Template Powerpoint Datum
BootCamp
Managed Security Services Ontwikkelingen en demo security is een proces, geen product
BootCamp
Jelmer Hartman & Peter Mesker ! " Security Engineer ! " @SecureLinkNL
BootCamp
! " Security Consultant ! " @petermesker
The High Cost of Being Unprepared
THREAT UNDETECTED
REMEDIATION
Initial Breach
of Companies Learned They Were Breached from an External Entity
243 Days
100%
Median # of days attackers are present on a victim network before detection.
3 Months Source: M-Trends Report
6 Months
63%
9 Months
of Victims Had Up-To-Date Anti-Virus Signatures
Advanced Threat Protection Lifecycle Defense
Incident Resolution
Resolution
Investigate & Remediate Breach
SecurePROTECT
Threat Profiling & Eradication
Security & Policy Enforcement
Resolution
Incident Containment Analyze & Mitigate Novel Threat Interpretation
BootCamp
Ongoing Operations Detect & Protect Block All Known Threats
Security & Policy Enforcement
SecureLink Services Architectuur Klanten Klanten Klanten
Omgeving klant A
Service Portal Events
Omgeving klant B
Events
Tickets
SecurePROTECT MSS Monitoring
Events
Error events Critical events
Service Desk
SLA (SN)
Omgeving klant C
CMDB
BootCamp
Bugs RFEs RMAs
Vendoren Vendoren Vendoren
SecurePROTECT ! ! ! ! ! ! !
Virtuele security monitoring appliance Inrichten en testen managed devices Versiebeheer security monitoring appliance Multi-device support (firewall, IPS, Proxy, LAN, WiFi, etc.) Multi-vendor support Periodieke rapportage Optioneel | On-site support bij Prio 1 en Prio 2 incidenten
BootCamp
SecurePROTECT PROTECTcontrol •" Versiebeheer managed devices en logging van changes •" Geautomatiseerd ontvangen van alerts •" Beoordeling priority alerts door de SecureLink Service Desk •" Remote interventie bij calamiteiten •" Permanente toegang tot de management en support dashboards •" Permanente monitoring!
BootCamp
PROTECTassist •" Versiebeheer managed devices en logging van changes •" Doorvoeren rule changes en configuratie-aanpassingen •" Periodieke controle van configuratieinformatie op device niveau •" Remote interventie bij calamiteiten
SecurePROTECT PROTECTbackup •" Inrichten en testen backup managed devices •" Periodieke backup van managed device configuraties •" Veilig opslaan van periodieke backup •" Backup van managed device configuraties na elke configuratie change
BootCamp
PROTECTsiem •" Controle over de logsources •" Geautomatiseerd ontvangen van offenses •" Beoordeling offenses en terugkoppeling door de SecureLink Service Desk •" Tuning van de SIEM oplossing •" Opstellen en leveren geautomatiseerde rapportage (vanuit SIEM) PROTECTvulnerability •" Virtual vulnerability scanner •" Identificeren van systemen, services en vulnerabilities (geautomatiseerde scan) •" Rapportage en alarmering •" SecureLabs expertise en support
2-tier monitoring Offsite backup
Master Primary
error critical
Redundant
Master Secondary
dashboard
critical
Centrale monitoring
Lokale monitoring
Ticket
SMS Callcenter
SecureLink Managed Virtual Appliance
Local SMVA
Local SMVA
Local SMVA
(+SIEM + vuln. scanner)
(+SIEM + Vuln. scanner)
(+SIEM + Vuln. Scanner)
Klant A
Klant B
Klant C
Infrastructuur klant
BootCamp
Local monitoring Vulnerability scanning
Vulnerabilities Firewalls IDS/IPS
Ping
Web Proxy
SNMP polling
Load Balancers
SNMP traps
Endpoint
Syslog
OS & apps
Configs
Switches en routers
Master Primary
Syslo
g/ev ents
SMVA monitoring server
Syslogs
Offenses (human interpretation)
Voorbeeld F5 SNMP trap
DoS attack detected by Application Security Module
BootCamp
Severity: critical
Master Secondary
SIEM
Security Information & Event Management
reports
SecurePROTECT Events/incidenten binnen kantoortijd 08:00 – 18:00 uur
BootCamp
Events binnen kantoortijd ! " Automatisch een support ticket ! " Audio alarm op de Service Desk bij critical events voor directe respons ! " Het audio alarm gaat niet uit voordat het event acknowledged is ! " SLA bewaking op tickets
BootCamp
SecurePROTECT Events/incidenten buiten kantoortijd 18:00 – 08:00 uur
BootCamp
Non-critical events buiten kantoortijd ! ! ! !
" " " "
Geen productieverstoring Vroege signalering van problemen Automatisch een supportticket Wordt de volgende werkdag door de Service Desk opgepakt
BootCamp
Critical events buiten kantoortijd ! ! ! !
" " " "
Productieverstoring Automatisch een supportticket SMS bericht naar de 24/7 engineer Indien er binnen 5 minuten geen contact is gelegd met de 24/7 engineer, wordt volgens het interne escalatiepad de volgende contactpersoon gebeld ! " De engineer neemt contact op volgens het met de klant afgesproken escalatiepad BootCamp
Er gaat iets stuk…
BootCamp
Detectie
BootCamp
Contact opnemen met de engineer ! " Eerst een SMS sturen ! " Na 5 minuten bellen ! " Daarna het SecureLink escalatiepad volgen
BootCamp
Probleemanalyse ! " Productieverstoring of verlies van redundantie? ! " Klant bellen? ! " 4 uur replacement?
BootCamp
Oplossen ! " Oplossen door middel van remote toegang ! " Binnen 4 uur on-site ! " RMA uitvoeren
BootCamp
Service Delivery Skilled Service Desk Changes <2 werkdagen
Accountteam
Klant
Incidenten Reactietijd <30 CTF <4u
DAP
SLA Rapportage
BootCamp
Overeenkomst
Vragen? ! " Stel ze via @SecureLinkNL #SecurityBC ! " U ontvangt binnen 600 seconden antwoord
BootCamp