Телстра тщательно его группа реагирования на кибер-используется для сбора и хранения вещественных доказательств после инцидента безопасности в собственных или в бизнес клиентов – средах.

Сказал Морган Arundell, инцидента старший аналитик в командных операций кибербезопасности Телстра, недавний саммит AWS в Сиднее, что оператор пересмотрел свою стратегию приобретения криминалистики в 2017 году, и реализовал стратегию с помощью новой облачной системы криминалистики в прошлом году.

Новая стратегия “означает реагировать быстрее в большем масштабе, чем когда-либо прежде, чтобы иметь возможность минимизировать влияние инцидентов, связанных с безопасностью в наших условиях – и конечно, делать это с меньшими ресурсами и при меньших затратах”, – сказал Arundell.

“Для меня лично, это означало, что автоматизация скучных частей моей работы, чтобы я мог сосредоточиться на более интересной забавой работать”, – сказал он.

“Скучные” части работы были вокруг получения данных от целевой системы и чертежа, на центральный пункт, где она может быть проверена.

Была надежда, что специалисты по безопасности могли вернуть время, потраченное на администрирование и вместо того, чтобы вкладывать это время в реальной следственной работы, где они могут наиболее ценными.

Переиначивая ответ

Сказал Arundell Телстра хотел добиться “максимально быстрое восстановление нормального бизнес-услуги” после инцидента безопасности.

Что означает “положить всю информацию, которую наши аналитики нужны в свои руки в один выстрел, так что они могут быстро сортировать и принятия решений об инциденте и что должно произойти дальше”, – сказал он.

Компании также хотели, чтобы лучше сохранить целостность доказательств, собранных в рамках собственных внутренних расследований, в случае, если после доказательства необходимы для судебного дела.

“Для криминалистики, мы сосредоточены на обеспечении целостности доказательств для представления в суде”, – сказал Arundell.

“Это означает сохранение цепочки поставок независимо от того, мы смотрим на физическое коллекции или цифровой приобретения, сохранения целостности доказательств на протяжении всего жизненного цикла доказательства, и сохраняя точный аудита”.

“К сожалению, когда стартует, мы часто не уверены, насколько чувствительна ко времени, что инцидент будет ли или не мы должны представлять доказательства в суде. Поэтому мы должны быть в состоянии удовлетворить все эти критерии все время”.

Реализация этих требований означает переход от локальной системы команды были с помощью, и вместо создания новой системы работы, что для захвата об инциденте, а затем захватить его.

Облако криминалистике

По данным Arundell, новая система должна была “во-первых, определить, что приобретение является обязательным, и объем такой сделки; выделить ресурсы; приобретать и хранить данные, и обработать его в форму, которую могут использовать для аналитики.”

Оттуда, аналитики, как Arundell можно было допросить и исследовать доказательства, которые были стянуты.

“Это последний шаг, где вы действительно хотите, чтобы ваши аналитики тратят большую часть своего времени, потому что их реальная стоимость-добавить”, – сказал он.

Сбор данных должен быть возможен из локальной и облачной системы, а также с системами потребителей (последняя безопасности управляемых услуг продается Телстра).

В частности, команда Arundell хотели упростить сбор данных и экспертизы инцидентов, влияющих на рост числа облачных сервисов, используемых внутри Телстра.

“Многие процессы, которые у нас были в месте для сбора данных в рамках нескольких облачных провайдеров значительной степени вручную, что означало, что мы имели время получения данных, а затем анализировать ее, что повлекло за собой снижение времени реагирования на некоторые из наших инцидентов”, – сказал он.

“Кроме того, наши нагрузки облаке был также растет. Telstra был быстро наращивает внедрение облачных услуг за последние несколько лет.

“Атак мы видели также становятся все более сложными и, как правило, коварнее, так что мы должны пойти глубже, чем когда-либо прежде, чтобы иметь возможность убедиться, что мы могли видеть всю картину.”

Сказал Arundell Телстра “решили, что нам нужно построить инновационную масштабируемую платформу, которая позволила бы нам сделать судебно поглощений во всем мире на сотни учетных записей Amazon, несколько дочерних компаний и различных правовых систем”.

Первоначальный подъем

Оператор принес AWS и профессионального поставщика услуг на борту, чтобы помочь с проектом.

Она смогла использовать концептуальное проектирование Бен Поттер, AWS, как обеспечение безопасности для хорошо спроектированных рамки, измерение текущей наилучшей практики в рамках экосистемы.

“Мы решили, что нам нужно создать три начальные функции, которые будут ориентированы для нас как отправная точка”, – сказал Arundell.

“Первый АРМ до АРМ приобретения – приобретения диска и памяти из экземпляров EC2 в Amazon.

“Вторая возможность была локальной в AWS возможность. Телстра работает в гибридной среде с несколькими поставщиками облачных, более 150 различных локальных сетей, несколько дочерних компаний, в глобальном масштабе, в нескольких юрисдикциях.

“Многие сети, где мы работаем, имеют ограниченный прямой интернет или AWS связь, и это должно было случиться. У нас нет намерения изменить некоторые из этих сетей, поэтому нам нужна была возможность, чтобы быть в состоянии получить данные из всех этих сетей и толкать его обратно в AWS для дальнейшего анализа.

“Наконец, [мы хотели] возможность делать приобретения третьему лицу. Это позволит нам взаимодействовать с третьими лицами, как партнеры Telstra и управляемых услуг безопасности клиентов.

“Все эти возможности будут отправлять данные в единую серверной обработки помещения для хранения, обработки и представления для наших аналитиков”.

Ядром новой реагирования на инциденты и система криминалистики построен на платформе AWS стека.

Группа “приступили к автоматизации некоторых процессов нашего общего расследования”, – сказал Arundell, хотя он отметил, автоматика включен с помощью “микс открытым исходным кодом и проприетарные инструменты”.

Следующие шаги

С ядром системы, устраиваясь на ночлег, сказал Arundell, что в настоящее время ведется работа по интеграции системы криминалистики “с другими системами Телстра, особенно наши инструменты кейс-менеджмента”.

Telstra является также расширение системы для улучшения функции криминалистики вокруг контейнерных нагрузок.

“Мы строим решения на основе контейнеров криминалистике для наведения платформ, таких как СЭС [эластичный контейнер], экс [эластичный обслуживание Kubernetes] и Fargate, что позволит также проанализировать масштабируемость сортировка по всей Телстра флота.

“Вот построен с помощью проекта открыть быстрый источник ответ ГРР и АРМ Fargate и backend Аврора”, – сказал Arundell“, но это разговор для другого дня.”

В целом, сказал Arundell, что реагирование на инциденты и поднятия криминалистики позволило группы реагирования на кибер-Телстра“, чтобы увеличить наше приобретение и скорости обработки, сокращение сбора и обработки с нескольких дней до нескольких часов”.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here