Förväntningar och Definitioner

SOC: 
Grupp: Förväntningssessionen/definitioner
Hur definierar vi en SOC?
SOC/Cert - här på många ställen ihop.
Även NOC/SOC/CERT - där alla har olika skillset.
Ex Tele2: Cert:en jobbade strategiskt, omvärldsbevakning.
Finns nytta av att ha ett team av experter att tillgång till.
Viktigt för en SOC/CNaaS - viktigt att slippa köpa konsulter på stan.
Vi kan inte upprätthålla dessa kompetenser lokalt på högskolan.
Finns möjligheter att upprätthålla specialkompetenser genom någon 
sorts central finansiering.

Vilket är problemet som vi vill lösa? Förbättra säkerheten.
    Många av de mindre lärosätena har inte denna kompetens.

Ska SOC:en åka ut och göra audits? Ska alla ISO27000-certifieras?
SOC:en får inte bli någon som bara pekar med hela handen utan som öka säkerheten.
Många ser certifiering som en konkurrensfördel.

Är det egentligen ett kunskapscenter vi behöver?

Viktigt att få med säkerheten i ett tidigt skede i t.ex. upphandling.

Hur med forskarna som vill göra allting själva - osäkra lösningar, kan tappa data.
Vi hamnar bland dessa i diskussioner om policies, hur med akademisk frihet?
SOC:en ska bistå med best practise, teknisk kompetens.
Ni får vara med i SOC-tjänsten, men då måste ni också göra detta.

SOC:en kan komma med argument för vilka säkerhetslösningar vi ska använda.
Om man säger nej, så hittar de på något eget på sidan om.
Säger man ja, så får man det i foten ändå.

Viktig diskussion att prata mer med forskarna.
Reaktiv hantering: Vilka händelser kan vi se och reagera på.
Aktivt stöd till de lokala IRT.
SOC:en är den operativa delen. 
Kanske kan låna in en resurs som sitter på plats och hjälper till.
Hjälp de små med de stora högskolornas resurser.
Man måste kunna renodla de specialist-förmågorna som man har.
Måste ske ett operativt arbete. 
Måste hjälpas åt.
Kan dela med sig av saker.

1. En resurspool med kompetens.
2. Hjälpa till att sätta upp olika saker.

Center of excellence. Lab där man sätter upp systemen för att se hur det fungerar.
IT-säkerhetsövningar för universitetsvärlden.
Sunet Cert och Nordunet Cert - har bra kontakter med MSB
SOC: Koordinerande funktion. Tittar och lyssnar och förmedlar information.
Annan kultur: Att dela med sig och hjälper till.

Tillgänglighet - kan vi ta med den aspekten också?
Kan användas som ett argumentation?
Data som slarvas bort pga av att backuperna inte finns eller att datorn är hackad.

SOC:en kan inte laga en trasig organisation.
SOC:en kan komma med best practices. 
Eller finns de redan - men följs inte?
Vi har många policies som inte går att följa.

SOC - sammanfattning
====================
* Resurspool
    - Konsulting
    - Inköpshjälp
    - Utvecklingsstöd
* Koordinerande funktion
* Operativt arbete
    - Omvärldsbevakning (hotbildsövervakning)
    - Övervakning
        Säkerhet:
            * IP-övervakning (scan) 
                - Nivåer: Enkel scan ----> Hålla kolla på patchnivå
            * Scanning
            * Mail
            * Trafik
            * Forensik
    - Offensiv säkerhet (tar hjälp av en whitehat)
    - Incidenthantering
* Strategiska arbetet
    - BCP:er
    - Övningar
    - Riskanalyser
    - Politik/lobbyism
    - Omvärldsanpassning
* Centrala verktyg
* Out reach
    - Utbildning
    - Blogg, nyhetsbrev, Vlog
    

Ett stort lärosäte kommer att allokera resurser genom folk eller att betala.
De små lärosätena kommer att ta del av det.
SOC:en kan inte agera.
Ärendena ska kanaliseras genom den lokala IRT-organisationer.

Kan inte göra ett operativt arbete innan det strategiska arbetet är klart.
Vi måste starta med en riskanalys. Är en löpande process.

Måste erbjuda bra kompetensutveckling för att behålla personal.

Var går gränsen mella SOC och CLaaN:
    * Brandväggar
    * SIEM
    * IDS/IPS

Man måste kunna köpa delar man vill ha. 
Det operativa är långsiktigt - tänk olika investeringsplaner etc.
Det kooperativa kan komma igång mycket fortare.

Måste tas stegvis. Inte vettigt att tro att man får hur mycket pengar som helst.

Center of excellense. Hur med IT-säkerhet inom forskning/utbildningar?
Cert.Se har resursbrist och bistår inte med någon resurspool.
Ändlig resurs med personer som har denna kompetensen.
Man kan inte bara ha en koordinerande funktion utan även muskler.

CLAN-aaS- sammanfattning
========================
* Resurspool
    - Konsultverksamhet
    - Inköp
    - Utvecklingsstöd
* Kvalitetscertifiering <--|
                           | Hör ihop med varandra.
* Referensdesigner <-------|
* Strategiskt arbete
    - Omvärldsbevakning
    - BCP
    - Övningar/kurser
    - Politik/lobbyism
* Operativt arbete
    - Övervakning
        * System
        * Själva övervakningen
        * Utbildning
    - Dokumentation
        * System
        * Dokumentation
    - Underhåll
        * Uppgradering
        * CI - konstant uppdatering
        * Off hours
        * Följa cykler
    - Provisionering
        * System
        * Provisionering
* Verktyg


Olika perspektiv:
    1. Köra en pilot
    2. Sätta igån skarpt
    3. Längre perspektiv
Upphandling klar dec 2018.

Kommer inte att klara sig utan lokal kontaktperson. Måste finnas ett gränssnitt
mot verksamheten, dvs lärosäte. Mängden lokala nätmänniskor man har idag
kommer att vara konstant. Men man kommer att ha andra arbetsuppgifter.
Det måste finnas en person lokalt kvar - man kan inte säga upp all personal.
Inte ett sätt att ersätta lokal personal. Utan ersätta extern personal.
Många har minskat antalet nätmänniskor, men till slut kommer man till en kritisk massa.
De som är superkompetenta kommer att få ett högkvalitativt arbete.
De som inte är lika insatta kommer att ha någon att luta sig mot.

Speciella behov på t.ex. de stora forskningsnäten. 

Standardisering av nät. 

Brandväggstjänst: 
Tills dess vi har något som kan kallas för "vi som ska komma igång med SOC", så 
väntar man. Vill gärna koordinera det, så man inte sitter och bygger på två olika
lösningar.
Finns olika krav på hur en brandvägg ser ut beroende på policies. 
Designen ska inkorporera att man kan göra den på olika sätt. 
Kan häkta på brandväggen där den är efterfrågad.
Vi har en bra möjlighet att använda den utrustning som SUNET redan ställt ut.
Man måste själv kunna beställa på vilken nivå man vill ha sina larm.

Måste alla lokala nät designas likadant: Ja.
Måste ha någon sorts minsta gemensamma nämnare.
Måste ha ett programmatiskt gränssnitt till alla switchar.
Man kan nog räkna med att måsta köpa lite nya saker.

Om man byggt in sig in någon teknologi: Kommer vara omöjligt att
anpassa till något som kan driftas stort.

Folk som kommer att se detta som ett hot mot sin egen existens.
I själva verket är det tvärtom. Man kommer att måsta behöva det.
Man försöker absolut inte att göra folk onödiga.
Det är vårt jobb att göra saker billigare och effektivare.

Gränsdragning mellan säkerhet och nät.
Vi kommer att jobba väldigt nära med varandra.
Vissa personer kommer att kunna ingå i både CLAN-aaS och SOC.

Libyen, Bangladesh bygger bara 4G-nät.
Hur ser utvecklingen här med 5G?
Blir SUNET en telefon-operatör.

Vad är en del av nätet: Routrar, switchar.
Men hur är det DNS etc? (klassar som nätnära tjänster)
Man måste börja komma ifrån IP-adresser.
Spårbarheten bygger mycket på IP/tidpunkt.
.X - software designed access - SDA.


-- Maria Edblom Tauson SUNET Cert +46 73 822 7767
  • No labels