Template Powerpoint Datum
Managed Security Services Ontwikkelingen en demo security is een proces, geen product
Jelmer Hartman & Peter Mesker! " Security Engineer! " @SecureLinkNL! " Security Consultant! " @petermesker
The High Cost of Being Unprepared Initial Breach 63% THREAT UNDETECTED REMEDIATION of Companies Learned They Were Breached from an External Entity 243 Days Median # of days attackers are present on a victim network before detection. 3 Months 6 Months 9 Months 100% of Victims Had Up-To-Date Anti-Virus Signatures Source: M-Trends Report
Advanced Threat Protection Lifecycle Defense Resolution Incident Resolution Investigate & Remediate Breach Threat Profiling & Eradication SecurePROTECT Ongoing Operations Detect & Protect Block All Known Threats Security & Policy Enforcement Security & Policy Enforcement Resolution Incident Containment Analyze & Mitigate Novel Threat Interpretation
SecureLink Services Architectuur Klanten Klanten Klanten Omgeving klant A Service Portal Omgeving klant B Events Events SecurePROTECT MSS Monitoring Error events Critical events Tickets Service Desk Bugs RFEs RMAs Vendoren Vendoren Vendoren Events SLA (SN) Omgeving klant C CMDB
SecurePROTECT! Virtuele security monitoring appliance! Inrichten en testen managed devices! Versiebeheer security monitoring appliance! Multi-device support (firewall, IPS, Proxy, LAN, WiFi, etc.)! Multi-vendor support! Periodieke rapportage! Optioneel On-site support bij Prio 1 en Prio 2 incidenten
SecurePROTECT PROTECTcontrol " Versiebeheer managed devices en logging van changes " Geautomatiseerd ontvangen van alerts " Beoordeling priority alerts door de SecureLink Service Desk " Remote interventie bij calamiteiten " Permanente toegang tot de management en support dashboards " Permanente monitoring! PROTECTassist " Versiebeheer managed devices en logging van changes " Doorvoeren rule changes en configuratie-aanpassingen " Periodieke controle van configuratieinformatie op device niveau " Remote interventie bij calamiteiten
SecurePROTECT PROTECTbackup " Inrichten en testen backup managed devices " Periodieke backup van managed device configuraties " Veilig opslaan van periodieke backup " Backup van managed device configuraties na elke configuratie change PROTECTsiem " Controle over de logsources " Geautomatiseerd ontvangen van offenses " Beoordeling offenses en terugkoppeling door de SecureLink Service Desk " Tuning van de SIEM oplossing " Opstellen en leveren geautomatiseerde rapportage (vanuit SIEM) PROTECTvulnerability " Virtual vulnerability scanner " Identificeren van systemen, services en vulnerabilities (geautomatiseerde scan) " Rapportage en alarmering " SecureLabs expertise en support
2-tier monitoring error critical Ticket Offsite backup Master Primary Redundant Master Secondary dashboard Centrale monitoring critical SMS Callcenter Lokale monitoring Local SMVA (+SIEM + vuln. scanner) Klant A Local SMVA (+SIEM + Vuln. scanner) Klant B Local SMVA (+SIEM + Vuln. Scanner) Klant C SecureLink Managed Virtual Appliance Infrastructuur klant
Local monitoring Vulnerability scanning Firewalls Vulnerabilities IDS/IPS Web Proxy Ping SNMP polling Master Primary Load Balancers Endpoint OS & apps Switches en routers SNMP traps Syslog Configs SMVA monitoring server Master Secondary Syslog/events Syslogs Offenses (human interpretation) Voorbeeld F5 SNMP trap DoS attack detected by Application Security Module Severity: critical SIEM Security Information & Event Management reports
SecurePROTECT Events/incidenten binnen kantoortijd 08:00 18:00 uur
Events binnen kantoortijd! " Automatisch een support ticket! " Audio alarm op de Service Desk bij critical events voor directe respons! " Het audio alarm gaat niet uit voordat het event acknowledged is! " SLA bewaking op tickets
SecurePROTECT Events/incidenten buiten kantoortijd 18:00 08:00 uur
Non-critical events buiten kantoortijd! " Geen productieverstoring! " Vroege signalering van problemen! " Automatisch een supportticket! " Wordt de volgende werkdag door de Service Desk opgepakt
Critical events buiten kantoortijd! " Productieverstoring! " Automatisch een supportticket! " SMS bericht naar de 24/7 engineer! " Indien er binnen 5 minuten geen contact is gelegd met de 24/7 engineer, wordt volgens het interne escalatiepad de volgende contactpersoon gebeld! " De engineer neemt contact op volgens het met de klant afgesproken escalatiepad
Er gaat iets stuk
Detectie
Contact opnemen met de engineer! " Eerst een SMS sturen! " Na 5 minuten bellen! " Daarna het SecureLink escalatiepad volgen
Probleemanalyse! " Productieverstoring of verlies van redundantie?! " Klant bellen?! " 4 uur replacement?
Oplossen! " Oplossen door middel van remote toegang! " Binnen 4 uur on-site! " RMA uitvoeren
Service Delivery Skilled Service Desk Accountteam Overeenkomst Changes < 2 werkdagen Klant DAP Incidenten Reactietijd <30 CTF <4u SLA Rapportage
Vragen?! " Stel ze via @SecureLinkNL #SecurityBC! " U ontvangt binnen 600 seconden antwoord