Operativni center kibernetske varnosti in DDoS zaščita Aleš Skubic
Glavna napaka je teoretizirati, preden imamo zadostno količino podatkov. Nezavedno začnemo izkrivljati dejstva, da bi ustrezala teorijam, namesto razvijati teorije, ki ustrezajo dejstvom. A.C. Doyle, Sherlock Holmes, Scandal in Bohemia 2
Celovita varnostna storitev Telekoma Slovenije Operativni center kibernetskega varovanja Upravljanje in izvajanje procesov Upravljanje človeških virov Tehnološke strategije OCKV Upravljana varnostna storitev Zaščita proti naprednim grožnjam (ATP) Upravljanje poslovne mobilnosti Varne komunikacije (podatki in govor) Varna osebna video-identifikacija Integralne varnostne operacije Varnostni pregledi Penetracijsko testiranje Varnost pravil in procesov UVS IVO
Ali potrebujemo kibernetsko zaščito?
Operativni center kibernetskega varovanja Zakaj? Zavarovanje ključne intelektualne lastnine (IP), preprečevanje odtekanja (DLP) in zagotavljanje pravočasnega odziva na varnostne dogodke, ki bi lahko vodili do varnostnih incidentov. Kako? Lastna implementacija in upravljanje Najem storitve - soupravljanje (hibridni model) MSS (Upravljana varnostna storitev) Kaj?
OCKV Operativni center kibernetskega varovanja (angl. SOC)
Storitveno operativni center Telekoma Slovenije - OCKV 3 nivo Dobavitelji, Vendorji Uporabniki/OE TS Analitik 1 nivo Analitik 2 nivo SOP Ekipa Infrastruktura Proces upravljanja s kibernetsko varnostnimi dogodki/incidenti Prijava/Zaznava Triaža Omejitev - Preprečevanje Odprava-čiščenje Zaznavanje dogodka Obnovitev Zaključno ukrepanje in stalno izboljševanje OCKV NE Zavarovanje dokazov omejitev odpravo in čiščenje obnovitev Posodobitev baze znanja Dogodek je incident Evidentiranje v TTS Škoda omejena Odprava in čiščenje uspešno Obnovitev uspešna Zaključitev Kreiranje zahtevka RFC za Upravljanje sprememb Zaključno obveščanje Prijava dogodka Analiza, Lokalizacija, korelacija, Vpliv Kritični incident NE + NE Eskalacija NE Eskalacija NE Eskalacija Priprava poročila za management, AKOS, SOP, SI-CERT Zaznava dogodka iz SIEM ali drugih sistemov Izvdba procedure Obveščanje SOP, za primere skrbniki virov, kritičnega Vodja CKV incidenta Dodelitev incidenta za omejitev na 2 nivo Dodelitev v čiščenje in odpravljanje na 2 nivo Dodelitev v obnovitev na 2 nivo omejitev čiščenje in odpravljanje obnovitev Škoda omejena Odprava in čiščenje uspešno Obnovitev uspešna + Poročilo Forenzične raziskave NE NE NE Eskalacija Eskalacija Eskalacija Dodelitev incidenta za omejitev na 3 nivo Dodelitev v čiščenje in odpravljanje na 3 nivo Dodelitev v obnovitev na 3 nivo omejitev čiščenje in odpravljanje obnovitev Poročilo Forenzične raziskave Koordinacija razreševanja incidenta, tehnično svetovanje, opozorila za upravitelje omrežij Koordinacija razreševanja incidenta, tehnično svetovanje, opozorila za upravitelje omrežij Koordinacija razreševanja incidenta, tehnično svetovanje, opozorila za upravitelje omrežij Koordinacija razreševanja incidenta, tehnično svetovanje, opozorila za upravitelje omrežij Po incidentu: Sklic SOP za načrt ukrepov in zahtev za spremembe za preprečitev ponovitve, izboljšave PC, priprava izobraževanj. Proces Tehnologija
OCKV, postopno in celovito Priprava Preprečevanje Odkrivanje Odzivanje Obnovitev Poslovno okolje Identitete, pravice Spremljanje dogodkov Načrtovanje odzivanja Načrtovanje obnovitev Sredstva Osveščanje, izobraževanje Analiza odstopanja Odprava incidentov Izvajanje obnovitev Upravljanje varovanja informacij, tveganja tehnologije Zaznava incidentov Analiza odzivanja Analiza stanja Izboljševanje Interno in zunanje komuniciranje
OCKV Telekoma Slovenije OCKV Telekoma Slovenije VZPOSTAVITEV Izvedba integracije IKT in procesov naročnika, do celovite optimizacije in spremljanja SIEM. OPERATIVNA IZVEDBA raven 1-2 pregled vseh varnostnih dogodkov, triažiranje, obdelava varnostnih dogodkov, izolacija in obvladovanje incidentov, zavarovanje dokazov, OPERATIVNA IZVEDBA Raven 3-4 Področni specialisti in SLO in tuji zunanji strateški parterji CI skupina odgovornost za nenehno iskanje, združevanje, analiziranje in poročanje. CSIRT Zagotavlja takojšen, učinkovit in kompetenten odziv na vse kritične incidente kibernetske industrije.
Izvedba projekta Analiza stanja in arhitektura sistema PZI PID Poročila, metrike, analize Implementacija in integracija SIEM Določanje vsebine in obsega (HL-DESIGN) Vzpostavitev (LL-DESIGN) Uvajanje (TRANSITION) Izvajanje (OPERATION) Uvedba OCKV procesov in zagon operativne izvedbe Izboljševanje (IMPROVEMENT) Operativna izvedba, poročanja Periodični varnostni pregledi Izboljševanje, napredovanje CSIRT Varnostni gradniki (NGFW, IDS/IPS, ) CSOC Telekoma Slovenije Master Console Oracle DB Imenik SOC OnPrem SIEM Varno podatkovno omrežje Telekoma Slovenije Strežniški sistem SIEM CSOC skupina Telekoma Slovenije SOC skupina naročnika Proces Oprema uporabnikov Omrežna oprema Storitve: www, WS, vmesniki, integracije, OCKV Telekoma Slovenije DR Oprema uporabnikov
OCKV okolje delovanja Podatkovni centri DDoS DMZ Omrežje 802.1x ACL VLAN Honeypot CSI SIEM Konzole DC FW Baza znanj IDS IPS AV/FW Threat Intell MDM Web app FW EDR Končne naprave Kriptiranje Aplikacije Nadzor DB Podatki DLP IRM IDM SCCM Honeypot TTS Testi ranljivosti SOA/AI War gaming Vdorno testiranje Poročanje ISO 22301 ISO 27001 Zakonodaja Varnostna politika
Zakaj Telekom Slovenije? Zagotavljamo neobremenjen vpogled v varnostno obratovanje IKT sistema uporabnika, Zagotavljamo DDoS zaščito na operaterski ravni, Velika količina in bogate izkušnje kritična masa za vzgojo in rast potrebnih kompetenc Nadzor elementov in storitev omrežja - NOC Storitveno središče (tehnična podpora tako poslovnim kot rezidenčnim uporabnikom) Urejeni in certificirani procesi in poslovanje ISO27001, ISO 22301 Operativni center kibernetske varnosti za STS in za trg Vrhunska tehnologija Urejeni in certificirani procesi Kompetenčni zaposleni in strateški parterji 1 Smo operater Zagotavljanje storitev je osnova našega delovanja 2 Zmogljivosti in doseg Kibernetska varnost je strateška odločitev podjetja. Izjemno zmogljiva infrastruktura. 3 Izkušnje Dolgoletno NOC obratovanje Razumemo nevarnosti in se z njimi soočamo, ker smo jim tudi sami izpostavljeni. Organiziranost, vzpostavljeni procesi, tehnološka podpora. Mednarodna prisotnost in sodelovanje. ISO 27001, ISO 22301
Hvala! Telekom Slovenije, d.d. Cigaletova 15 1000 Ljubljana www.telekom.si T: 041 700 700 ali 080 8000 E: info@telekom.si