Heeft uw organisatie een IT-landschap waarvan u de beveiligingsstatus in kaart wil brengen? Wilt u altijd zo adequaat mogelijk kunnen reageren op gedetecteerde beveiligingsmeldingen- en dreigingen? Dan biedt NFIR u een schaalbare, beheersbare en betaalbare oplossing met haar Security Information and Event Management (SIEM) en de implementatie van een Security Operation Centre (SOC). Ons SIEM bieden wij aan als een volledig geautomatiseerde oplossing, waarbij u geen data meer zelf hoeft te interpreteren. De output zijn meldingen waar uw IT afdeling maatregelen op kan nemen. Lees op deze pagina hoe wij u volledig ontzorgen en welke resultaten u zult behalen bij het implementeren van onze SIEM en SOC oplossing.
In 5 stappen naar een weerbare online omgeving
Momenteel heeft u in uw netwerk al diverse apparaten die informatie opslaan. Vaak zijn de bestaande dashboards van bijvoorbeeld firewalls veel te ingewikkeld om te interpreteren of uw medewerker heeft er geen tijd voor. Laat daarom de security-monitoring specialisten van NFIR deze loggegevens geautomatiseerd verwerken op basis van use-cases die we gezamenlijk bepalen. Naast rule based verwerking van loginformatie, werkt NFIR ook met machine learning om patronen te ontdekken die kunnen wijzen op verdacht verkeer. Door op deze manier netwerk activiteiten te monitoren, bent u snel op de hoogte van verdachte activiteiten en kunt u adequaat ingrijpen. Voor een secure en overzichtelijke aanpak werken wij met een stappenplan.
1. Use-cases vaststellen
Als startpunt van de use-case ontwikkeling gaan wij uit van het inperken van het risico op het compromitteren van informatie door criminelen voor geldgewin door afpersing. Denk hierbij aan het toenemende verschijnsel ‘ransomware’ alsook aan de ex-filtratie van geclassificeerde informatie. Criminelen omzeilen detectie-maatregelen die duiden op het opbouwen van zo’n aanval. Dit vraagt om inzicht in het detecteren van deze opbouwende activiteiten, deze activiteiten worden in de cyber security markt ook wel gekoppeld aan de ‘Cyber Security Kill Chain’. Zie ondergaand een weergave van de bij deze chain gebruikelijk stappen die ondernomen kunnen worden en kunnen resulteren tot een succesvolle aanval. De stappen in deze ‘chain’ zijn als aanvalsscenario uitgewerkt, het is echter ook mogelijk dat andere paden worden gebruikt die leiden tot een variëteit aan scenario’s. De vertaling naar use-cases blijft dan ook een constante ontwikkeling waar NFIR zich op richt op basis van de constante kennis toevoer vanuit diverse ervaringen.
Als startpunt wordt een vereenvoudiging gehanteerd met de volgende aanvalsstappen:
- Ontdekken van omgevingen, kwetsbaarheden
- Pogingen tot account misbruik en/of het aanpassen van rechten
- Malware installeren/configureren
- Communicatie passend bij aanvallen
- ‘Catch-all’, voor analyse
2. Ontwerp
In deze stap werken wij de aansluiting van de logbronnen uit, op basis van een ontwerp. De logbronnen dienen via het netwerk op een integere wijze te worden verzameld. Bij het aansluiten wordt dan ook gebruik gemaakt van secure configuraties.
3. Implementatie
werkende omgeving inclusief het genereren van inzicht op basis van de use-cases.
4. Monitoren/oplevering
5. Maandelijkse service
Na realisatie van de initiële use-cases wordt een maandelijkse rapportage verzorgd op basis van de ontwikkelingen binnen uw organisatie. Uit deze rapportage kunnen verschillende acties volgen. Denk hierbij aan het introduceren van nieuwe of aangepaste logsources voor verdere optimalisatie of een nadere detaillering van de use-cases. Deze activiteiten worden meegenomen op basis van de ingegeven scope en geprioriteerd in overleg met u. Aan NFIR zijde wordt specialistische expertise per maand meegenomen. Daarnaast wordt overleg gevoerd over de prioritering en activiteiten die nodig zijn door een service manager.
Welk resultaat wordt bereikt met onze SIEM/SOC oplossing?
Het eindresultaat omvat:
- Continu security toezicht op uw dienstverlening scope netwerk, servers, laptops, pc’s en firewall
- Directe alarmering bij verdacht of malafide verkeer en na analyse direct acteren met gepaste maatregelen
- Hackers worden direct „gespot”
- Malware wordt geïdentificeerd voordat het zich heeft kunnen nestelen en verspreiden in uw netwerk, naar uw klanten of nog verder.
- Toezicht op bewust dan wel onbewust ongeoorloofd gebruik van uw netwerk (door eigen medewerkers, externen of op het netwerk toegelaten organisaties).
- Bij Data breaches wordt het betreffende IP-verkeer digitaal vastgelegd, zodat u bij een onderzoek van de autoriteit persoonsgegevens altijd beschikt over de gevraagde informatie.
- Malicious acties worden gestopt op alle endpoints. Maandrapportage, maandelijkse besprekingen met servicemanager.
Security Monitoring laten implementeren?
onze volledig geautomatiseerde oplossing waarbij u zelf geen data meer interpreteert.
Wat is een SIEM (Security Information and Event Management)
SIEM is een in real-time werkend systeem om veiligheidsincidenten te beheren. Deze systemen zorgen ervoor dat de security intelligence bij één organisatie wordt geconcentreerd en elke beveiliger direct kan reageren op eventuele incidenten. De geïntegreerde SIEM (Security Information and Event
Management) software helpen security professionals het beheer van bedreigingen en incidenten, waarmee ze zorgen voor een veiligere werkomgeving.SIEM wordt vooral gebruikt om netwerk- en security incidenten te analyseren en te voorkomen. Het systeem biedt dankzij de monitoring van logbestanden een compleet overzicht van alles wat er in uw netwerk gebeurt.
Wat is een SOC (Security Operation Centre)?
Een SOC (Security Operation Centre) is een security centrum en verzamelpunt vanuit alle beveiligingssystemen in een bedrijf. Deze collectieve informatie wordt vervolgens gebruikt voor analyse en om gerichte acties te ondernemen ter voorkoming van een security incident.
In geval van een cyberaanval van buitenaf, zijn informatie en analyses over de impact, effectiviteit en kans op herhaling uiteraard belangrijk. Met een SOC bent u in staat de samenhang en informatie-uitwisseling te bevorderen tussen alle betrokken partijen.
NFIR helpt organisaties aan specialistische security-kennis. Wij zijn uw security partner voor implementatie en beheer van incidentbeheer-systemen.
Is iedere organisatie gebaat bij SIEM/SOC?
De visie van NFIR op security monitoring is dat deze dienst niet langer moet zijn voorbehouden aan de allergrootste bedrijven in Nederland met veel security kennis. De security monitoring dienst van NFIR biedt om die reden een zeer betaalbare en gemakkelijk te interpreteren oplossing voor het MKB (bedrijven met 50 tot 500 medewerkers).
Waarom is het belangrijk om SIEM/SOC te laten uitvoeren?
De overheid verlangt met de AVG-wetgeving dat u passende maatregelen neemt om persoonsinformatie te beschermen, daar waar u verantwoordelijke of verwerker bent. Beschermen begint met de netwerk activiteiten monitoren.
Moet ik als bedrijf of organisatie de output van de monitoring zelf interpreteren?
Nee, Ons SIEM bieden wij aan als een volledig geautomatiseerde oplossing, waarbij u geen data meer zelf hoeft te interpreteren. De output zijn meldingen waar uw IT afdeling maatregelen op kan nemen.U krijgt kritische meldingen direct via email of sms binnen en u kunt daarop zelf actie ondernemen. Indien gewenst kunnen onze Security Monitoring specialisten uw organisatie ondersteunen bij het nemen van deze acties. Daarnaast kunnen wij u ook ontzorgen bij het interpreteren van de (complexere) meldingen. Als het echt verkeerd gaat, kunnen wij u op elke locatie ondersteunen met onze Incident Response teams.
Welk deel van het netwerk wordt gemonitord?
Samen met u wordt de scope van de monitoring bepaald en use cases vastgesteld. Aan de van use cases worden logbronnen aangesloten.
Welk resultaat levert SIEM op?
Het eindresultaat omvat:
- Continu security toezicht op uw dienstverlening scope netwerk, servers, laptops, pc’s en firewall
- Directe alarmering bij verdacht of malafide verkeer en na analyse direct acteren met gepaste maatregelen
- Hackers worden direct „gespot”
- Malware wordt geïdentificeerd voordat het zich heeft kunnen nestelen en verspreiden in uw netwerk, naar uw klanten of nog verder.
- Toezicht op bewust dan wel onbewust ongeoorloofd gebruik van uw netwerk (door eigen medewerkers, externen of op het netwerk toegelaten organisaties.
- Bij Data breaches wordt het betreffende IP-verkeer digitaal vastgelegd, zodat u bij een onderzoek van de autoriteit persoonsgegevens altijd beschikt over de gevraagde informatie.
- Malicious acties worden gestopt op alle endpoints. Maandrapportage, maandelijkse
uit welke fasen bestaat het SIEM proces?
Het SIEM proces bestaat uit 5 fasen:
- Use cases vaststellen
- Ontwerp
- Implementatie
- Monitoren/oplevering
- Maandelijkse service
Ik heb een firewall geinstalleerd. Is dat genoeg?
Een firewall geeft enkel aan dat er een risico is gedetecteerd. Voor uw organisatie is het belangrijk om het risico in te perken. Daarbij is het van belang om de signalen op de juiste manier te interpreteren, zodat u actie kunt ondernemen. De dashboards van firewalls zijn vaak zeer complex en moeilijk interpreteerbaar. Wij werken met heldere dashboards en ondersteunen u bij het interpreteren ervan en geven aan welke actie van u gewenst is om het risico te elimineren.