menu

NSOC

NSOC

Netsecurity Security Operations Center

Netsecurity Security Operations Center leverer komplette sikkerhetstjenester fra sårbarhetsanalyse til hendelseshåndtering og rapportering

De fleste organisasjoner og virksomheter har vært eller vil bli utsatt for IKT-angrep, og det er forventet at risikoen forbundet med disse angrepene vil øke i årene fremover.  Selv om de aller fleste har vært utsatt for angrep skjer dette oftest uten at angrepene blir oppdaget eller bevis blir sikret.

«Det er stor risiko forbundet med IKT-angrep og annen spionasje i 2016 og årene fremover»

Kilde: Nasjonal sikkerhetsmyndighet (NSM), «Risiko 2016»

Angrep og spionasje skjer på tross av at de fleste organisasjoner og virksomheter i dag er opptatt av IKT-sikkerhet.  Dette skyldes blant annet at de færreste har effektive strategier, erfaring, kompetanse, ressurser og løsninger som sikrer virksomheten og ansatte mot interne og eksterne trusler. 

Effektiv beskyttelse mot angrep og sikring av bevis krever både aktive og passive strategier.  Særlig viktig er sårbarhetsskanning og innsamling av hendelses – og trafikkinformasjon.  Dette innebærer innsamling og tolking av store datamengder. Hovedutfordringen med å tolke trusselinformasjon er imidlertid ikke kun det store antall hendelser og datamengde, men komplekse sammenhenger mellom ulike hendelser og trafikkmønstre som kan være indikatorer på kommende, pågående eller gjennomførte angrep.

«Angrep som er avdekket i løpet av 2015 er større, mer avanserte og mer komplekse enn før»

Kilde: Nasjonal sikkerhetsmyndighet (NSM), «Risiko 2016»

Netsecurity har spesialisert seg på å tolke sammenhenger mellom hendelser samt vurdere hvilken effekt dette har for den enkelte kunde slik at risiko og tiltak kan vurderes.  Vi vet hvor viktig det er å ikke rope ulv, men heller ikke ignorere viktige indikatorer.  Vårt mål er null falske alarmer (false positives).

Tidlig deteksjon forhindrer skade

Målet med tjenesten er å oppdage forsøk på angrep tidlig slik at disse kan forhindres eller skadene ved angrep kan begrenses, og at bevis kan sikres for å lette reetablering av normal drift og etterforskning. 

Netsecurity Sikkerhetsovervåkning mottar, analyserer og lagrer sikkerhets og trafikkinformasjon fra ulike kilder hos kunden.

Tjenesten innebærer automatisk og manuell analyse av data og viser status, hendelsesinformasjon og rapporter i en kundeportal autorisert personell hos kunden har tilgang til.

Holisme gir mer effektiv beskyttelse

Dataangrep kjenner ingen grenser, og angriperne benytter flere angrepsmetoder og angrepsvektorer for avanserte angrep som vedvarer over lang tid.

Netsecurity Sikkerhetsovervåkning kan kombinere overvåkning og datainnsamling fra flere nettverk som prosess og administrative nettverk for mer helhetlig analyse og mer effektiv deteksjon og beskyttelse mot dataangrep. Data samles, korreleres og analyseres over lengre tidsrom slik at sammenhenger mellom indikatorer på sikkerhetshendelser på kryss av ulike nettverk og tjenester kan indentifiseres.

Sårbarhetsanalyse

Aktiv testing av nettverksnoder, tjenester og websider for å identifisere kjente og ukjente sårbarheter.  Formålet med sårbarhetsanalysen er å avdekke sårbarheter som kan utnyttes av angripere eller på annen måte utgjøre en risiko for virksomheten.  Virksomheter har ofte krav om kontinuerlig, automatisert, sårbarhetsskanning for å oppfylle interne eller eksterne compliance krav slik som ISO 27001, PCI-DSS og HIPAA.

Monitorering

Aktiv og passiv kartlegging og overvåkning av noder i nettverket. Dette kombineres ofte med løpende automatisert sårbarhetsskanning for å avdekke systemer som innehar kjente sårbarheter.  Monitorering kan også inkludere APT deteksjon for å identifisere og eliminere avanserte vedvarende trusler.

Logging

Logger mottas fra sensorer, nettverksutstyr og servere. Loggene signeres, hashes for å sikre bevis og lagres slik at de blir søkbare og man kan rapportere på dem.

Korrelering

Informasjon mottatt fra sensorer, nettverksutstyr og servere korreleres for å skape en oversikt og forståelse for hvordan ulike hendelser henger sammen. Logger tolkes og prosesseres for vurdering av risiko og konsekvens ved de forskjellige hendelser. Informasjonen blir presentert i et grafisk grensesnitt som viser hvilken status organisasjonen har til enhver tid.

Analyse

Sikkerhetshendelser blir analysert av SOC analytiker som vurderer de forskjellige hendelsene og hvordan de bør adresseres, f.eks. ved å aktivere CSIRT eller melde fra til respektive ressurseiere.  Ved identifiserte trusler vil SOC analytikeren opprette innslag i trusseldatabasen. Innslagene inneholder «indicators of compromise» og andre forensic data som bidrar til å identifisere og begrense truslene i resten av nettverket.  Hendelsesinformasjon utveksles med eksterne trusseldatabaser.

Respons – hendelseshåndtering

Hendelser håndteres ved aktivering av et hendeleshåndteringsteam, CSIRT. Teamet er trent og erfarende innenfor hendelseshåndtering, for å sikre forutsigbarhet og kvalitet. CSIRT teamet benytter en industristandard 6-stegs metodikk:

  • Forberedelser
  • Identifisering
  • Omfangsbegrensning
  • Eradikering
  • Gjennoppretting
  • Erfaringsoverføring

 

Rapportering

Logg og hendelsesinformasjon kan automatisk trekkes ut som underlag til rapporter. Rapporter kan også understøtte regulatoriske krav, f.eks. ISO 27001 eller industrispesifikke krav.

Oslo

Strandgata 19

0152 Oslo

Bergen

Skuteviksboder 13

5035 Bergen

Stavanger

Koppholen 6

4313 Sandnes

Kristiansand

Kjøita 18

4630 Kristiansand

Grimstad

Bark Silas vei 5

4876 Grimstad