SecurePROTECT

Template Powerpoint
Datum
BootCamp
Managed Security Services
Ontwikkelingen en demo
security is een proces, geen product
BootCamp
Jelmer Hartman & Peter Mesker
! " Security Engineer
! " @SecureLinkNL
BootCamp
! " Security Consultant
! " @petermesker
The High Cost of Being Unprepared
THREAT UNDETECTED
REMEDIATION
Initial
Breach
of Companies Learned
They Were Breached
from
an External Entity
243 Days
100%
Median # of days attackers are present
on a victim network before detection.
3
Months
Source: M-Trends Report
6
Months
63%
9
Months
of Victims Had
Up-To-Date Anti-Virus
Signatures
Advanced Threat Protection
Lifecycle Defense
Incident
Resolution
Resolution
Investigate &
Remediate Breach
SecurePROTECT
Threat Profiling
& Eradication
Security & Policy
Enforcement
Resolution
Incident
Containment
Analyze & Mitigate
Novel Threat
Interpretation
BootCamp
Ongoing
Operations
Detect & Protect
Block All
Known Threats
Security & Policy
Enforcement
SecureLink Services Architectuur
Klanten
Klanten
Klanten
Omgeving
klant A
Service Portal
Events
Omgeving
klant B
Events
Tickets
SecurePROTECT
MSS Monitoring
Events
Error events
Critical events
Service Desk
SLA (SN)
Omgeving
klant C
CMDB
BootCamp
Bugs
RFEs
RMAs
Vendoren
Vendoren
Vendoren
SecurePROTECT
!
!
!
!
!
!
!
Virtuele security monitoring appliance
Inrichten en testen managed devices
Versiebeheer security monitoring appliance
Multi-device support (firewall, IPS, Proxy, LAN, WiFi, etc.)
Multi-vendor support
Periodieke rapportage
Optioneel | On-site support bij Prio 1 en Prio 2 incidenten
BootCamp
SecurePROTECT
PROTECTcontrol
•" Versiebeheer managed devices en
logging van changes
•" Geautomatiseerd ontvangen van alerts
•" Beoordeling priority alerts door de
SecureLink Service Desk
•" Remote interventie bij calamiteiten
•" Permanente toegang tot de
management en support dashboards
•" Permanente monitoring!
BootCamp
PROTECTassist
•" Versiebeheer managed devices en
logging van changes
•" Doorvoeren rule changes en
configuratie-aanpassingen
•" Periodieke controle van configuratieinformatie op device niveau
•" Remote interventie bij calamiteiten
SecurePROTECT
PROTECTbackup
•" Inrichten en testen backup managed
devices
•" Periodieke backup van managed device
configuraties
•" Veilig opslaan van periodieke backup
•" Backup van managed device
configuraties na elke configuratie
change
BootCamp
PROTECTsiem
•" Controle over de logsources
•" Geautomatiseerd ontvangen van
offenses
•" Beoordeling offenses en terugkoppeling
door de SecureLink Service Desk
•" Tuning van de SIEM oplossing
•" Opstellen en leveren geautomatiseerde
rapportage (vanuit SIEM)
PROTECTvulnerability
•" Virtual vulnerability scanner
•" Identificeren van systemen, services en
vulnerabilities (geautomatiseerde scan)
•" Rapportage en alarmering
•" SecureLabs expertise en support
2-tier monitoring
Offsite
backup
Master
Primary
error
critical
Redundant
Master
Secondary
dashboard
critical
Centrale
monitoring
Lokale
monitoring
Ticket
SMS
Callcenter
SecureLink Managed
Virtual Appliance
Local SMVA
Local SMVA
Local SMVA
(+SIEM + vuln. scanner)
(+SIEM + Vuln. scanner)
(+SIEM + Vuln. Scanner)
Klant A
Klant B
Klant C
Infrastructuur
klant
BootCamp
Local monitoring
Vulnerability
scanning
Vulnerabilities
Firewalls
IDS/IPS
Ping
Web Proxy
SNMP polling
Load Balancers
SNMP traps
Endpoint
Syslog
OS & apps
Configs
Switches en routers
Master
Primary
Syslo
g/ev
ents
SMVA
monitoring
server
Syslogs
Offenses
(human interpretation)
Voorbeeld F5 SNMP trap
DoS attack detected by Application Security Module
BootCamp
Severity:
critical
Master
Secondary
SIEM
Security Information &
Event Management
reports
SecurePROTECT
Events/incidenten binnen kantoortijd
08:00 – 18:00 uur
BootCamp
Events binnen kantoortijd
! " Automatisch een support ticket
! " Audio alarm op de Service Desk bij
critical events voor directe respons
! " Het audio alarm gaat niet uit voordat
het event acknowledged is
! " SLA bewaking op tickets
BootCamp
SecurePROTECT
Events/incidenten buiten kantoortijd
18:00 – 08:00 uur
BootCamp
Non-critical events buiten kantoortijd
!
!
!
!
"
"
"
"
Geen productieverstoring
Vroege signalering van problemen
Automatisch een supportticket
Wordt de volgende werkdag door de Service
Desk opgepakt
BootCamp
Critical events buiten kantoortijd
!
!
!
!
"
"
"
"
Productieverstoring
Automatisch een supportticket
SMS bericht naar de 24/7 engineer
Indien er binnen 5 minuten geen contact is gelegd
met de 24/7 engineer, wordt volgens het interne
escalatiepad de volgende contactpersoon gebeld
! " De engineer neemt contact op volgens het met de
klant afgesproken escalatiepad
BootCamp
Er gaat iets stuk…
BootCamp
Detectie
BootCamp
Contact opnemen met de engineer
! " Eerst een SMS sturen
! " Na 5 minuten bellen
! " Daarna het SecureLink
escalatiepad volgen
BootCamp
Probleemanalyse
! " Productieverstoring of
verlies van redundantie?
! " Klant bellen?
! " 4 uur replacement?
BootCamp
Oplossen
! " Oplossen door middel van remote toegang
! " Binnen 4 uur on-site
! " RMA uitvoeren
BootCamp
Service Delivery
Skilled
Service
Desk
Changes
<2
werkdagen
Accountteam
Klant
Incidenten
Reactietijd <30
CTF <4u
DAP
SLA
Rapportage
BootCamp
Overeenkomst
Vragen?
! " Stel ze via @SecureLinkNL #SecurityBC
! " U ontvangt binnen 600 seconden antwoord
BootCamp

Download Report