BootCamp. Template Powerpoint Datum

Transcriptie

1 Template Powerpoint Datum

2 Managed Security Services Ontwikkelingen en demo security is een proces, geen product

3 Jelmer Hartman & Peter Mesker! " Security Engineer! " Security Consultant!

4 The High Cost of Being Unprepared Initial Breach 63% THREAT UNDETECTED REMEDIATION of Companies Learned They Were Breached from an External Entity 243 Days Median # of days attackers are present on a victim network before detection. 3 Months 6 Months 9 Months 100% of Victims Had Up-To-Date Anti-Virus Signatures Source: M-Trends Report

5 Advanced Threat Protection Lifecycle Defense Resolution Incident Resolution Investigate & Remediate Breach Threat Profiling & Eradication SecurePROTECT Ongoing Operations Detect & Protect Block All Known Threats Security & Policy Enforcement Security & Policy Enforcement Resolution Incident Containment Analyze & Mitigate Novel Threat Interpretation

6 SecureLink Services Architectuur Klanten Klanten Klanten Omgeving klant A Service Portal Omgeving klant B Events Events SecurePROTECT MSS Monitoring Error events Critical events Tickets Service Desk Bugs RFEs RMAs Vendoren Vendoren Vendoren Events SLA (SN) Omgeving klant C CMDB

7 SecurePROTECT! Virtuele security monitoring appliance! Inrichten en testen managed devices! Versiebeheer security monitoring appliance! Multi-device support (firewall, IPS, Proxy, LAN, WiFi, etc.)! Multi-vendor support! Periodieke rapportage! Optioneel On-site support bij Prio 1 en Prio 2 incidenten

8 SecurePROTECT PROTECTcontrol " Versiebeheer managed devices en logging van changes " Geautomatiseerd ontvangen van alerts " Beoordeling priority alerts door de SecureLink Service Desk " Remote interventie bij calamiteiten " Permanente toegang tot de management en support dashboards " Permanente monitoring! PROTECTassist " Versiebeheer managed devices en logging van changes " Doorvoeren rule changes en configuratie-aanpassingen " Periodieke controle van configuratieinformatie op device niveau " Remote interventie bij calamiteiten

9 SecurePROTECT PROTECTbackup " Inrichten en testen backup managed devices " Periodieke backup van managed device configuraties " Veilig opslaan van periodieke backup " Backup van managed device configuraties na elke configuratie change PROTECTsiem " Controle over de logsources " Geautomatiseerd ontvangen van offenses " Beoordeling offenses en terugkoppeling door de SecureLink Service Desk " Tuning van de SIEM oplossing " Opstellen en leveren geautomatiseerde rapportage (vanuit SIEM) PROTECTvulnerability " Virtual vulnerability scanner " Identificeren van systemen, services en vulnerabilities (geautomatiseerde scan) " Rapportage en alarmering " SecureLabs expertise en support

10 2-tier monitoring error critical Ticket Offsite backup Master Primary Redundant Master Secondary dashboard Centrale monitoring critical SMS Callcenter Lokale monitoring Local SMVA (+SIEM + vuln. scanner) Klant A Local SMVA (+SIEM + Vuln. scanner) Klant B Local SMVA (+SIEM + Vuln. Scanner) Klant C SecureLink Managed Virtual Appliance Infrastructuur klant

11 Local monitoring Vulnerability scanning Firewalls Vulnerabilities IDS/IPS Web Proxy Ping SNMP polling Master Primary Load Balancers Endpoint OS & apps Switches en routers SNMP traps Syslog Configs SMVA monitoring server Master Secondary Syslog/events Syslogs Offenses (human interpretation) Voorbeeld F5 SNMP trap DoS attack detected by Application Security Module Severity: critical SIEM Security Information & Event Management reports

12 SecurePROTECT Events/incidenten binnen kantoortijd 08:00 18:00 uur

13 Events binnen kantoortijd! " Automatisch een support ticket! " Audio alarm op de Service Desk bij critical events voor directe respons! " Het audio alarm gaat niet uit voordat het event acknowledged is! " SLA bewaking op tickets

14 SecurePROTECT Events/incidenten buiten kantoortijd 18:00 08:00 uur

15 Non-critical events buiten kantoortijd! " Geen productieverstoring! " Vroege signalering van problemen! " Automatisch een supportticket! " Wordt de volgende werkdag door de Service Desk opgepakt

16 Critical events buiten kantoortijd! " Productieverstoring! " Automatisch een supportticket! " SMS bericht naar de 24/7 engineer! " Indien er binnen 5 minuten geen contact is gelegd met de 24/7 engineer, wordt volgens het interne escalatiepad de volgende contactpersoon gebeld! " De engineer neemt contact op volgens het met de klant afgesproken escalatiepad

17 Er gaat iets stuk

18 Detectie

19 Contact opnemen met de engineer! " Eerst een SMS sturen! " Na 5 minuten bellen! " Daarna het SecureLink escalatiepad volgen

20 Probleemanalyse! " Productieverstoring of verlies van redundantie?! " Klant bellen?! " 4 uur replacement?

21 Oplossen! " Oplossen door middel van remote toegang! " Binnen 4 uur on-site! " RMA uitvoeren

22 Service Delivery Skilled Service Desk Accountteam Overeenkomst Changes < 2 werkdagen Klant DAP Incidenten Reactietijd <30 CTF <4u SLA Rapportage

23 Vragen?! " Stel ze #SecurityBC! " U ontvangt binnen 600 seconden antwoord