Der er mange forkortelser og megen forvirring omkring sikkerhedsservices, men hvad dækker de forskellige begreber egentligt over? Det tager jeg et kig på i denne blog.
Hvad er en SOC
Lad os starte med SOC’en. Hvad er en SOC?
En SOC eller Security Operations Center er den del af organisationen, der håndterer en lang række sikkerhedsrelevante områder. Det er IKKE dem, der drifter virksomhedens firewall eller andet sikkerhedsudstyr, men følgende opgaver ligger naturligt i en SOC:
- assets – assets inventory – HW/SW
- præventiv vedligeholdelse af sikkerhedsløsninger
- (sikkerheds patches, FW-politikker eller andre sikkerhedspolitikker, og kigge efter insider trusler)
- log indsamling (sikkerhedsrelaterede), log management
- SIEM (Security Information and Event Management), use cases samt udvikling og vedligeholdelse af use cases og detekteringsregler
- detektering af sikkerhedshændelser og politikovertrædelser – log analyse, triage og sikkerhedsanalyse
- sikkerhedshændelser og kritikalitet
- analyse, undersøgelse og dokumentation af sikkerhedstrends
- årsagsanalyse (root causes) og hvorfor/hvordan det skete – føde tilbage til politikker and opsætningspolitikker
- sårbarheder, patch management og white listing
- sikkerhedskontroller
- pentest, scoping, scanning og rapportering
- compliance audit
- rapportering på sikkerhedskontroller i forhold til kontrolrammer
- rådgivning om værktøjerne som organisationen benytter, inkl. 3. parts leverandører for at sikre de kan løse sikkerhedsproblemer og kontrolkrav
- håndhævelse af sikkerhedspolitikker og -procedure
- backup, storage og recovery
Den typiske rollefordeling vil se ud som følger:
- SOC Manager
- Den ansvarlige for SOC’en – typisk med rapport til enten CISO eller overordnet driftsansvarlig i organisationen
- Compliance auditør
- Spiller en nøglerolle i standardisering af processer, sikre at politikker, procedurer og compliance bliver fulgt
- Incident responder
- Reagerer hurtigt på alarmer
- SOC Analyst
- Laver review af tidligere hændelser og beslutter rod-årsagen til hændelser og giver input til ændrede politikopsætning eller konfiguration af sikkerhedskontroller
- Threat Hunter
- Udfører tests på tværs af netværket for at identificere svagheder før de kan udnyttes. Målet er at finde sårbarheder, før en hacker kan udnytte dem til et angreb. Pentest kan være en vigtig informationskilde til at understøttet dette arbejde eller en BAS-løsning (Breach and Attack Simulation)
Når organisationer siger, de er ude at kigge efter ’SOC-as-a-Service’, så mener de typisk noget andet, fordi en lang række opgave er svære at købe som en service, da det kræver en dyb kontekst/insider viden om organisationen og kun vanskeligt kan udliciteres til andre.
Sandsynligvis kigger de mere opgavespecifikt for at aflaste SOC’en med de tunge standardiserede opgaver, hvor det kan være svært at skaffe folk.
Det kunne og vil typisk være:
- Managed Log mgmt.
- Managed SIEM
- Managed Detect and Respons Service
- Managed Vulnerability scanning og management
- Penetration testing eller Managed Breach and Attack simulation
Hvad er et SIEM?
Kort fortalt er et SIEM (Security Information and Event Management) en sikkerhedsløsning, der hjælper organisationen med at genkende potentielle sikkerhedstrusler og sårbarheder, før de har mulighed for at afbryde forretningen. Det leverer typisk realtids eller nær-realtids monitorering og analyse af hændelser, ligesom det tracker og logger sikkerhedsdata til compliance og auditeringsformål.
Et SIEM indeholder typisk log management til indsamling, normalisering og berigelse af en lang række af datakilder fra infrastrukturen. Typisk logs og flow data fra brugere, applikationer, HW/SW-aktiver, cloud, netværk indsamles, lagres og analyseres i realtid, hvilket giver it- og sikkerhedsteams mulighed for automatisk at administrere deres netværks hændelseslog og netværksflowdata på én central placering, som det er anbefalet i CIS-kontrol 8.
Hændelseskorrelation og analyse er en væsentlig del af enhver SIEM-løsning. Ved at bruge avancerede analyser til at identificere og forstå indviklede datamønstre, giver hændelseskorrelation indsigt til hurtigt at lokalisere og afbøde potentielle trusler mod virksomhedens sikkerhed. SIEM-løsninger forbedrer den gennemsnitlige tid til detektion (MTTD) og den gennemsnitlige tid til at svare (MTTR) for it-sikkerhedsteams ved at aflaste de manuelle arbejdsgange, der er forbundet med den dybdegående analyse af sikkerhedshændelser.
Fordi de muliggør centraliseret styring af on-præmise og cloud-baseret infrastruktur, er SIEM-løsninger i stand til at identificere og foretage Hændelsesovervågning og sikkerhedsadvarsler af alle enheder i it-miljøet. Dette gør det muligt for SIEM-teknologi at overvåge for sikkerhedshændelser på tværs af alle tilsluttede brugere, enheder og applikationer, mens den klassificerer unormal adfærd, som den detekteres i netværket. Ved at bruge tilpassede, foruddefinerede korrelationsregler kan administratorer blive advaret med det samme og træffe passende foranstaltninger for at afbøde det, før det udmønter sig i mere væsentlige sikkerhedsproblemer.
Nogle SIEM-løsninger integreres også med tredjeparts feeds for trusselsintelligens for at korrelere deres interne sikkerhedsdata med tidligere anerkendte trusselssignaturer og -profiler. Integration med trusselsefterretninger i realtid gør det muligt for teams at blokere eller opdage nye typer angrebssignaturer.
SIEM er den grundlæggende byggesten i enhver løsning, hvor man benytter infrastrukturens digitale fodspor (logs, flow etc.) til at detektere uønsket aktivitet i infrastrukturen. SIEM funktionaliteten kan forekomme i mange forskellige afarter, men den grundlæggende funktion er typisk som ovenstående.
Hvad er User Entity and Behavior Analytics
User Entity and Behavior Analytics (UEBA) er en forholdsvis ny teknologi, der baseret på avancerede machine learning algoritmer (ML) kan finde anomalier i de store mængder log data. Begrænsningen i en SIEM-løsning er, at den typisk detekterer ud fra statisk opsatte regler ligesom IDS (Intrusion Detection System, der alene detekterer ud fra signaturer eller regler. I takt med at angriberne skifter teknikker, så er det et kapløb at udvikle regler til at detektere dem. Derfor er detektering på adfærdsændringer det nye våben i kampen mod hackerne. Detektering af anomalier afslører typisk et angreb uden, at man har en regel for det i sit SIEM. Disse detekteringsmetoder kan enten være baseret på nogle foruddefinerede algoritmer (Supervised) eller alene baseret på afvigelser i den store mængde data, hvor man uden nogen form for regler baseliner adfærd for de enkelte enheder og for enheden i forhold til sammenligningsgrupper (unsupervised) og derfra kan finde anormal adfærd, der potentielt afslører et kompromitteret system. UEBA-systemer fås enten som integrerede elementer i nogle SIEM-systemer eller som alene stående produkter.
Hvad er Endpoint Detection and Response (EDR)
Endpoint Detection and Response (EDR), er en integreret endepunkts-sikkerhedsløsning, der kombinerer kontinuerlig overvågning og indsamling af telemetridata fra endepunkter i realtid med regelbaserede automatiserede respons- og analysefunktioner. Nogle systemer indeholder desuden ML (Machine Learning) teknologi til at understøtte adfærdsdetektering. Udtrykket blev foreslået af Anton Chuvakin hos Gartner for at beskrive nye sikkerhedssystemer, der opdager og efterforsker mistænkelige aktiviteter på hosts og endepunkter, der anvender en høj grad af automatisering for at gøre det muligt for sikkerhedsteams hurtigt at identificere og reagere på trusler.
De primære funktioner i et EDR-sikkerhedssystem er at:
- Overvåge og indsamle telemetri/aktivitetsdata fra endepunkter, der kunne indikere en trussel
- Analysere disse data for at identificere trusselsmønstre
- Reager automatisk på identificerede trusler for at fjerne eller isolere dem, og alarmere sikkerhedspersonale
- Efterforsknings- og analyseværktøjer til at undersøge identificerede trusler og søge efter mistænkelige aktiviteter
Nogle EDR systemer kombineres med EPP (End Point Protection), således, at man også får den traditionelle endpunktsbeskyttelse som malware scanning, exploitbeskyttelse, adfærdsbeskyttelse m.v., således, at man i et samlet endepunktprodukt får både de præventive beskyttelsesforanstaltninger der anbefales samt detekteringsevnen til at se de mere sofistikerede angreb, hvor endepunkter bliver benyttet til at bevæge sig på tværs i infrastrukturen – usynligt.
Hvad er XDR eller eXtended Detection and Respons
XDR eller eXtended Detection and Respons gør det muligt for en virksomhed at gå ud over typiske detekteringskontroller ved at give et holistisk og alligevel enklere syn på trusler på tværs af hele teknologilandskabet. Ifølge analytikerfirmaet Gartner er Extended Detection and Response (XDR) “et SaaS-baseret, leverandørspecifikt værktøj til registrering af sikkerhedstrusler og hændelsesvar, der integrerer flere sikkerhedsprodukter i ét sammenhængende sikkerhedsdriftssystem, der forener alle licenserede komponenter.” XDR leverer information i realtid, der er en nødvendighed for at detektere trusler mod forretningsdriften for bedre og hurtigere resultater.
XDR løfter opgaven med at konsolidere flere produkter til en sammenhængende, samlet sikkerhedshændelsesdetektering og -responsplatform. XDR er en logisk udvikling af Endpoint Detection og Response (EDR) løsninger til ét primært hændelsesresponsværktøj.
XDR leverer:
- Overvågning og indsamling af telemetri/aktivitetsdata på tværs af infrastruktur (End-point, Netværk, Cloud), der kunne indikere en trussel
- Analysere disse data for at identificere trusselsmønstre
- Reager automatisk på identificerede trusler for at fjerne eller isolere dem, og alarmere sikkerhedspersonale
- Efterforsknings- og analyseværktøjer til at undersøge identificerede trusler og søge efter mistænkelige aktiviteter
- Machine learning til at identificere anomalier stammende fra ikke kendte angrebsteknikker
Hvad er Managed Detection and Respons (MDR)
Managed Detection and Respons (MDR) er en service, der sikrer den samlede proces omkring detektering og respons.
Detektering og Respons er i sidste ende en kombination af mennesker og teknologi. Selvom vi ser tendens til stadigt større grad af automatisering, så er alle kunder forskellige. Bag mange endepunkter sidder mennesker, der nogle gange ændrer adfærd, foretager ting de ikke burde, og så er der lige hackerne, som også gør sit til at omgås systemerne.
Mange af ovenstående systemer leverer store antal falske positiver, som nogen skal kigge på, forholde sig til og rense ud i. Selvom det samlede antal alarmer minimeres betragteligt, så vil der fortsat være en stor mængde hændelser/alarmer, som skal vurderes af nogen, der er trænet i den opgave- understøttet af en teknologistak.
Ud af det samlede antal opgaver i en SOC, er netop nedenstående dele sammenhængende og tunge at løfte for SOC’en både hvad angår investering i teknologi og i menneskelige specialister, hvorfor de er velegnet til at lægge ud til en partner, der er trænet i at tage det ’tunge løft’
- Udvikle og vedligeholde SIEM use-cases for løbende at forbedre detekteringsevnen
- Vedligeholdelse af EDR/XDR-systemer med opdatering af kundetilpassede use cases, tuning, løbende forbedring af den generelle detekteringsevne baseret på Threat Intel rapporter
- Vurdere indikatorer for alarmer og reelle alarmer fra ovenstående værktøjer og sætte dem i kontekst til kundens infrastruktur og Trusselsefterretninger for at fastslå, hvem der angriber og kritikaliteten af hændelsen
- Beskrive anbefalet handling/respons for en given hændelse til dem, der skal udføre de mitigerende handlinger i infrastrukturen
- I visse tilfælde udføre handlingen i kundens infrastruktur afhængigt af værktøjer
- Udførsel af målrettet Threat Hunting for at se, om der ligger angreb gemt i kundens infrastruktur.
Begrebsjunglen omkring sikkerhedsløsninger er indviklet og løsninger rækker ind i hinanden. Herfra vil anbefalingen altid være at starte med et rammeværk, for sikkerhedsarbejdet og en analyse, af hvad I allerede har på hylderne, før i kaster jeg ud i nye investeringer. CIS-kontrol rammeværket fungerer som drejebog til jeres sikkerhedsarbejdet. Kender du ikke allerede rammeværket, så tag et kig her.