Gehackt worden zonder dat je het merkt? Heel eenvoudig. De oplossing ook. ProtACT Managed Security Monitoring. Voor detectie van cyberdreigingen
• Binnen 1 dag non-intrusive geïnstalleerd, binnen 4 weken maximaal beschermd • Voorbereid op afhandelen van
• Veiliger én goedkoper dan het zelf doen • Advies over de juiste maatregelen • Geen investering nodig in
incidenten zodat ze niet uitgroeien
eigen technologie, personeel
tot een crisis
en dreigingsinformatie, u wordt
• Directe escalatie vindt plaats bij acute dreigingen van geverifieerde incidenten
maximaal ontzorgd • Zelf meekijken kan ook met behulp van ons ProtACT Portal
Introductie Werkt u met vitale infrastructuur, financiële informatie, persoonsgegevens of bent u enorm afhankelijk van IT? Dan is het raadzaam uw digitale beveiliging op orde te hebben. Want als gegevens op straat komen te liggen, is de (imago) schade voor betrokkenen en uw bedrijf enorm. Met de ProtACT Managed Security Monitoring van Fox-IT kunt u hackpogingen, datalekken, virusuitbraken en andere cyberdreigingen vaak al binnen enkele minuten in de kiem smoren. Hoe sneller u reageert hoe kleiner de gevolgschade. U verbetert uw cyberbeveiliging van circa 70% dekking naar nagenoeg 100%.
I.W. Opstelten, Minister van Veiligheid en Justitie. “100% veiligheid bestaat niet. Wel kunnen we inzetten op een versterkte inzet en samenwerking op detectie, analyse en responscapaciteiten zodat digitale aanvallen snel gedetecteerd kunnen worden en de schade zo beperkt mogelijk blijft door een snelle en adequate respons.” Beleidsreactie Cyber Security Beeld Nederland 4.
Wat is het? Met ProtACT Managed Security Monitoring houden onze cybercrimefighters uw systemen en netwerken 24/7 in de gaten. Dit doen ze vanaf ons Security Operations
Waar ben ik op voorbereid?
Center (SOC). Zij detecteren cyberdreigingen en verdachte activiteiten, zoals hackpogingen, datalekken of
U bent voorbereid op de dreigingen van misbruik,
virusuitbraken. En maken een rapport van het incident.
misconfiguratie en misdragingen waaronder:
Bij échte cyberdreiging krijgt u een telefoontje en advies
• Botnet communicatieverkeer
over wat u moet doen. Zo weet u binnen maximaal 15
• Succesvolle inbraakpogingen
minuten hoe u de dreiging stopt of een verdere uitbraak
• Datalekken
beperkt. Kortom, monitoring zorgt voor incident readiness:
• Verdachte verkeerspatronen
u bent voorbereid op incidenten, zodat u ze direct kunt
• Drive-by downloads
onderzoeken in plaats van zoeken.
• Malware-verspreiding • Policy violations zoals bijvoorbeeld gebruik van
U wordt uiteraard alleen gebeld bij échte cyberdreigingen.
Cloud Storage of Remote Access tools
Want niet elk alarm in de cyberwereld is een echt alarm.
• Onderzoek naar bedrijfsspionage
Dankzij de analyse van onze cybercrimefighters wordt u
• Gevolgen van 0-days en APTs
niet lastiggevallen met zogenaamde false positives: loos
• Andere gevolgen van misbruik
alarm.
Tegenlicht
0-days detecteren
“De uitzending ‘Zero days’ maakte veel mensen ongerust en bewust van de donkere wereld van
“Een 0-day is niet altijd te detecteren, maar de ver-
hacken, die zij daarvoor nog niet kenden.”
volgstappen van de aanvaller in veel gevallen wel.”
www.tegenlicht.vpro.nl
Sander Peters, Lead Expert Cybercrime bij Fox-IT
Hoe werkt het? Instant Incident Reporting
Sensoren
Binnen 15 minuten, 24/7
Detecteren de meest recente dreigingen
Telefonisch melding
Werken we na het ontdekken van een dreiging binnen
Incidentrapport per mail
enkele minuten bij, snel en vaak, cruciaal voor goede
FoxCERT staat paraat voor grote incidenten
detectie
Nooit loos alarm
Fungeren als vluchtrecorder voor uw netwerk waardoor dreigingen goed onderzocht kunnen worden
Hybride SOC
Siem
U ziet hetzelfde als onze analisten via het ProtACT
U kunt de alerts van ProtACT ontvangen op uw SIEM
Portal.
Via één SIEM-feed alle alerts op één plek
U kunt naar keuze zelf een deel van de taken doen
Handig als u zelf een incident wilt onderzoeken
Mogelijkheid om SOC capaciteiten binnen uw organisatie te ontwikkelen.
Security Research Team Detecteert en onderzoekt de meest actuele dreigingen Houdt de digitale onderwereld nauwlettend in de gaten Laat systemen gecontroleerd besmetten om malware te onderzoeken Schrijft en beheert Fox-IT detectieregels die verantwoordelijk zijn voor detectie van de helft van de incidenten. (onder andere op basis van forensisch onderzoek en incident response trajecten van Fox-IT) Beoordeelt en integreert dreigingsinformatie van derden
Nationaal Cyber Security Centrum. Ministerie van Veiligheid en Justitie. “Van de activiteiten van beroepscriminelen en van staten gaat nog steeds de grootste dreiging uit. Grootschalige verstoringen van de digitale infrastructuur kunnen binnen de vitale sectoren leiden tot ontwrichting of uitval van dienstverlening, met maatschappelijke onrust, verstoring of ontwrichting als mogelijk gevolg.” Bron: www.ncsc.nl.
Kan mijn IT-afdeling dit zelf doen?
nstant Incident Reporting
Dat kan zeker, maar dit is wel moeilijk. Een netwerk goed monitoren is een tijdrovende klus voor specialisten, vereist speciale software en actuele dreigingsinformatie. De technologie is te koop maar vergt een investering, en goed personeel is lastig te vinden en te houden. Wij zijn gespecialiseerd in detectie en werken onafhankelijk van een interne ICT– organisatie of een externe ICT–leverancier. Bovendien is onze ProtACT Managed Security Monitoring goedkoper. Zelf een 24x7 Security Operations Center oprichten kost minstens 6 fte. De kosten van ProtACT liggen vaak tussen ½ en 1 fte. Hiervoor krijgt u niet 1 ervaren analist maar een hele groep. U betaalt maandelijks één vast bedrag. De kosten zijn dus voorspelbaar, waardoor u uw securitybudget goed kunt beheren. De implementatiekosten kunt u apart betalen of verrekenen wij in het maandtarief.
Slimme inzet van security budget • Het is veel veiliger dan zelf doen, dankzij onze up-to-date systemen en slimme experts. • Het is relatief goedkoper. Vanwege schaalvoordeel en omdat het kostbaar is om zelf mensen op te (blijven) leiden en 24/7 salaris te betalen. • U haalt én houdt expertise in huis. • Onze experts monitoren heel veel omgevingen en zijn dus gewend om dagelijks serieuze incidenten af te handelen. Binnen een enkele organisatie zullen serieuze incidenten niet zo vaak optreden.
De kosten van ProtACT liggen vaak tussen ½ en 1 fte
Waar bestaat ProtACT uit?
1. Platform Ons platform is speciaal ontwikkeld voor een op te schalen
Onze analisten kunnen met het platform forensische data
Security Operations Center (SOC).
op de sensoren uitgebreid analyseren.
De afgelopen 15 jaar hebben we ons platform continue verbeterd en slimmer gemaakt. Resultaat is een extreem
Het platform draait op twee beveiligde datacenters, voor
hoge detectiegraad.
continue dienstverlening.
De kern van het platform is een expertsysteem dat
We updaten uw sensoren voortdurend, zodat ze altijd
inkomende alerts automatisch verwerkt en aanbiedt aan
binnen enkele minuten de nieuwste dreigingen kunnen
de analisten.
oppikken.’
We zetten slimme technieken in. Zoals alert clustering,
In totaal zijn meer dan 30.000 detectieregels actief,
feedback loops en fijnmazige filtering.
zowel van het Fox-IT Security Research Team als van andere gerenommeerde databases als Sourcefire VRT en EmergingThreats. De helft van alle incidenten wordt gevonden dankzij onze
All network traffic
eigen detectieregels. Zonder Fox-IT detectieregels mist u
signature based IDS, anomaly detection, custom detection algorithms
dus de helft van alle incidenten.
Alerts
U kunt via een portal meekijken met wat onze analisten
Grouping, filtering, correlation
Combined Alerts
zien: alle alerts, forensische data en incidenten. In het
cots ids
Portal bevinden zich ook dashboards en vindt u elke maand een rapportage. Via tickets heeft u direct contact met ons SOC.
Blacklisting, whitelisting, matching againt latest intell
Viable Alerts Grouping, filtering, correlation Threat research
Incidents to investigate Analysis
Analyst
True positive incidents Follow up and mitigation
Data volume
ProtACT
Waar bestaat ProtACT uit?
2. Experts
3. 24/7 service
In ons SOC werken analisten die elk incident per direct
Onze analisten houden uw netwerk 24/7 in de gaten. Ze
onderzoeken. Bij échte dreiging wordt u binnen 15
bellen u binnen 15 minuten bij serieuze dreigingen en
minuten gebeld. Andere incidenten slaan ze op, zodat ons
geven praktisch advies over vervolgstappen.
systeem steeds slimmer wordt en zelf keuzes kan maken. U ontvangt relevant security nieuws, vaak voordat dit op Naast het SOC zitten de onderzoekers van het Security
grote schaal bekend wordt. Inclusief advies over te nemen
Research Team (SRT). Zij onderzoeken nieuwe dreigingen,
maatregelen.
zodat het platform altijd de meest recente dreigingen herkent.
U ontvangt elke maand een rapportage via de portal, met een overzicht van alle incidenten en trendinformatie.
De analisten en het SRT hebben bijna allemaal een technische achtergrond. Daarnaast blinken ze uit in malware-analyse, forensisch onderzoek of netwerktechniek. Al onze medewerkers zijn gescreend door de AIVD en gewend om met vertrouwelijke gegevens om te gaan.
switch
VPN DRAC SSL
internet
firewall
span
intranet dmz / serverlan
4. Sensoren De sensoren detecteren dreigingen
Opslag
in netwerken met behulp van vier
De hardware is een rack-server van 2U met 24TB opslagcapaciteit.
methoden: • Signature based IDS, voor het herkennen van bekende
De sensoren slaan al het verkeer op als een soort vluchtrecorder, essentieel voor goed incidentonderzoek.
dreigingen • Heuristische detectie, bijvoorbeeld bandbreedte
Full packet data slaan we minimaal 3 dagen op. Metadata slaan we minimaal een maand op, waaronder:
anomaly detection • Afwijkingen in DNS verkeer voor het detecteren van
• Alerts die worden opgewekt bij verdacht verkeer • Flow informatie om over langere periode communicatie
malware communicatie
te kunnen analyseren
• Blacklisting van verkeer naar verdachte bestemmingen
• URL logging om vast te stellen welke webpagina’s bezocht zijn
Sensor sluiten we passief aan, zodat de kans op verstoringen minimaal is en de impact op de organisatie
• DNS logging om verdachte DNS-verzoeken vast te
beperkt tot het configureren van een SPAN-port op een
stellen
switch. In een virtuele omgeving maken we gebruik van een virtual forwarder.
schaal We verwerken data van honderden sensoren bij tientallen klanten wereldwijd. Dagelijks ontvangen de sensoren honderdduizenden ruwe alerts. Deze ontdubbelen we en voegen we samen tot tienduizenden meta-alerts. Die zet “Natuurlijk kunnen we onszelf
het expertsysteem om in honderden incidenten.
monitoren. We hebben echter de schaal niet om dit op de goede
Onze Fox-IT SOC-analisten onderzoeken deze incidenten en escaleren
manier te doen, Fox-IT wel.”
tientallen incidenten per dag.
Ton van Ginkel, CIO T-Mobile
Waar bestaat ProtACT uit?
Data
Plaats van sensoren
Alle data, behalve de alerts en statistische informatie,
We stemmen samen met u af waar we één of meerdere
blijft op de sensor. Een analist kan in het kader van een
sensoren plaatsen. Gebruikelijk is:
onderzoek aanvullende data ophalen van sensoren.
• ClientLAN (detectie van besmette werkstations of overtredingen van de security policy)
Data op de sensor en de verbinding met de Fox-IT
• DMZ (detectie van aanvallen van buitenaf op de servers van een organisatie en detectie van datalekken)
Datacenters zijn versleuteld met AES-256 encryptie.
• Webfarm (specifieke detectie van dreigingen voor webservers)
De maximale analysecapaciteit per sensor bedraagt 500 mbit/s. Als we meer verkeer moeten analyseren, dan kan
• ServerLAN (detectie van aanvallen op servers in een organisatie en detectie van datalekken
dat met een matrixswitch.
ProtACT Data Security
Customer Network
Fox-IT Data Center
Fox-IT Services
“After the cyber-crime incident of September 2011 where
Data at rest
GlobalSign was the target
alerts, operational data
of an attack in the wake of the Diginotar attack, we stepped it up even further
Traffic copied to ProtACT sensor
by partnering with Fox-IT
protact portal secure line
secure line
for security monitoring. We strongly believe that specialist
fox-it soc 24x7
companies can offer far superior advice, auditing and weakness illustration than any internal system could highlight.“ Richard Hancock, CSO GlobalSign
Data at rest
Alerts, Meta-data, Full Packet Data
alerts operational monitoring
automatic
full packet data meta-data
on request
reporting
Interesse?
Fox-IT is SOC marktleider in Nederland en ISOgecertificeerd: ISO-9001 voor kwaliteit en ISO-27001 voor informatiebeveiliging
Dan komen we bij u langs voor een scoping sessie waarin we bepalen waar een sensor de meeste waarde toevoegt. In een vervolgafspraak sluiten we de sensor op uw netwerk aan via een SPAN-port op de switch. Dit duurt vaak hooguit een dagdeel. Vervolgens onderzoeken wij twee weken lang hoe uw netwerk eruitziet, met behulp van de sensoren. U kunt dan al meekijken via de portal. Na het afstemmen van de escalatieprocedure gaan we over tot 24x7 dienstverlening. En kunt u met een gerust hart slapen.
pical implementation timeline
ct
Snel beschermd 2 weeks
2 weeks
PoC
Na de publicatie van serieuze security kwetsbaarheden zoals Heartbleed of Shellshock kunnen we klanten informeren
Requirements, scoping & agreements
Installation, configuration & verification
Full Service delivery
of en waar het betrekking heeft op hun systemen. Door de retentie op de sensoren kunnen we terug in de tijd kijken. Door het uitrollen van
2 days
Service build up
nieuwe detectieregels zien we ook direct als er misbruik van wordt gemaakt.
fox-it voorkomt, onderzoekt en beperkt de meest serieuze dreigingen door cyberaanvallen, datalekken of fraude met innovatieve oplossingen voor overheid, defensie, politie, vitale infrastructuur, banken en grote bedrijven wereldwijd. In zijn aanpak combineert het bedrijf slimme ideeën met technologie om hiermee innovatieve oplossingen te bieden die zorgen voor een veilige maatschappij. Het ontwikkelt producten en maatwerkoplossingen om de beveiliging van gevoelige overheidssystemen te garanderen, industriële netwerken te beschermen, online bankiersystemen te verdedigen en strikt vertrouwelijke data te beveiligen.
for a more secure society fox-it Olof Palmestraat 6, Delft
t +31 (0) 15 284 79 99
po box 638, 2600 ap Delft
f +31 (0) 15 284 79 90
The Netherlands
e
[email protected]