Get best of the week

SOC di situs jarak jauh. Apa yang layak dipikirkan?

Seorang analis SOC, ketika mereka memutuskan untuk memindahkannya ke kantor dari rumah, mengajukan pertanyaan sakramental: “Saya tinggal di odnushka bersama pacar dan kucingnya, yang saya (sebagai kucing, bukan perempuan) alergi terhadap. Pada saat yang sama, kami hanya memiliki satu meja, di mana kami makan, dan di waktu yang tidak biasa, gadis saya memajang gambar di atasnya, dia adalah perancang-perancang pakaian. Dan di mana Anda memerintahkan saya untuk menempatkan 3 monitor yang diizinkan untuk saya ambil sementara waktu dari pekerjaan? " Yah, karena ini hanya satu dari banyak pertanyaan yang muncul ketika mentransfer karyawan SOC (Security Operations Center) ke situs jarak jauh, saya memutuskan untuk berbagi pengalaman kami; terutama mempertimbangkanbahwa saat ini untuk salah satu pelanggan kami, kami hanya merancang pusat pemantauan keamanan siber (SOC) dari awal dan dia memutuskan untuk mengganti sepatu saat bepergian dan meminta untuk mempertimbangkan kemungkinan pekerjaan analis dan spesialis investigasi insiden dari rumah dalam proyek tersebut.

gambar
Dalam pandemi, banyak perusahaan pindah atau diharuskan memindahkan sebagian karyawannya ke pekerjaan jarak jauh. Mangkuk ini dan ahli SOC tidak lulus. Namun, harus segera dicatat bahwa regulator domestik, dengan persyaratan mereka, melarang spesialis melakukan outsourcing SOC yang memberikan layanan kepada pelanggan mereka untuk bekerja dari rumah, karena salah satu syarat untuk mendapatkan lisensi untuk pemantauan IS (dan SOC komersial adalah jenis kegiatan berlisensi) bukan hanya alamat dari ketentuan tersebut. layanan, tetapi juga sertifikasi sistem informasinya, yang juga membuatnya tidak mungkin untuk transisi darurat ke situs jarak jauh (dan bukan yang darurat juga). Benar, di negara kita, hukum IS nihilisme dan penolakan sementara untuk melakukan inspeksi,Anda dapat mengabaikan nuansa ini - persyaratan bisnis dan pelestarian kehidupan dan kesehatan masyarakat jauh lebih penting dalam kasus ini. Apalagi mengingat fakta bahwa penjahat cyber tidak mengurangi aktivitas mereka. Selain itu, mereka mengangkat tema coronavirus ke bendera dan mulai menyerang pengguna di rumah, yang dibiarkan menggunakan perangkat mereka sendiri dan menjadi tautan yang bahkan lebih lemah dari biasanya. Oleh karena itu, topik SOC (atau pemantauan keamanan informasi) di situs jarak jauh menjadi cukup relevan bagi banyak perusahaan. Yah, karena Cisco membantu membangun dan mengaudit sejumlah besar SOC, dan SOC kami sendiri telah bekerja pada model "virtual SOC" selama lebih dari 10 tahun, kami telah mengumpulkan sejumlah tips yang ingin kami bagikan.mereka mengangkat tema coronavirus ke bendera dan mulai menyerang pengguna di rumah, yang dibiarkan menggunakan perangkat mereka sendiri dan menjadi tautan yang bahkan lebih lemah dari biasanya. Oleh karena itu, topik SOC (atau pemantauan keamanan informasi) di situs jarak jauh menjadi cukup relevan bagi banyak perusahaan. Yah, karena Cisco membantu membangun dan mengaudit sejumlah besar SOC, dan SOC kami sendiri telah bekerja pada model "virtual SOC" selama lebih dari 10 tahun, kami telah mengumpulkan sejumlah tips yang ingin kami bagikan.mereka mengangkat tema coronavirus ke bendera dan mulai menyerang pengguna di rumah, yang dibiarkan menggunakan perangkat mereka sendiri dan menjadi tautan yang bahkan lebih lemah dari biasanya. Oleh karena itu, topik SOC (atau pemantauan keamanan informasi) di situs jarak jauh menjadi cukup relevan bagi banyak perusahaan. Yah, karena Cisco membantu membangun dan mengaudit sejumlah besar SOC, dan SOC kami sendiri telah bekerja pada model "virtual SOC" selama lebih dari 10 tahun, kami telah mengumpulkan sejumlah tips yang ingin kami bagikan.dan SOC kami sendiri telah bekerja pada model "virtual SOC" selama lebih dari 10 tahun, kami telah mengumpulkan sejumlah tips yang ingin kami bagikan.dan SOC kami sendiri telah bekerja pada model "virtual SOC" selama lebih dari 10 tahun, kami telah mengumpulkan sejumlah tips yang ingin kami bagikan.

Tetapi saya ingin memulai bukan dengan fitur teknologi pemantauan jarak jauh dan investigasi insiden, kita akan membicarakannya di bawah ini, tetapi dengan apa yang sering kita lupakan. Masalah utama dalam mentransfer sebagian atau semua analis SOC ke telekomunikasi dari rumah terkait dengan faktor manusia. Bahkan jika Anda telah membangun semua proses, dan toolkit ini memungkinkan Anda untuk terhubung dari jarak jauh ke SIEM atau konsol SOAR dan juga mengumpulkan artefak dari komputer pengguna jarak jauh dari jarak jauh, maka orang-orang yang dapat menjadi penghubung terlemah dalam SOC yang telah meninggalkan tempat yang telah ditetapkan.

Perhatian dan stres


Menurut penelitian, transfer ke pekerjaan rumah menyebabkan penurunan produktivitas sebesar 15% (seseorang dapat menghabiskan lebih banyak waktu untuk melakukan tugas resmi, tetapi apakah itu efektif?). Stres dan ketidaknyamanan (jika anak-anak berlarian, dan seorang tetangga tiba-tiba memutuskan untuk melakukan perbaikan di luar tembok), serta ketidakmampuan untuk berkonsentrasi ketika istri memasak borsch atau seorang teman berlatih yoga di ruangan yang sama, mengurangi perhatian. Dan mimpi yang mengisyaratkan demikian? Saat bekerja di kantor, Anda masih bisa berurusan dengannya, tetapi berada di rumah, melihat tempat tidur yang hangat dan memikat dengan orang yang dicintai tidur di sana, itu jauh lebih sulit. Dan ini terlepas dari kenyataan bahwa kinerja setiap orang di malam hari jatuh sangat buruk.

gambar

Oleh karena itu, menjadi sangat penting untuk mengukur efektivitas spesialis SOC. Pekerjaan jarak jauh santai dan tidak semua orang siap untuk itu. Karyawan SOC perlu mengubah perilaku mereka saat bekerja dari jarak jauh. Dan manajer mereka perlu memantau kinerja masing-masing analis dan ketika mereka melampaui nilai batas, tanggapi tepat waktu. Dan ini bukan tentang “waktu rata-rata mengambil insiden untuk bekerja” atau “rata-rata waktu respon / lokalisasi insiden”, tetapi tentang mengukur setiap tahap atau tugas dalam kerangka pedoman yang dikembangkan. Misalkan Anda memiliki buku pedoman untuk menganalisis aktivitas pengguna yang mencurigakan dan waktu respons rata-rata (sejak saat sinyal diterima dalam SIEM dan untuk membekukan akun dalam AD, menempatkan node dalam karantina VLAN dan mencari node dan pengguna lain,yang mungkin terkait dengan korban) Anda membutuhkan waktu sekitar 28 menit. Anda melihat statistik pada insiden yang dikerjakan dari jarak jauh dan Anda melihat bahwa indikator ini melonjak sedikit dalam kisaran 19 hingga 37 menit, tetapi rata-rata adalah 28 menit yang sama sebelum perubahan dalam mode operasi analis. Segalanya tampak baik-baik saja.

Tetapi jika Anda memiliki kesempatan untuk memantau semua langkah / tugas individu dari buku pedoman, maka Anda akan melihat bahwa alih-alih 1-3 menit tradisional untuk mengidentifikasi indikator, 1-3 menit untuk memeriksanya di platform TI, 1-2 menit untuk membuat keputusan, 3 menit untuk membekukan akun, dll., Analis Anda segera setelah menerima alarm menempatkan pengguna dan situsnya dalam karantina, atau bahkan tanpa memeriksa mengirimkan insiden ke tingkat berikutnya, kepada analis L2. Dan, selama sekitar 9-10 menit, sama sekali tidak jelas apa yang dilakukan analis. Entah dia pergi ke dapur untuk menuang kopi, atau dia memutuskan untuk menonton berita di TV, atau mungkin dia hanya berjalan-jalan, ke balkon. Tetapi metrik khusus kejadian Anda terpenuhi. Karena itu, ketika beralih ke pekerjaan jarak jauh, perlu untuk merevisi metrik yang ada untuk menilai efektivitas SOC.

Dalam kasus yang dijelaskan, omong-omong, solusi lain bisa berupa perkenalan alat otomasi yang menghilangkan sebagian besar tugas manual dan mengotomatiskan apa yang tertulis dalam buku pedoman. Tapi ini bisa dilakukan terlepas dari pekerjaan jarak jauh - platform SOAR hanya dirancang untuk mengotomatisasi pekerjaan analis SOC dan tidak hanya mempercepat proses penyelidikan dan respons terhadap insiden, tetapi juga memiliki alat untuk mengukur efektivitas kerja dengan mereka. Oleh karena itu, omong-omong, Cisco telah mengembangkan platform manajemen keamanan informasi yang baru dan gratis - Cisco SecureX, yang tugasnya adalah untuk mengotomatisasi pengelolaan banyak solusi Cisco (dan ratusan lainnya dari produsen lain), termasuk proses respons insiden.

gambar

Kerja tim


SOC hampir selalu merupakan kerja tim. Dalam SOC yang khas, spesialisnya bekerja berdampingan di ruang sempit dan ketika mereka dipaksa untuk beralih ke pekerjaan jarak jauh, kesulitan segera muncul dimana SOC sering tidak siap. Omong-omong, ini juga difasilitasi oleh persyaratan undang-undang, yang menganggap SOC sebagai kegiatan berlisensi di ruangan tertentu, seperti yang saya sebutkan di atas. Konsep SOC virtual atau seluler di Rusia tidak terlalu diterima, terutama ketika memberikan layanan untuk memantau keamanan informasi dan respons insiden (untuk tujuan Anda sendiri, tentu saja, Anda dapat membangun SOC menggunakan salah satu dari arsitektur yang tersedia). Kerja tim jarak jauh adalah tantangan baru yang masih perlu Anda lakukan. Apa yang harus dicari dalam aspek SOC ini.

Susunan acara


Tinjau dan mungkin revisi jadwal shift Anda. Setiap analis harus tahu tidak hanya peran dan jadwalnya dalam pekerjaan, tetapi juga peran dan jadwal anggota tim lain agar dapat menghubungi spesialis yang tepat atau menggantikannya jika, karena alasan tertentu, ia tidak datang ke kantor (selain masuk ke rumah sakit, Anda hanya bisa mendapatkan di bawah penangkapan administratif selama 15 hari karena melanggar aturan isolasi diri wajib / oxymoron klasik / ketika Anda hanya berjalan-jalan di kolam terdekat). Ngomong-ngomong, jika analis Anda bekerja di rumah pedesaan dan tiba-tiba listrik atau Internet terputus, maka tentu saja ia tidak perlu merekam "pembolosan" virtual, tetapi ia harus siap untuk menggantinya dengan waktu pemulihan stasiun kerja jarak jauhnya.Namun selain alasan di atas, mungkin ada banyak hal yang harus diperhitungkan - tetangga mengalami banjir, kebakaran, sangat mendesak untuk membawa orang yang dicintai ke rumah sakit, dll. Dan semua ini harus diperhitungkan pertama-tama untuk para analis dari baris pertama dan kedua, untuk siapa tinggal permanen di tempat kerja adalah yang paling relevan.

gambar

Pendampingan


Di bawah kondisi rotasi personel yang cukup tinggi pada level yang lebih rendah dari hirarki SOC, mentoring dari kolega yang lebih berpengalaman atas pendatang baru tersebar luas di dalamnya. Mereka membantu dengan saran, menjaga, mendukung. Dan bagaimana melakukannya di situs jarak jauh? Bagaimana membantu seorang pemula meninggalkan perangkatnya sendiri? Jawabannya sederhana - komunikasi yang benar dan konstan !!!

Rencana komunikasi


Komunikasi dalam pekerjaan jarak jauh menjadi elemen terpenting dari efektivitasnya. Selain itu, komunikasi tidak hanya bagian dari investigasi insiden tertentu, tetapi juga "hanya begitu". Beberapa kali sehari berkumpul selama 15 menit dan bertukar pandangan, ide; saling mendukung dalam situasi yang penuh tekanan (dan siapa pun yang mengatakan sesuatu, tetapi situasi saat ini justru tekanan yang secara negatif mempengaruhi kemampuan dan kemampuan kita). Analis SOC kami selalu memiliki ini, tetapi karyawan biasa baru-baru ini memperkenalkan praktik "coffee break". Seperti yang ditunjukkan oleh pengalaman, banyak orang benar-benar kekurangan komunikasi dengan kolega; dan bahkan analis introvert tidak terkecuali.

Jika Anda sudah memiliki rencana komunikasi, maka Anda harus menganalisisnya dan, kemungkinan besar, memeriksanya. Paling tidak harus mencakup:

  • , , — e-mail , . /wiki SOC, ( ).
  • . , , , . , ? ? ( , IVR), , ?
  • , , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
  • - , . , , SOC, . grid card, , .
  • FAQ - RACI , / /use case.
  • , war room CSIRT , . , , , . « ?», . .
  • . , , SOC, , -? ? ? , , — .

?


Selama penyelidikan, sumber daya yang paling berharga adalah waktu. Jangan sia-siakan. Peneliti jarak jauh dapat menduplikasi pekerjaan masing-masing. Mereka dapat mengulangi diskusi yang sama dalam berbagai kelompok dan alat komunikasi. Utusan yang sering digunakan untuk berkomunikasi dalam insiden tersebut, misalnya, Whatsapp, sangat tidak cocok untuk tugas ini, karena sangat sulit untuk mencari dan bekerja dengan dokumen dan artefak di sana; terutama ketika dalam satu obrolan Anda memiliki terlalu banyak insiden yang berbeda dan kebingungan di antara mereka dimulai. Membuat obrolan terpisah untuk setiap kejadian dapat menyelesaikan masalah, tetapi saya tidak dapat menyebut jalur ini nyaman. Tetap saja, messenger tidak dirancang untuk tugas ini. Selain itu, akan sulit bagi Anda untuk memisahkan obrolan layanan dari obrolan pribadi,dan Anda juga akan menjadi tergantung pada server manajemen eksternal, operasi yang dapat terganggu jika lembaga pemerintah sekali lagi mulai berjuang dengan Telegram bersyarat, atau jika produsen messenger memperkenalkan larangan posting simultan ke beberapa kelompok / obrolan, pertempuran dengan berita palsu.

Untuk komunikasi yang efektif dalam kerangka kejadian, solusi yang Anda gunakan harus dapat mengatur obrolan, berbagi file, dan akses jarak jauh ke desktop. Misalnya, menggunakan Tim Webex, Anda dapat membuat ruang terpisah untuk setiap insiden di dalamnya, di mana Anda tidak hanya dapat mengumpulkan semua bukti yang diperlukan, tetapi juga berkomunikasi dengan semua peserta yang terlibat dalam insiden tersebut. Dan karena kemampuan untuk menulis chatbots dan mengintegrasikan Tim Webex dengan alat keamanan, Anda dapat segera memeriksa dan memperkaya artefak yang diterima.

gambar

Jika Anda tidak menggunakan Tim Webex, maka ide serupa dapat diterapkan, misalnya, pada tautan berikut: saluran Slack terpisah untuk insiden tertentu (dan saluran komunikasi umum, yang dapat digunakan sebagai semacam indeks untuk semua insiden), ruang Zoom untuk diskusi (Anda harus ada akun berbayar untuk ini dan jika Anda tidak bingung dengan masalah IB yang konstan dari layanan ini) dan halaman Pertemuan untuk mengumpulkan catatan. Kemudian, informasi ringkasan insiden dimasukkan ke dalam IRP, yang dapat dikenal baik oleh banyak Jira atau solusi manajemen insiden khusus.

gambar

Papan tulis untuk brainstorming


Apakah Anda memiliki papan curah pendapat dalam SOC Anda? Saya pikir sudah. Untuk pekerjaan jarak jauh, Anda mungkin memerlukan Papan Tulis - fungsi semacam itu tersedia dalam berbagai cara komunikasi. Anda dapat menggambar dan berbagi ide dengan kolega dari jarak jauh. Dan jika Anda menggunakan papan kanban untuk mengontrol tugas tim, maka Anda akan membutuhkannya pada penggunaan jarak jauh, misalnya, Trello jika Anda tidak memiliki solusi korporat. Tetapi ketika menggunakan solusi berbasis cloud untuk kerja tim, jangan lupa untuk mengkonfigurasi hak akses yang tepat sehingga orang luar tidak belajar tentang masalah keamanan Anda dan tidak dapat campur tangan dalam proses investigasi dan respons.

gambar

Ruang jauh


Anda memutuskan bahwa analis SOC akan bekerja dari jarak jauh. Dan Anda tahu cara melakukan ini tidak hanya secara teknis, tetapi juga secara psikologis dan organisasi. Tapi, apakah Anda bertanya pada diri sendiri, apakah analis SOC Anda memiliki apartemen sendiri atau tinggal di asrama? Siapa analis lini pertama Anda? Spesialis kelas tinggi yang bekerja selama bertahun-tahun di SOC dan mendapatkan penthouse sendiri di Bukit Sparrow? Atau baru-baru ini para siswa tinggal bersama ibu, ayah, dan adik-adik? Di SOC Anda, Anda dapat memberi mereka tempat kerja dan tiga monitor untuk memantau "jarum di tumpukan jerami." Apakah analis Anda memiliki tempat untuk 3 atau setidaknya dua monitor di rumah? Dan jika saudara lelakinya memotong satu meter darinya di PlayStation dan mengalihkan perhatiannya dengan suara "karet terbakar" atau "zombie sekarat"? Jika analis tidak dapat bekerja dari rumah karena kurangnya ruang,Anda perlu membuat perubahan pada komposisi dan jadwal shift.

Penting juga untuk memastikan kenyamanan dan kenyamanan pekerjaan bagi analis. Di SOC perusahaan, Anda dapat menghabiskan banyak usaha dan sumber daya untuk memilih pencahayaan yang tepat, isolasi kebisingan, gema, AC, kursi yang nyaman, dll. Tetapi di rumah sering, sayangnya, kita tidak memiliki kemewahan seperti itu. Dan oleh karena itu, kita perlu memantau lebih dekat bagaimana kinerja analis telah berubah sebelum (jika, tentu saja, Anda kumpulkan) dan setelah pergi ke situs terpencil. Dan setelah menganalisisnya, buat kesimpulan yang sesuai. Jika tidak, SOC jarak jauh akan berubah menjadi "labu" - sepertinya ada di sana, tetapi tidak menyelesaikan masalahnya, karena para analis tidak dapat bekerja di apartemen mereka sendiri.

gambar

Dan jangan lupa bahwa keamanan fisik ruangan tempat informasi yang cukup sensitif beredar juga penting.

Arsitektur SOC


Dalam pandemi, acara keamanan Anda akan meningkat. Pertama, Anda harus secara aktif memantau kluster VPN atau kluster akses jarak jauh di mana pengguna akan terhubung ke aplikasi dan data dalam jaringan perusahaan atau yang akan "meneruskan" lalu lintas pengguna ke layanan cloud eksternal. Kedua, Anda mungkin perlu memantau lingkungan cloud jika layanan TI telah memutuskan untuk sementara waktu atau secara permanen mentransfer pemrosesan beberapa data dan beberapa aplikasi ke cloud. Dan akhirnya, Anda memiliki kebun binatang yang berkembang dari berbagai sistem yang ada di rumah dengan pengguna yang akan mulai menghasilkan acara keamanan dan yang perlu dianalisis. Tapi itu belum semuanya.

Koneksi jarak jauh ke SOC


SIEM, IRP / SOAR, ticketing, platform TI ... Apakah mereka memiliki kemampuan untuk menghubungkan mereka dari konsol jarak jauh melalui koneksi yang aman (betapa beruntungnya mereka yang menggunakan cloud SOCs / SIEMs sekarang, di mana fungsi bawaannya)? Jika tidak, maka Anda perlu memikirkan opsi dengan akses jarak jauh melalui RDP / VDI atau metode koneksi lain yang diteruskan melalui VPN (di tempat ini saatnya untuk memikirkan kemungkinan menerapkan SOC seluler atau virtual). Pada akhirnya, Anda dapat memiliki mesin virtual khusus, LiveCD atau LiveUSB untuk bekerja dengan alat SOC; meskipun kami hampir tidak pernah melihat opsi terakhir - ini agak dilakukan bagi pengguna untuk bekerja dari komputer di rumah mereka, ketika itu perlu untuk memisahkan aplikasi perusahaan dan yang di rumah tempat kerabat Anda bekerja.

Menurut pendapat kami, VDI (tetapi juga melalui VPN) akan menjadi pilihan terbaik dari sudut pandang kontrol akses dan bekerja dengan informasi sensitif, tetapi akses langsung jika dikonfigurasi dengan benar juga merupakan opsi yang sepenuhnya berfungsi. Dalam kedua kasus, perlu tidak hanya menggunakan otentikasi multi-faktor, tetapi juga pastikan untuk memeriksa analitik PC yang terhubung untuk kepatuhan dengan persyaratan keamanan informasi (tambalan yang dipasang, pengaturan perlindungan kata sandi, keberadaan antivirus atau EDR, dll.). Jika Anda memiliki Cisco ASA pada perimeter atau Cisco ISE yang digunakan di dalam jaringan, maka Anda dapat mengatur pemeriksaan semacam itu pada mereka. Kami menyarankan Anda menonaktifkan split tunneling pada komputer yang terhubung ke SOC perusahaan. Itu akan jauh lebih aman; dan untuk pengguna biasa di situs jarak jauh juga.

Dan jangan lupa untuk mengklarifikasi apakah perubahan dalam ACL dari peralatan perbatasan di sisi perusahaan diperlukan untuk mengakses tempat suci IB? Bagaimana prosedur umum untuk membuat perubahan pada ACL? Apakah akan membutuhkan proses persetujuan yang panjang, dan bahkan membutuhkan tanda tangan tulisan tangan pada aplikasi? Sekarang akan menjadi ide yang baik untuk merevisi semua kebijakan dan instruksi Anda dengan pandangan pada kapasitas kerja mereka dalam kondisi ketidakmungkinan untuk mengumpulkan tanda tangan dan berlari di antara bos. Dan bahkan jika Anda memiliki sistem manajemen dokumen elektronik, seberapa baik ia disesuaikan dengan penyelesaian masalah yang cepat?

Investigasi Jarak Jauh pada PC Jarak Jauh


Penyelidik terbiasa dengan fakta bahwa mereka dapat mendatangi karyawan yang terlibat dalam insiden tersebut dan menghapus semua log / dump memori / dan artefak lainnya dari komputernya. Tetapi bagaimana cara melakukannya dari jarak jauh? Seseorang menggunakan Remote Admin, familiar dengan spesialis IT, seseorang RDP, seseorang Skype for Business atau alat lainnya. Hal utama adalah jangan lupa untuk mengkonfigurasi dengan benar fungsionalitas perlindungan dari alat-alat ini dan setuju dengan karyawan tentang prosedur otentikasi untuk karyawan IT / IS yang terhubung dari jarak jauh (well, jangan lupa tentang aspek hukum, seperti yang akan dibahas nanti). Seseorang menggunakan GRR gratis, osquery, Sysmon atau Autorun Utility, atau EnCase komersial (pengguna Cisco AMP untuk Endpoint tidak perlu khawatir - mereka memiliki alat seperti Cisco Orbital yang memungkinkan penyelidikan jarak jauh).Dalam beberapa kasus, Anda dapat mengajari pengguna untuk menjalankan skrip yang diperlukan, yang dengan sendirinya akan mengumpulkan bukti yang diperlukan dan dengan aman mentransfernya ke SOC untuk dianalisis. Penting bagi Anda untuk memutuskan sendiri, alat-alat ini harus diinstal terlebih dahulu (untuk perangkat perusahaan tidak ada masalah dalam pra-instal pada gambar OS perusahaan dengan semua aplikasi) atau mereka harus diinstal jika ada masalah. Namun, dalam kasus terakhir, ada risiko bahwa dengan melakukan itu, kami akan memberi tahu penyerang bahwa aktivitasnya telah terdeteksi dan bahwa ia dapat "meninggalkan" korbannya, sekaligus menghapus semua jejak yang ditinggalkan oleh dirinya sendiri. Ini adalah pertanyaan yang sulit, yang, tentu saja, paling baik dipecahkan "darat", dan tidak dalam proses penyelidikan insiden terpencil.yang dirinya sendiri akan mengumpulkan bukti yang diperlukan dan dengan aman mentransfernya ke SOC untuk dianalisis. Penting bagi Anda untuk memutuskan sendiri, alat-alat ini harus diinstal terlebih dahulu (untuk perangkat perusahaan tidak ada masalah dalam pra-instal pada gambar OS perusahaan dengan semua aplikasi) atau mereka harus diinstal jika ada masalah. Namun, dalam kasus terakhir, ada risiko bahwa dengan melakukan itu, kami akan memberi tahu penyerang bahwa aktivitasnya telah terdeteksi dan bahwa ia dapat "meninggalkan" korbannya, sekaligus menghapus semua jejak yang ditinggalkan oleh dirinya sendiri. Ini adalah pertanyaan yang sulit, yang, tentu saja, paling baik dipecahkan "darat", dan tidak dalam proses penyelidikan insiden terpencil.yang dirinya sendiri akan mengumpulkan bukti yang diperlukan dan dengan aman mentransfernya ke SOC untuk dianalisis. Penting bagi Anda untuk memutuskan sendiri, alat-alat ini harus diinstal terlebih dahulu (untuk perangkat perusahaan tidak ada masalah dalam pra-instal pada gambar OS perusahaan dengan semua aplikasi) atau mereka harus diinstal jika ada masalah. Namun, dalam kasus terakhir, ada risiko bahwa dengan melakukan itu, kami akan memberi tahu penyerang bahwa aktivitasnya telah terdeteksi dan bahwa ia dapat "meninggalkan" korbannya, sekaligus menghapus semua jejak yang ditinggalkan oleh dirinya sendiri. Ini adalah pertanyaan yang sulit, yang, tentu saja, paling baik dipecahkan "darat", dan tidak dalam proses penyelidikan insiden terpencil.alat-alat ini harus diinstal terlebih dahulu (untuk perangkat perusahaan tidak ada masalah dalam pra-instal pada gambar OS perusahaan dengan semua aplikasi) atau mereka harus diinstal jika ada masalah. Namun, dalam kasus terakhir, ada risiko bahwa dengan melakukan itu, kami akan memberi tahu penyerang bahwa aktivitasnya telah terdeteksi dan bahwa ia dapat "meninggalkan" korbannya, sekaligus menghapus semua jejak yang ditinggalkan oleh dirinya sendiri. Ini adalah pertanyaan yang sulit, yang, tentu saja, paling baik dipecahkan "darat", dan tidak dalam proses penyelidikan insiden terpencil.alat-alat ini harus diinstal terlebih dahulu (untuk perangkat perusahaan tidak ada masalah dalam pra-instal pada gambar OS perusahaan dengan semua aplikasi) atau mereka harus diinstal jika ada masalah. Namun, dalam kasus terakhir, ada risiko bahwa dengan melakukan itu, kami akan memberi tahu penyerang bahwa aktivitasnya telah terdeteksi dan bahwa ia dapat "meninggalkan" korbannya, sekaligus menghapus semua jejak yang ditinggalkan oleh dirinya sendiri. Ini adalah pertanyaan yang sulit, yang, tentu saja, paling baik dipecahkan "darat", dan tidak dalam proses penyelidikan insiden terpencil.Tentu saja, lebih baik untuk menyelesaikan "ke darat," daripada dalam proses penyelidikan insiden jarak jauh.Tentu saja, lebih baik untuk menyelesaikan "ke darat," daripada dalam proses penyelidikan insiden jarak jauh.

gambar

Saya pikir saya akan kembali dengan materi terpisah tentang penyelidikan jarak jauh dan pengumpulan bukti, tetapi untuk saat ini saya hanya akan menyebutkan sejumlah pertanyaan yang harus Anda siap jawab selama penyelidikan jarak jauh:

  • Bagaimana cara mengakses perangkat jarak jauh rumah, seluler, dan perusahaan? Dalam kondisi kebun binatang di perangkat rumah, pertanyaan ini tidak sesederhana kelihatannya. Ini terutama berlaku untuk perangkat seluler, yang mungkin juga memerlukan tindakan investigasi.
  • Bagaimana cara mengakses log dan data keamanan informasi dan log dan artefak umum apa pada perangkat jarak jauh yang kita butuhkan? Bagaimana cara mengumpulkannya secara selektif?
  • Apakah Anda memerlukan akses jarak jauh administratif untuk menyelidiki dan merespons, misalnya, akun layanan, sudo, kunci SSH? Apakah saya perlu melakukan perubahan pada ACL pada router rumah untuk akses jarak jauh (dan jika disediakan dan dikelola oleh penyedia layanan)?
  • Apakah perlu mengubah daftar putih aplikasi untuk operasi investigasi dan alat bukti?
  • Bagaimana cara menginstal alat untuk investigasi dan pengumpulan bukti dari jarak jauh?
  • Bagaimana cara melacak ketika perangkat jauh dimatikan dinyalakan untuk penyelidikan?
  • Bagaimana Anda akan berkomunikasi dengan korban?

Jawaban atas pertanyaan-pertanyaan ini sangat tergantung pada infrastruktur yang tersedia, ketersediaan standar perusahaan untuk perangkat yang digunakan, sistem dan perangkat lunak aplikasi, serta hak bagi karyawan untuk menggunakan perangkat pribadi untuk bekerja dari rumah.

Penyedia Layanan Outsourcing


Mungkin dalam pandemi, Anda memutuskan untuk sementara menggunakan layanan SOC outsourcing dan penyedia MDR. Selain itu, Anda bisa mendapatkan diskon dari mereka sekarang :-) Tetapi jauh lebih penting untuk memahami berapa banyak kontrak outsourcing Anda saat ini atau kontrak memperhitungkan kerja jarak jauh analis Anda? MSSP / MDR / TIP / CERT / FinCERT / GosSOPKA menerima pesan dari karyawan Anda, dari telepon pribadi atau alamat email mereka? Apakah mereka memblokir akses bukan dari alamat IP perusahaan? Apakah mungkin untuk terhubung ke dasbor dari penyedia eksternal tidak melalui VPN perusahaan, menggunakan split tunneling?

Persyaratan resmi


Saya sudah menulis tentang ketidakmungkinan operasi jarak jauh dari SOC komersial karena keterbatasan FSTEC. Tetapi ada sejumlah topik yang harus diingat ketika mengoperasikan SOC dari jarak jauh. Apakah Anda tahu lelucon baru? “Anak-anak saya belajar di rumah. Saya meminta administrasi sekolah untuk menyumbangkan uang untuk tirai baru, lukisan dinding dan perbaikan furnitur ":-) Jadi di sejumlah negara ada praktik di mana karyawan mulai meminta kompensasi dari majikan untuk menggunakan apartemen dan komputer di rumah sebagai alat kerja. Saya pikir di Rusia ini belum mengancam kita, tetapi contoh itu sendiri cukup indikatif.

Tidak mungkin bahwa karyawan SOC ditawari untuk melakukan tugas resmi mereka dari komputer pribadi (meskipun ....), tetapi karyawan biasa dapat dengan mudah terhubung ke sumber daya perusahaan dari perangkat rumah. Dan oleh karena itu, muncul pertanyaan yang sah - atas dasar hukum apa majikan mendapatkan akses ke komputer pribadi dan jarak jauh karyawan ketika melakukan penyelidikan, mengumpulkan artefak, dll.? Apakah Anda memiliki klausa tentang hak perusahaan untuk memantau karyawan dalam kontrak kerja atau dalam perjanjian tambahan untuk itu? Apakah ada peraturan terperinci tentang apa yang mungkin dan apa yang tidak dapat dilakukan dalam kerangka pemantauan tersebut? Jika tidak, maka Anda melanggar hukum yang berlaku dan karyawan memiliki hak penuh untuk mengirim Anda ketika Anda mencoba mengakses perangkat pribadi Anda. Hal yang sama berlaku untuk pemasangan agen DLP atau alat pelacak waktu di komputer rumah.

Dan jangan lupa bahwa SOC Anda mungkin berada dalam lingkup beberapa standar manajemen keamanan informasi internasional (misalnya, di Rusia beberapa SOC telah lulus sertifikasi ISO 27001). Pertimbangkan bagaimana Anda akan diaudit dengan SOC jarak jauh Anda? Anda tidak akan mengarahkan auditor ke apartemen karyawan. Atau akankah Anda ...

Kesimpulan


Ini adalah sketsa tentang apa yang harus kita hadapi ketika merancang, mengaudit, dan mengembangkan rencana untuk meningkatkan pusat pemantauan IS, termasuk di Rusia dan negara-negara CIS. Ini bukan untuk mengatakan bahwa semua tips ini tidak layak atau memerlukan biaya keuangan, waktu dan manusia yang signifikan. Banyak dari ini mudah diimplementasikan. Hal utama adalah tidak membiarkan masalah ini menginjak rem, karena mengabaikannya dapat menyebabkan tidak hanya meningkatkan waktu untuk menyelidiki insiden selama pekerjaan jarak jauh, tetapi bahkan untuk melewatkannya. Juga, jangan berpikir bahwa pandemi saat ini adalah fenomena sementara dan segera semuanya akan beres. Jika organisasi berpikir serius tentang kelangsungan bisnis dan tahu bagaimana menghitung situasi beberapa langkah ke depan, maka kita akan memahami bahwa COVID-19 hanyalah sebuah tanda; sebuah tanda bahwa situasinya dapat diulang musim dingin mendatang.Karena itu, "kereta luncur harus disiapkan di musim panas." Bagaimanapun, tips yang dijelaskan di atas tidak akan berlebihan dalam kehidupan SOC biasa.

Ancaman. Dan omong-omong, jangan lupa membersihkan tempat SOC utama sebelum analis kembali ke sana.

More articles:


All Articles