM (80.000)
Sandbox/IPS (30.000)
EDR / Endpoint
protection ( 8.500)
Proc. zarządzanie incyd.
i podat. (5.000)
123.500,-- / miesiąc
Startowe (250.000/5/12)
Rozwojowe (4.000)
Szkolenia (15.000)
Konferencje (3.000)
27.000,-- / miesiąc

14. Informacja zwrotna zarządu
• Chyba żeś ….
• A ryzyko ataku ? - Akceptujemy ryzyko !
• Koszt RODO 4%: 120 milionów
• Koszt ataku indeks giełdowy: ??
• Koszt ataku zaufanie: ??
• Koszt roczny SOC: 4 Mil PLN
• To może jako usługa ?
Orientacyjne TCO : 304.500,-- / miesiąc

15. Poszukajcie usługi od MSSP
• Polskie MSSP z ludźmi
– Orange
– TMobile
– Exatel
– ComCert
– Sage
– Kilka - bez ludzi
• Usługi
– SIEM
– FIREWALL
Managed Security Services Provider

16. Przygotowanie zapytania
• Analiza ryzyka wewnątrz organizacji czyli wybór
najważniejszych klejnotów …
• Przekładanie zakresu powierzchni ataku i wymagań
regulatora na zapytanie
• Uszczegółowienie wymagań dotyczących sposobu obsługi
(scenariusza reakcji)
• Oczekiwanie co do systemu raportowania
• Oczekiwanie systemu wymiany informacji o zdarzeniach
niepożądanych

17. Zakup usługi od MSSP (Przygotowanie zapytania)
• Paradoks podróżnika
– Zakres i sposób działania usług
– Poziomy SLA
– Sposób działania
– Odpowiedzialność za przeoczenia
= Dialog techniczny ?

18. Ustalenie SLA i odpowiedzialności
• Czasy rozwiązywania zdarzeń w zależności od typu
• Możliwości monitorowania spełnienia założeń KPI
• Zezwolenie na wykonywanie czynności w organizacji
• Odpowiedzialność
– za wykonane czynności
– za nie wykonane czynności
• Ochrona przed negatywnym wpływem na core biznes
• Swoboda działań ze wglądu na nowe TTP
• Sposób naliczania kary

19. Zakup usługi od MSSP
• Przygotowanie SIWZ
• Bizness Impact Analysis
• Katalog i analiza ryzyka w organizacji
• Porządkowane usług
• Typu przypadków użycia (reguł
korelacyjnych)
• Brak standaryzacji
• Słabo przygotowane postępowania = wysoki
koszt usługi

20. Zakup usługi od MSSP – jak kiedyś wyjść
Paradoks VendorLock
• Właścicielstwo procesów
– Scenariusze rekcji
– Ścieżki eskalacji
– Dostępy do środowisk
– Wsparcie systemem komputerowym / ticketowym
• Właścicielstwo narzędzi
– Uruchamianie obcego appliance w środowisku
– Dostępy administracyjne do administracji
– Dostępy i połączenia VPN

21. Inspiracja Clear SOC Framework – Projekt ISSA
• Mitre - Ten Strategies of a World-Class Cybersecurity Operations Center
• Niestety  - nie OWASP Open SOC Framework
• Cyber Kill Chain® - Lockheed
• M_O_R, ISO 27005,
• Mitre ATT&CK
• OWASP ASVS
• VERIS Community DB
• TOGAF
• Mitre CAR

22. OWASP Application Security Verification
O standardzie
Application Security Verification Standard (Standard Weryfikacji
Bezpieczeństwa Aplikacji) jest listą wymagań dla zabezpieczania
aplikacji lub jej testów. Wymagania te mogą być wykorzystywane przez
architektów, programistów, testerów, specjalistów do spraw
bezpieczeństwa. Mogą też być wykorzystywane przez użytkowników, w
celu zdefiniowania jak powinna wyglądać bezpieczna aplikacja.
• pomoc organizacjom w rozwoju i utrzymaniu bezpiecznych aplikacji
• umożliwienie podmiotom oferującym usługi bezpieczeństwa,
dostawcom narzędzi w zakresie bezpieczeństwa oraz użytkownikom
dostosowania wzajemnych wymagań oraz ofert
Po co ?

23. Mitre ATT&ck - Adversarial Tactics, Techniques, and Common Knowledge

24. Czym jest Clear SOC Framework
• Model bazujący na analizie ryzyka
• Rozpatrujący 3 poziomy zarządzania
• Abstrahujący od implementacji w
narzędziach
• Model przybliżający do wyceny usług
• Model pozwalający na mierzenia
dojrzałości
• Ignorujący zasoby i czynnik ludzki

25. Założenia
• Ma pomóc
– podnieść dojrzałość bezpieczeństwa
– przeprowadzać analizę ryzyka
– świadomie akceptować ryzyka i wybrać zakresy, dla których nie
chcemy się zabezpieczać
– wymieniać się widzą pomiędzy organizacjami
• Ma „ukrywać” pochodzenie pomysłu, ale wpierać
knowladge sharing
• Pozwalać skupiać się na różnicach w regulacjach
sektorowych i typach zagrożeń

26. Sposób działania
• Otwarta formuła dla społeczności ISSA i ISC2
• Bezpłatnej
– Dla wszystkich organizacji (czerpiących oraz dzielących się
wiedzą)
– Z wyłączeniem organizacji świadczących usługi MSSP
– Uczelni
– Firm wdrażających Framework (pod pewnymi warunkami)
• Zapewniająca poufność i dyskrecje

27. Rodzaje członkostwa
• OSOBA FIZYCZNA CZŁONEK ISSA POLSKA I ISC2 POLSKA
– Pozostający w dobrej kondycji
– Okresowa ocena wkładu do rozwoju
• PRACUJE W FIRMIE, KTÓRA CHCIAŁABY WDROŻYĆ U SIEBIE METODYKĘ
– Podpisanie zgodny nie ujawniania informacji przez pracowników (z
anonimizacją)
– Oświadczenie, że produkty (deliverables) nie będzie wykorzystana do
świadczenia usług MSSP / SOC
• POZOSTALI KTÓRZY CHCĄCA DOŁĄCZYĆ DO PORTALU
– Poddadzą się weryfikacji
– Wskażą 5 członków popierających

28. I ?
• Zapraszamy do stoiska
• Porozmawiajmy – może możesz pomóc ?
• Jakie są założenia czasowe ?
• Gdzie szukać informacji ?
https://www.linkedin.com/in/tomwod/
Tomasz.Wodzinski@clearsec.pl

29. • https://play.kahoot.it/#/k/eb78a1eb-f3bd-464e-ad6c-
78bbe61a9a38