Netsecurity Security Operations Center

Netsecurity Security Operations Center leverer komplette sikkerhetstjenester fra sårbarhetsanalyse til hendelseshåndtering og rapportering

I tjenesten leverer vi en rekke funksjoner:

  • SIEM
  • IDS
  • Sårbarhetsscanning
  • Threat intelligence
  • Cloud monitoring (O365, Azure, AWS)
  • Asset scanning og discover
  • Rapportering (ISO27001/2 , PCI-DSS, SOX, GDPR, m.m.)
  • Mulighet for orkestrering mot andre sikkerhetsmekanismer
  • Dark web overvåking

De fleste organisasjoner og virksomheter har vært eller vil bli utsatt for IKT-angrep, og det er forventet at risikoen forbundet med disse angrepene vil øke i årene fremover.  Selv om de aller fleste har vært utsatt for angrep skjer dette oftest uten at angrepene blir oppdaget eller bevis blir sikret.

«Norge står overfor økende risiko for å bli rammet av sikkerhetstruende hendelser.  Dette skyldes vedvarende, nye og et raskt økende antall sårbarheter, særlig innenfor det digitale domenet. Samtidig ser vi en negativ utvikling i trusselbildet. Dette kan medføre at sammfunnskonsekvensene av hendelser som skyldes onsinnede handlinger øker.»

Kilde: Nasjonal sikkerhetsmyndighet (NSM), «Risiko 2018»

Angrep og spionasje skjer på tross av at de fleste organisasjoner og virksomheter i dag er opptatt av IKT-sikkerhet.  Dette skyldes blant annet at de færreste har effektive strategier, erfaring, kompetanse, ressurser og løsninger som sikrer virksomheten og ansatte mot interne og eksterne trusler. 

Effektiv beskyttelse mot angrep og sikring av bevis krever både aktive og passive strategier.  Særlig viktig er sårbarhetsskanning og innsamling av hendelses – og trafikkinformasjon.  Dette innebærer innsamling og tolking av store datamengder. Hovedutfordringen med å tolke trusselinformasjon er imidlertid ikke kun det store antall hendelser og datamengde, men komplekse sammenhenger mellom ulike hendelser og trafikkmønstre som kan være indikatorer på kommende, pågående eller gjennomførte angrep.

Netsecurity har spesialisert seg på å tolke sammenhenger mellom hendelser samt vurdere hvilken effekt dette har for den enkelte kunde slik at risiko og tiltak kan vurderes.  Vi vet hvor viktig det er å ikke rope ulv, men heller ikke ignorere viktige indikatorer.  Vårt mål er null falske alarmer (false positives).

Tidlig deteksjon forhindrer skade

Målet med tjenesten er å oppdage forsøk på angrep tidlig slik at disse kan forhindres eller skadene ved angrep kan begrenses, og at bevis kan sikres for å lette reetablering av normal drift og etterforskning. 

Netsecurity Sikkerhetsovervåkning mottar, analyserer og lagrer sikkerhets og trafikkinformasjon fra ulike kilder hos kunden.

Tjenesten innebærer automatisk og manuell analyse av data og viser status, hendelsesinformasjon og rapporter i en kundeportal autorisert personell hos kunden har tilgang til.

 

Holisme gir mer effektiv beskyttelse

Dataangrep kjenner ingen grenser, og angriperne benytter flere angrepsmetoder og angrepsvektorer for avanserte angrep som vedvarer over lang tid.

Netsecurity Sikkerhetsovervåkning kan kombinere overvåkning og datainnsamling fra flere nettverk som prosess og administrative nettverk for mer helhetlig analyse og mer effektiv deteksjon og beskyttelse mot dataangrep. Data samles, korreleres og analyseres over lengre tidsrom slik at sammenhenger mellom indikatorer på sikkerhetshendelser på kryss av ulike nettverk og tjenester kan indentifiseres.

Sårbarhetsanalyse

Aktiv testing av nettverksnoder, tjenester og websider for å identifisere kjente og ukjente sårbarheter.  Formålet med sårbarhetsanalysen er å avdekke sårbarheter som kan utnyttes av angripere eller på annen måte utgjøre en risiko for virksomheten.  Virksomheter har ofte krav om kontinuerlig, automatisert, sårbarhetsskanning for å oppfylle interne eller eksterne compliance krav slik som ISO 27001, PCI-DSS og HIPAA.

Monitorering

Aktiv og passiv kartlegging og overvåkning av noder i nettverket. Dette kombineres ofte med løpende automatisert sårbarhetsskanning for å avdekke systemer som innehar kjente sårbarheter.  Monitorering kan også inkludere APT deteksjon for å identifisere og eliminere avanserte vedvarende trusler.

Logging

Logger mottas fra sensorer, nettverksutstyr og servere. Loggene signeres, hashes for å sikre bevis og lagres slik at de blir søkbare og man kan rapportere på dem.

Korrelering

Informasjon mottatt fra sensorer, nettverksutstyr og servere korreleres for å skape en oversikt og forståelse for hvordan ulike hendelser henger sammen. Logger tolkes og prosesseres for vurdering av risiko og konsekvens ved de forskjellige hendelser. Informasjonen blir presentert i et grafisk grensesnitt som viser hvilken status organisasjonen har til enhver tid.

Analyse

Sikkerhetshendelser blir analysert av SOC analytiker som vurderer de forskjellige hendelsene og hvordan de bør adresseres, f.eks. ved å aktivere CSIRT eller melde fra til respektive ressurseiere.  Ved identifiserte trusler vil SOC analytikeren opprette innslag i trusseldatabasen. Innslagene inneholder «indicators of compromise» og andre forensic data som bidrar til å identifisere og begrense truslene i resten av nettverket.  Hendelsesinformasjon utveksles med eksterne trusseldatabaser.

Respons – hendelseshåndtering

Hendelser håndteres ved aktivering av et hendeleshåndteringsteam, CSIRT. Teamet er trent og erfarende innenfor hendelseshåndtering, for å sikre forutsigbarhet og kvalitet. CSIRT teamet benytter en industristandard 6-stegs metodikk:

  • Forberedelser
  • Identifisering
  • Omfangsbegrensning
  • Eradikering
  • Gjennoppretting
  • Erfaringsoverføring

 

Rapportering

Logg og hendelsesinformasjon kan automatisk trekkes ut som underlag til rapporter. Rapporter kan også understøtte regulatoriske krav, f.eks. ISO 27001 eller industrispesifikke krav.

 

New call-to-action 

Sårbarheter & konsekvenser

UNDER ANGREP?

Netsecurity hendeleshåndteringsteam (Incident Response Team) gir deg ekspertisen og hjelpen du trenger for raskest mulig å etablere normal forretningsdrift ved en sikkerhetshendelse.

92 24 7 365

nirt@netsecurity.no

Offentlig PGP-nøkkel