Get best of the week

SOC an einem entfernten Standort. Worüber lohnt es sich nachzudenken?

Ein SOC-Analyst stellte eine sakramentale Frage, als er sich entschied, ihn von zu Hause zur Arbeit zu bringen: „Ich lebe mit meiner Freundin und ihrer Katze in Odnushka, gegen die ich (als Katze, nicht als Mädchen) allergisch bin. Gleichzeitig haben wir nur einen Tisch, an dem wir essen, und in außergewöhnlichen Zeiten legt mein Mädchen Zeichnungen darauf, sie ist Modedesignerin und Designerin von Kleidung. Und wo soll ich 3 Monitore platzieren, die ich vorübergehend von der Arbeit abholen durfte? “ Da dies nur eine der vielen Fragen ist, die sich bei der Übertragung von SOC-Mitarbeitern (Security Operations Center) an einen Remotestandort stellen, habe ich beschlossen, unsere Erfahrungen zu teilen. besonders wenn man bedenktFür einen unserer Kunden entwerfen wir gerade ein Cybersecurity Monitoring Center (SOC) von Grund auf neu. Er entschied sich, seine Schuhe unterwegs zu wechseln und bat darum, die Möglichkeit der Arbeit seiner Analysten und Spezialisten für Vorfalluntersuchungen von zu Hause aus im Projekt zu berücksichtigen.

Bild
In einer Pandemie zogen viele Unternehmen um oder mussten einen Teil ihrer Mitarbeiter in die Fernarbeit verlegen. Die Schüssel dieses und SOC-Experten hat nicht bestanden. Es sollte jedoch sofort angemerkt werden, dass die nationalen Regulierungsbehörden Fachleuten aufgrund ihrer Anforderungen untersagten, SOCs auszulagern, die ihren Kunden Dienstleistungen von zu Hause aus anbieten, da eine der Bedingungen für die Erlangung einer Lizenz für die IS-Überwachung (und ein kommerzieller SOC ist eine lizenzierte Art von Aktivität) nicht nur die Adresse der Bestimmung war Dienstleistungen, aber auch die Zertifizierung seines Informationssystems, was auch einen Notfallübergang zu einem entfernten Standort (und auch keinen Notfallstandort) unmöglich macht. Richtig, in unserem Staat ist legaler IS-Nihilismus und eine vorübergehende Weigerung, Inspektionen durchzuführen,Sie können diese Nuance ignorieren - die Anforderungen des Geschäfts und die Erhaltung des Lebens und der Gesundheit der Menschen sind in diesem Fall viel wichtiger. Insbesondere angesichts der Tatsache, dass Cyberkriminelle ihre Aktivitäten nicht reduziert haben. Darüber hinaus haben sie das Thema Coronavirus in den Vordergrund gerückt und begonnen, Benutzer zu Hause anzugreifen, die sich selbst überlassen waren und zu einem noch schwächeren Glied als üblich wurden. Daher wird das Thema SOC (oder Informationssicherheitsüberwachung) an einem Remotestandort für viele Unternehmen sehr relevant. Nun, da Cisco beim Aufbau und der Prüfung einer beträchtlichen Anzahl von SOCs geholfen hat und unser eigener SOC seit mehr als 10 Jahren am „virtuellen SOC“ -Modell arbeitet, haben wir eine Reihe von Tipps gesammelt, die wir gerne teilen möchten.Sie hoben das Thema Coronavirus zur Flagge und begannen, Benutzer zu Hause anzugreifen, die sich selbst überlassen blieben und zu einem noch schwächeren Glied als gewöhnlich wurden. Daher wird das Thema SOC (oder Informationssicherheitsüberwachung) an einem Remotestandort für viele Unternehmen sehr relevant. Nun, da Cisco beim Aufbau und der Prüfung einer beträchtlichen Anzahl von SOCs geholfen hat und unser eigener SOC seit mehr als 10 Jahren am „virtuellen SOC“ -Modell arbeitet, haben wir eine Reihe von Tipps gesammelt, die wir gerne teilen möchten.Sie hoben das Thema Coronavirus zur Flagge und begannen, Benutzer zu Hause anzugreifen, die sich selbst überlassen blieben und zu einem noch schwächeren Glied als gewöhnlich wurden. Daher wird das Thema SOC (oder Informationssicherheitsüberwachung) an einem Remotestandort für viele Unternehmen sehr relevant. Nun, da Cisco beim Aufbau und der Prüfung einer beträchtlichen Anzahl von SOCs geholfen hat und unser eigener SOC seit mehr als 10 Jahren am „virtuellen SOC“ -Modell arbeitet, haben wir eine Reihe von Tipps gesammelt, die wir gerne teilen möchten.und unser eigener SOC arbeitet seit mehr als 10 Jahren am „virtuellen SOC“ -Modell. Wir haben eine Reihe von Tipps gesammelt, die wir gerne teilen möchten.und unser eigener SOC arbeitet seit mehr als 10 Jahren am „virtuellen SOC“ -Modell. Wir haben eine Reihe von Tipps gesammelt, die wir gerne teilen möchten.

Aber ich möchte nicht mit den technologischen Merkmalen der Fernüberwachung und der Untersuchung von Vorfällen beginnen, wir werden im Folgenden darauf eingehen, sondern mit dem, was wir oft vergessen. Das Hauptproblem bei der Übertragung eines Teils oder aller SOC-Analysten auf Telearbeit von zu Hause aus hängt mit dem menschlichen Faktor zusammen. Selbst wenn Sie alle Prozesse erstellt haben und das Toolkit es Ihnen ermöglicht, eine Remoteverbindung mit der SIEM- oder SOAR-Konsole herzustellen und auch Artefakte von Computern von Remotebenutzern aus der Ferne zu sammeln, können Personen das schwächste Glied im SOC werden, das seine etablierten Stellen verlassen hat.

Achtsamkeit und Stress


Studien zufolge führt die Übertragung auf Hausaufgaben zu einer Verringerung der Produktivität um 15% (eine Person kann mehr Zeit für die Erfüllung offizieller Aufgaben aufwenden, aber ist dies effektiv?). Stress und Unbehagen (wenn Kinder herumlaufen und ein Nachbar plötzlich beschließt, Reparaturen außerhalb der Mauer durchzuführen) sowie die Unfähigkeit, sich zu konzentrieren, wenn die Frau Borschtsch kocht oder ein Freund im selben Raum Yoga praktiziert, verringern die Aufmerksamkeit. Und der Traum, der so winkt? Während Sie im Büro arbeiten, können Sie immer noch irgendwie mit ihm umgehen, aber zu Hause zu sein und ein warmes und verführerisches Bett mit einem geliebten Menschen zu sehen, der dort schläft, ist viel schwieriger. Und das trotz der Tatsache, dass die Leistung einer Person in der Nacht einfach katastrophal fällt.

Bild

Daher ist es sehr wichtig, die Wirksamkeit von SOC-Spezialisten zu messen. Fernarbeit ist entspannend und nicht jeder ist dazu bereit. SOC-Mitarbeiter müssen ihr Verhalten bei Remote-Arbeiten ändern. Und ihre Manager müssen die Leistung jedes Analysten überwachen und, wenn sie die Grenzwerte überschreiten, rechtzeitig reagieren. Dabei geht es nicht um die banale „durchschnittliche Zeit, um einen Vorfall zur Arbeit zu bringen“ oder „durchschnittliche Zeit für die Reaktion / Lokalisierung eines Vorfalls“, sondern um die Messung jeder Phase oder Aufgabe im Rahmen des entwickelten Spielbuchs. Angenommen, Sie haben ein Playbook zur Analyse verdächtiger Benutzeraktivitäten und der durchschnittlichen Antwortzeit darauf (von dem Moment an, in dem ein Signal in SIEM empfangen wird, bis zum Einfrieren eines Kontos in AD, Platzieren eines Knotens in einem Quarantäne-VLAN und Suchen nach anderen Knoten und Benutzern).Dies könnte ungefähr 28 Minuten dauern. Sie sehen sich Statistiken zu ferngesteuerten Vorfällen an und sehen, dass dieser Indikator ein wenig im Bereich von 19 bis 37 Minuten springt, aber im Durchschnitt sind es die gleichen 28 Minuten wie vor der Änderung der Funktionsweise der Analysten. Alles scheint in Ordnung zu sein.

Wenn Sie jedoch die Möglichkeit hätten, alle einzelnen Schritte / Aufgaben des Playbooks zu überwachen, würden Sie feststellen, dass anstelle der herkömmlichen 1-3 Minuten zum Identifizieren von Indikatoren 1-3 Minuten zum Überprüfen dieser Indikatoren auf der TI-Plattform 1-2 Minuten zum Treffen einer Entscheidung, 3 Minuten nach dem Einfrieren des Kontos usw. versetzt Ihr Analyst den Benutzer und seine Website unmittelbar nach Erhalt des Alarms in Quarantäne oder sendet den Vorfall ohne Überprüfung an die L2-Analysten. Und für etwa 9 bis 10 Minuten ist überhaupt nicht klar, was der Analyst getan hat. Entweder ging er in die Küche, um sich Kaffee einzuschenken, oder er beschloss, die Nachrichten im Fernsehen zu sehen, oder er ging einfach spazieren zum Balkon. Ihre vorfallspezifischen Kennzahlen werden jedoch erfüllt. Daher ist es beim Wechsel zu Remote-Arbeiten erforderlich, die vorhandenen Metriken zur Bewertung der Wirksamkeit des SOC zu überarbeiten.

Im beschriebenen Fall könnte eine andere Lösung übrigens die Einführung von Automatisierungstools sein, die die meisten manuellen Aufgaben eliminieren und das, was im Playbook geschrieben ist, automatisieren. Dies kann jedoch unabhängig von der Remote-Arbeit erfolgen. SOAR-Plattformen dienen lediglich dazu, die Arbeit von SOC-Analysten zu automatisieren und nicht nur den Untersuchungs- und Reaktionsprozess auf Vorfälle zu beschleunigen, sondern verfügen auch über ein Tool zur Messung der Effektivität der Arbeit mit ihnen. Aus diesem Grund hat Cisco mit Cisco SecureX eine neue und kostenlose Informationssicherheits-Verwaltungsplattform entwickelt, deren Aufgabe es ist, die Verwaltung vieler Cisco-Lösungen (und weiterer Hunderte anderer Hersteller) zu automatisieren, einschließlich des Prozesses zur Reaktion auf Vorfälle.

Bild

Zusammenarbeit


SOC ist fast immer Teamwork. In einem typischen SOC arbeiten seine Spezialisten Seite an Seite in beengten Räumen, und wenn sie gezwungen sind, auf Fernarbeit umzusteigen, treten sofort Schwierigkeiten auf, für die der SOC oft nicht bereit ist. Dies wird übrigens auch durch die Anforderungen der Gesetzgebung erleichtert, die den SOC als lizenzierte Aktivität in einem bestimmten Raum betrachten, wie ich oben erwähnt habe. Das Konzept virtueller oder mobiler SOCs in Russland wird nicht sehr akzeptiert, insbesondere wenn Dienste zur Überwachung der Informationssicherheit und der Reaktion auf Vorfälle bereitgestellt werden (für Ihre eigenen Zwecke können Sie SOCs natürlich mit einer der verfügbaren Architekturen erstellen). Remote-Teamwork ist eine neue Herausforderung, an die Sie sich noch gewöhnen müssen. Worauf in diesem Aspekt des SOC zu achten ist.

Zeitplan


Überprüfen und überarbeiten Sie möglicherweise Ihren Schichtplan. Jeder Analyst muss nicht nur seine Rolle und seinen Arbeitsplan kennen, sondern auch die Rolle und den Zeitplan anderer Teammitglieder, um den richtigen Spezialisten kontaktieren oder ihn ersetzen zu können, wenn er aus irgendeinem Grund nicht zur Arbeit gekommen ist (zusätzlich zu Wenn Sie ins Krankenhaus eingeliefert werden, können Sie einfach 15 Tage lang wegen Verstoßes gegen die Regeln der obligatorischen Selbstisolierung (klassisches Oxymoron / wenn Sie gerade auf einem nahe gelegenen Teich spazieren gegangen sind) in Verwaltungshaft genommen werden. Übrigens, wenn Ihr Analyst in einem Landhaus arbeitet und plötzlich Strom oder Internet abgeschaltet wurden, muss er natürlich keine virtuelle „Schulschwänzen“ aufzeichnen, aber er muss bereit sein, diese durch die Wiederherstellungszeit seiner Remote-Workstation zu ersetzen.Aber zusätzlich zu den oben genannten Gründen kann es eine Menge Dinge geben, die berücksichtigt werden sollten - die überfluteten Nachbarn, ein Feuer, es ist dringend erforderlich, einen geliebten Menschen ins Krankenhaus zu bringen usw. Und all dies muss vor allem für Analysten der ersten und zweiten Linie berücksichtigt werden, für die ein dauerhafter Aufenthalt am Arbeitsplatz am relevantesten ist.

Bild

Mentoring


Unter den Bedingungen einer relativ hohen Rotation des Personals auf den unteren Ebenen der SOC-Hierarchie ist die Betreuung erfahrener Kollegen gegenüber Neuankömmlingen weit verbreitet. Sie helfen mit Rat, Tat, Unterstützung. Und wie geht das an einem entfernten Standort? Wie kann man einem Anfänger helfen, der sich selbst überlassen bleibt? Die Antwort ist einfach - korrekte und ständige Kommunikation !!!

Kommunikationsplan


Kommunikation in der Fernarbeit wird zu den wichtigsten Elementen ihrer Wirksamkeit. Darüber hinaus ist Kommunikation nicht nur Teil der Untersuchung eines bestimmten Vorfalls, sondern auch „einfach so“. Ein paar Mal am Tag, um sich 15 Minuten lang zu treffen und Ansichten und Ideen auszutauschen. Unterstützen Sie sich gegenseitig in einer stressigen Situation (und wer auch immer etwas sagt, aber die aktuelle Situation ist genau der Stress, der sich negativ auf unsere Fähigkeiten und Fertigkeiten auswirkt). Unsere SOC-Analysten hatten dies schon immer, aber normale Mitarbeiter haben erst kürzlich die Praxis der „virtuellen Kaffeepausen“ eingeführt. Wie die Erfahrung zeigt, fehlt vielen Menschen die Kommunikation mit Kollegen. und selbst introvertierte Analysten sind keine Ausnahme.

Wenn Sie bereits einen Kommunikationsplan haben, sollten Sie ihn analysieren und höchstwahrscheinlich überprüfen. Es sollte mindestens Folgendes enthalten:

  • , , — e-mail , . /wiki SOC, ( ).
  • . , , , . , ? ? ( , IVR), , ?
  • , , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
  • - , . , , SOC, . grid card, , .
  • FAQ - RACI , / /use case.
  • , war room CSIRT , . , , , . « ?», . .
  • . , , SOC, , -? ? ? , , — .

?


Während einer Untersuchung ist Zeit die wertvollste Ressource. Verschwende es nicht. Remote-Ermittler können die Arbeit des anderen duplizieren. Sie können dieselben Diskussionen in verschiedenen Gruppen und Kommunikationsmitteln wiederholen. Boten, die häufig zur Kommunikation im Rahmen eines Vorfalls verwendet werden, z. B. WhatsApp, sind für diese Aufgabe nicht sehr geeignet, da es sehr schwierig ist, dort Dokumente und Artefakte zu suchen und damit zu arbeiten. Besonders wenn Sie in einem Chat zu viele verschiedene Vorfälle haben und die Verwirrung zwischen ihnen beginnt. Das Erstellen separater Chats für jeden Vorfall könnte das Problem lösen, aber ich kann diesen Pfad nicht als praktisch bezeichnen. Boten sind jedoch nicht für diese Aufgabe ausgelegt. Darüber hinaus wird es für Sie schwierig sein, Service-Chats von persönlichen zu trennen.und Sie werden auch von externen Verwaltungsservern abhängig, deren Betrieb unterbrochen werden kann, wenn eine Regierungsbehörde erneut mit dem bedingten Telegramm zu kämpfen beginnt oder wenn der Messenger-Hersteller ein Verbot der gleichzeitigen Veröffentlichung in mehreren Gruppen / Chats einführt und kämpft mit gefälschten Nachrichten.

Für eine effektive Kommunikation im Rahmen des Vorfalls sollte die von Ihnen verwendete Lösung in der Lage sein, Chats, Dateifreigabe und Remotezugriff auf den Desktop zu organisieren. Mithilfe von Webex-Teams können Sie beispielsweise für jeden Vorfall einen separaten Bereich erstellen, in dem Sie nicht nur alle erforderlichen Beweise sammeln, sondern auch mit allen an dem Vorfall beteiligten Teilnehmern kommunizieren können. Dank der Möglichkeit, Chatbots zu schreiben und Webex-Teams in Sicherheitstools zu integrieren, können Sie die empfangenen Artefakte sofort überprüfen und anreichern.

Bild

Wenn Sie keine Webex-Teams verwenden, kann eine ähnliche Idee beispielsweise über den folgenden Link implementiert werden: einen separaten Slack-Kanal für einen bestimmten Vorfall (und einen gemeinsamen Kommunikationskanal, der als eine Art Index für alle Vorfälle verwendet werden kann), den Zoom-Diskussionsraum (Sie) Hierfür muss ein kostenpflichtiges Konto vorhanden sein, und wenn Sie nicht durch die ständigen IB-Probleme dieses Dienstes verwirrt sind, und die Confluence-Seite zum Sammeln von Notizen. Anschließend werden die Informationen zur Vorfallzusammenfassung in das IRP eingegeben, das entweder vielen Jira oder spezialisierten Vorfallmanagementlösungen bekannt ist.

Bild

Whiteboarding für Brainstorming


Haben Sie ein Brainstorming-Board in Ihrem SOC? Ich denke es hat. Für Remote-Arbeiten benötigen Sie möglicherweise ein Whiteboard - eine solche Funktion ist in verschiedenen Kommunikationsmitteln verfügbar. Sie können aus der Ferne zeichnen und Ideen mit Kollegen teilen. Und wenn Sie Kanban-Boards zur Steuerung von Teamaufgaben verwendet haben, benötigen Sie diese auf der Fernbedienung. Verwenden Sie beispielsweise Trello, wenn Sie keine Unternehmenslösung haben. Vergessen Sie jedoch nicht, bei der Verwendung von Cloud-basierten Lösungen für die Teamarbeit die entsprechenden Zugriffsrechte zu konfigurieren, damit Außenstehende nichts über Ihre Sicherheitsprobleme erfahren und nicht in den Untersuchungs- und Reaktionsprozess eingreifen können.

Bild

Abgelegener Raum


Sie haben entschieden, dass SOC-Analysten remote arbeiten. Und Sie wissen, wie das nicht nur technisch, sondern auch psychologisch und organisatorisch geht. Aber haben Sie sich gefragt, ob Ihre SOC-Analysten eine eigene Wohnung haben oder in einem Hostel wohnen? Wer sind Ihre First-Line-Analysten? Hochkarätige Spezialisten, die seit vielen Jahren im SOC arbeiten und ihr eigenes Penthouse in den Sparrow Hills verdienen? Oder leben diese jüngeren Schüler mit Mama, Papa und jüngeren Geschwistern zusammen? In Ihrem SOC können Sie ihnen einen Arbeitsplatz und drei Monitore zur Verfügung stellen, um „die Nadel im Heuhaufen“ zu überwachen. Hat Ihr Analyst zu Hause Platz für drei oder mindestens zwei Monitore? Und wenn sein Bruder in der PlayStation einen Meter von ihm entfernt ist und ihn mit den Geräuschen von „brennendem Gummi“ oder „sterbenden Zombies“ ablenkt? Wenn der Analyst aufgrund von Platzmangel nicht von zu Hause aus arbeiten kann,Sie müssen Änderungen an der Zusammensetzung und dem Zeitplan der Schichten vornehmen.

Es ist auch wichtig, den Analysten die Bequemlichkeit und den Komfort der Arbeit zu gewährleisten. Im Unternehmens-SOC können Sie viel Aufwand und Ressourcen aufwenden, um die richtige Beleuchtung, Geräuschisolierung, Hall, Klimaanlage, bequeme Stühle usw. auszuwählen. Aber zu Hause besitzen wir leider oft keinen solchen Luxus. Daher müssen wir genauer überwachen, wie sich die Leistung von Analysten vor (wenn Sie sie natürlich gesammelt haben) und nach dem Verlassen eines Remote-Standorts geändert hat. Und ziehen Sie nach ihrer Analyse die entsprechenden Schlussfolgerungen. Andernfalls verwandelt sich der entfernte SOC in einen „Kürbis“ - er scheint da zu sein, löst aber sein Problem nicht, da Analysten einfach nicht in der Lage sind, in ihren eigenen Wohnungen zu arbeiten.

Bild

Und vergessen Sie nicht, dass auch die physische Sicherheit des Raums wichtig ist, in dem ausreichend sensible Informationen zirkulieren.

SOC-Architektur


Bei einer Pandemie erhöhen sich Ihre Sicherheitsereignisse. Zunächst müssen Sie Ihren VPN- oder RAS-Cluster aktiv überwachen, über den Benutzer eine Verbindung zu Anwendungen und Daten im Unternehmensnetzwerk herstellen oder den Benutzerverkehr an externe Cloud-Dienste weiterleiten. Zweitens müssen Sie möglicherweise Cloud-Umgebungen überwachen, wenn der IT-Service beschlossen hat, die Verarbeitung einiger Daten und einiger Anwendungen vorübergehend oder bereits dauerhaft in die Cloud zu übertragen. Und schließlich gibt es einen wachsenden Zoo mit verschiedenen Systemen, in denen Benutzer zu Hause sind, die Sicherheitsereignisse generieren und die analysiert werden müssen. Aber das ist nicht alles.

Fernverbindung zum SOC


SIEM, IRP / SOAR, Ticketing, TI-Plattform ... Können sie über eine sichere Verbindung von einer Remote-Konsole aus eine Verbindung zu ihnen herstellen (wie viel Glück haben diejenigen, die jetzt Cloud-SOCs / SIEMs verwenden, wo ist die integrierte Funktion)? Wenn nicht, müssen Sie über die Option mit Fernzugriff über RDP / VDI oder andere über VPN weitergeleitete Verbindungsmethoden nachdenken (an dieser Stelle ist es an der Zeit, über die Möglichkeit der Implementierung eines mobilen oder virtuellen SOC nachzudenken). Am Ende können Sie eine spezielle virtuelle Maschine, LiveCD oder LiveUSB für die Arbeit mit SOC-Tools haben. Obwohl wir die letzten Optionen fast nie gesehen haben, wird es eher für Benutzer gemacht, von ihren Heimcomputern aus zu arbeiten, wenn es notwendig ist, Unternehmensanwendungen von Heimanwendungen zu trennen, mit denen Ihre Verwandten arbeiten.

Unserer Meinung nach wäre VDI (aber auch über VPN) unter dem Gesichtspunkt der Zugriffskontrolle und der Arbeit mit vertraulichen Informationen die beste Option, aber der direkte Zugriff bei ordnungsgemäßer Konfiguration ist auch eine vollständig funktionierende Option. In beiden Fällen muss nicht nur die Multi-Faktor-Authentifizierung verwendet werden, sondern auch die Analyse des Verbindungs-PCs auf Übereinstimmung mit den Anforderungen für die Informationssicherheit (installierte Patches, Kennwortschutzeinstellungen, Vorhandensein von Antivirus oder EDR usw.) überprüft werden. Wenn Sie einen Cisco ASA am Perimeter haben oder eine Cisco ISE im Netzwerk bereitgestellt ist, können Sie eine solche Überprüfung veranlassen. Wir empfehlen, das Split-Tunneling auf Computern zu deaktivieren, die eine Verbindung zum Unternehmens-SOC herstellen. Es wird viel sicherer sein; und auch für normale Benutzer an einem Remote-Standort.

Und vergessen Sie nicht zu klären, ob Änderungen in der ACL der Grenzausrüstung auf der Unternehmensseite erforderlich sind, um auf das Allerheiligste von IB zuzugreifen? Wie wird allgemein an der ACL geändert? Wird es einen langen Genehmigungsprozess dauern und sogar eine handschriftliche Unterschrift auf dem Antrag erfordern? Jetzt wäre es eine gute Idee, alle Ihre Richtlinien und Anweisungen im Hinblick auf ihre Arbeitsfähigkeit zu überarbeiten, wenn es unmöglich ist, Unterschriften zu sammeln und zwischen Chefs zu wechseln. Und selbst wenn Sie über ein elektronisches Dokumentenmanagementsystem verfügen, wie gut ist es an die schnelle Lösung von Problemen angepasst?

Remote-Untersuchung auf Remote-PCs


Die Ermittler sind daran gewöhnt, dass sie zu dem an dem Vorfall beteiligten Mitarbeiter kommen und alle Protokolle / Speicherauszüge / und andere Artefakte von seinem Computer entfernen können. Aber wie geht das aus der Ferne? Jemand verwendet Remote Admin, das IT-Spezialisten vertraut ist, jemand RDP, jemand Skype for Business oder andere Tools. Die Hauptsache ist, nicht zu vergessen, die Schutzfunktionalität dieser Tools korrekt zu konfigurieren und sich mit den Mitarbeitern über das Authentifizierungsverfahren für IT / IS-Mitarbeiter zu einigen, die eine Remoteverbindung herstellen (vergessen Sie nicht die rechtlichen Aspekte, wie später erläutert wird). Jemand verwendet kostenloses GRR, Osquery, integriertes Sysmon- oder Autorun-Dienstprogramm oder kommerzielles EnCase (Benutzer von Cisco AMP für Endpunkte müssen sich keine Sorgen machen - sie haben ein Tool wie Cisco Orbital, das Remote-Untersuchungen ermöglicht).In einigen Fällen können Sie Benutzern beibringen, das erforderliche Skript auszuführen, das selbst die erforderlichen Beweise sammelt und diese zur Analyse sicher an den SOC überträgt. Es ist wichtig, dass Sie selbst entscheiden, ob diese Tools im Voraus installiert werden müssen (für Unternehmensgeräte ist es kein Problem, sie mit allen Anwendungen auf dem Image des Unternehmensbetriebssystems vorinstallieren), oder sie müssen im Falle von Problemen installiert werden. Im letzteren Fall besteht jedoch die Gefahr, dass wir den Angreifer auf diese Weise darüber informieren, dass seine Aktivität erkannt wurde und dass er sein Opfer „verlassen“ kann, während gleichzeitig alle von ihm hinterlassenen Spuren gelöscht werden. Dies ist eine schwierige Frage, die natürlich am besten „an Land“ gelöst werden kann und nicht bei der Untersuchung eines entfernten Vorfalls.Wer selbst wird die erforderlichen Beweise sammeln und diese zur Analyse sicher an den SOC weiterleiten? Es ist wichtig, dass Sie selbst entscheiden, ob diese Tools im Voraus installiert werden müssen (für Unternehmensgeräte ist es kein Problem, sie mit allen Anwendungen auf dem Image des Unternehmensbetriebssystems vorinstallieren), oder sie müssen im Falle von Problemen installiert werden. Im letzteren Fall besteht jedoch die Gefahr, dass wir den Angreifer auf diese Weise darüber informieren, dass seine Aktivität erkannt wurde und dass er sein Opfer „verlassen“ kann, während gleichzeitig alle von ihm hinterlassenen Spuren gelöscht werden. Dies ist eine schwierige Frage, die natürlich am besten „an Land“ gelöst werden kann und nicht bei der Untersuchung eines entfernten Vorfalls.Wer selbst wird die erforderlichen Beweise sammeln und diese zur Analyse sicher an den SOC weiterleiten? Es ist wichtig, dass Sie selbst entscheiden, ob diese Tools im Voraus installiert werden müssen (für Unternehmensgeräte ist es kein Problem, sie mit allen Anwendungen auf dem Image des Unternehmensbetriebssystems vorinstallieren), oder sie müssen im Falle von Problemen installiert werden. Im letzteren Fall besteht jedoch die Gefahr, dass wir den Angreifer auf diese Weise darüber informieren, dass seine Aktivität erkannt wurde und dass er sein Opfer „verlassen“ kann, während gleichzeitig alle von ihm hinterlassenen Spuren gelöscht werden. Dies ist eine schwierige Frage, die natürlich am besten „an Land“ gelöst werden kann und nicht bei der Untersuchung eines entfernten Vorfalls.Diese Tools müssen im Voraus installiert werden (bei Unternehmensgeräten ist es kein Problem, sie mit allen Anwendungen auf dem Image des Unternehmensbetriebssystems vorinstallieren), oder sie müssen bei Problemen installiert werden. Im letzteren Fall besteht jedoch die Gefahr, dass wir den Angreifer auf diese Weise darüber informieren, dass seine Aktivität erkannt wurde und dass er sein Opfer „verlassen“ kann, während gleichzeitig alle von ihm hinterlassenen Spuren gelöscht werden. Dies ist eine schwierige Frage, die natürlich am besten „an Land“ gelöst werden kann und nicht bei der Untersuchung eines entfernten Vorfalls.Diese Tools müssen im Voraus installiert werden (bei Unternehmensgeräten ist es kein Problem, sie mit allen Anwendungen auf dem Image des Unternehmensbetriebssystems vorinstallieren), oder sie müssen bei Problemen installiert werden. Im letzteren Fall besteht jedoch die Gefahr, dass wir den Angreifer auf diese Weise darüber informieren, dass seine Aktivität erkannt wurde und dass er sein Opfer „verlassen“ kann, während gleichzeitig alle von ihm hinterlassenen Spuren gelöscht werden. Dies ist eine schwierige Frage, die natürlich am besten „an Land“ gelöst werden kann und nicht bei der Untersuchung eines entfernten Vorfalls.Natürlich ist es besser, „an Land“ zu lösen, als einen entfernten Vorfall zu untersuchen.Natürlich ist es besser, „an Land“ zu lösen, als einen entfernten Vorfall zu untersuchen.

Bild

Ich denke, dass ich mit separatem Material zur Fernuntersuchung und Beweiserhebung zurückkehren werde, aber im Moment werde ich nur eine Reihe von Fragen erwähnen, die Sie für eine Fernuntersuchung beantworten müssen:

  • Wie kann ich auf Remote-Geräte für Privatanwender, Mobilgeräte und Unternehmen zugreifen? Im Zoo-Zustand von Heimgeräten ist diese Frage nicht so einfach, wie es scheint. Dies gilt insbesondere für mobile Geräte, für die möglicherweise auch Untersuchungsmaßnahmen erforderlich sind.
  • Wie kann ich auf die Protokolle und Daten der Informationssicherheit zugreifen und welche allgemeinen Protokolle und Artefakte auf Remote-Geräten benötigen wir? Wie sammle ich sie selektiv?
  • Benötigen Sie administrativen Remotezugriff, um beispielsweise Dienstkonten, Sudo und SSH-Schlüssel zu untersuchen und zu beantworten? Muss ich Änderungen an den ACLs auf Heimroutern für den Remotezugriff vornehmen (und wenn diese vom Dienstanbieter bereitgestellt und verwaltet werden)?
  • Ist es notwendig, die Whitelists der Anträge für den Betrieb von Ermittlungs- und Beweismitteln zu ändern?
  • Wie installiere ich Tools für die Untersuchung und Beweiserhebung aus der Ferne?
  • Wie kann ich verfolgen, wann ausgeschaltete Remote-Geräte zur Untersuchung eingeschaltet sind?
  • Wie werden Sie mit dem Opfer kommunizieren?

Die Antworten auf diese Fragen hängen in hohem Maße von der vorhandenen Infrastruktur, der Verfügbarkeit von Unternehmensstandards für die verwendeten Geräte, der System- und Anwendungssoftware sowie dem Recht der Mitarbeiter ab, persönliche Geräte für die Arbeit von zu Hause aus zu verwenden.

Outsourcing-Dienstleister


Vielleicht entscheiden Sie sich bei einer Pandemie, vorübergehend die Dienste eines ausgelagerten SOC und eines MDR-Anbieters in Anspruch zu nehmen. Außerdem können Sie jetzt Rabatte von ihnen erhalten :-) Aber es ist viel wichtiger zu verstehen, inwieweit Ihr aktueller Outsourcing-Vertrag oder Ihre aktuellen Outsourcing-Verträge die Remote-Arbeit Ihrer Analysten berücksichtigen? MSSP / MDR / TIP / CERT / FinCERT / GosSOPKA akzeptieren Nachrichten von Ihren Mitarbeitern, von ihren persönlichen Telefonen oder E-Mail-Adressen? Blockieren sie den Zugriff nicht über Unternehmens-IP-Adressen? Ist es möglich, mithilfe von Split-Tunneling eine Verbindung zu Dashboards von externen Anbietern herzustellen, nicht über ein Unternehmens-VPN?

Rechtliche Anforderungen


Ich habe bereits über die Unmöglichkeit des Fernbetriebs eines kommerziellen SOC aufgrund der Einschränkungen des FSTEC geschrieben. Es gibt jedoch eine Reihe von Themen, die beim Remote-Betrieb von SOC berücksichtigt werden müssen. Kennst du einen neuen Witz? „Meine Kinder lernen zu Hause. Ich bitte die Schulverwaltung, Geld für neue Vorhänge zu spenden, Wände zu streichen und Möbel zu reparieren. “:-) In einigen Ländern gibt es eine Praxis, in der Mitarbeiter vom Arbeitgeber eine Entschädigung für die Nutzung der Wohnung und des Heimcomputers als Arbeitsmittel verlangen. Ich denke, dass dies in Russland uns noch nicht bedroht, aber das Beispiel selbst ist ziemlich bezeichnend.

Es ist unwahrscheinlich, dass SOC-Mitarbeitern angeboten wird, ihre offiziellen Aufgaben von PCs aus auszuführen (obwohl ...), aber normale Mitarbeiter können von Heimgeräten aus problemlos eine Verbindung zu Unternehmensressourcen herstellen. Daher stellt sich die berechtigte Frage: Auf welcher Rechtsgrundlage erhält der Arbeitgeber Zugriff auf den Remote- und Personalcomputer des Arbeitnehmers, wenn er Ermittlungen durchführt, Artefakte sammelt usw.? Haben Sie eine Klausel über das Recht des Unternehmens, einen Mitarbeiter in einem Arbeitsvertrag oder in einer zusätzlichen Vereinbarung zu überwachen? Gibt es eine detaillierte Regelung darüber, was im Rahmen einer solchen Überwachung möglich ist und was nicht? Wenn nicht, verstoßen Sie gegen geltendes Recht und der Mitarbeiter hat das volle Recht, Sie zu senden, wenn Sie versuchen, auf Ihr persönliches Gerät zuzugreifen. Gleiches gilt für die Installation von DLP-Agenten oder Zeiterfassungstools auf Heimcomputern.

Und vergessen Sie nicht, dass Ihr SOC möglicherweise in den Geltungsbereich eines internationalen Standards für das Informationssicherheitsmanagement fällt (in Russland haben beispielsweise mehrere SOCs bereits die ISO 27001-Zertifizierung bestanden). Überlegen Sie, wie Sie mit Ihrem Remote-SOC geprüft werden? Sie werden keine Prüfer zu den Wohnungen der Mitarbeiter führen. Oder wirst du? ..

Fazit


Dies sind Skizzen darüber, was wir tun müssen, wenn wir Pläne zur Verbesserung von IS-Überwachungszentren entwerfen, prüfen und entwickeln, einschließlich in Russland und den GUS-Ländern. Dies bedeutet nicht, dass all diese Tipps nicht durchführbar sind oder erhebliche finanzielle, zeitliche und personelle Kosten erfordern. Viele davon sind einfach zu implementieren. Die Hauptsache ist, diese Probleme nicht auf die Bremse treten zu lassen, da das Ignorieren dieser Probleme nicht nur dazu führen kann, dass Vorfälle während der Fernarbeit untersucht werden, sondern sogar übersprungen werden. Denken Sie auch nicht, dass die aktuelle Pandemie ein vorübergehendes Phänomen ist und bald alles klappen wird. Wenn die Organisation ernsthaft über Geschäftskontinuität nachdenkt und weiß, wie die Situation in mehreren Schritten zu berechnen ist, werden wir verstehen, dass COVID-19 nur ein Zeichen ist. ein Zeichen dafür, dass sich die Situation im nächsten Winter wiederholen könnte.Deshalb müssen "Schlitten im Sommer vorbereitet werden". In jedem Fall sind die oben beschriebenen Spitzen auch im normalen SOC-Leben nicht überflüssig.

Bedrohung. Vergessen Sie übrigens nicht, die wichtigsten Räumlichkeiten des SOC zu sanieren, bevor die Analysten dorthin zurückkehren.

More articles:


All Articles