NetDesign Security Operations Center

NetDesign SOC tilbyder tre tjenester: NetDesign Managed SIEM, NetDesign Managed Detection and Response og NetDesign DDoS Protection (også kendt som TDC DoS Protection).

Managed SIEM i kombination med Managed Detection and Response beskytter din virksomhed mod trusler som ransomware-angreb, cyber-spionage osv. Med Managed DDoS Protection kan vi også beskytte din virksomhed mod DDoS-angreb.

Med disse tjenester sikres det, at kundernes infrastruktur er overvåget effektivt og med hurtige responstider hele døgnet rundt alle årets dage. NetDesign SOC er bemandet med erfarne, højt kvalificerede og FE-sikkerhedsgodkendte analytikere. SOC overvågningscenteret er placeret på NetDesigns hovedadresse i København.  

NetDesign SOC udfører både overvågning, alarmhåndtering, incident response, threat hunting og forensics. I ekstreme spidsbelastningsperioder (f.eks. ved mange samtidige store angreb mod danske virksomheder) kan der blive brug for ekstra ressourcer. For at sikre skalerbarhed i disse situationer har NetDesign SOC et samarbejde med både et dansk og et globalt velrenommeret incident response team. Hvis der under håndtering af incidents kræves folk med dybdeviden og specielle kompetencer ift. berørte systemer, trækker NetDesign SOC på NetDesigns mange sikkerhedskonsulenter.

NetDesign Managed SIEM er en løsning, som forbedrer din virksomheds sikkerhedsniveau ved at opdage, alarmere og give synlighed ift. trusler og angreb i virksomhedens infrastruktur.

Managed SIEM opsamler logs fra enheder (f.eks. firewall, web-server, AD, osv.) i vores kunders infrastruktur. Logs gemmes centralt på en NetDesign hosted platform.  

Use cases definerer regler for håndtering af log data. Use cases kan anvendes til at opdage sikkerhedshændelser i virksomhedens infrastruktur baseret på oplysninger i de indsamlede log data. I tilfælde af en sikkerhedshændelse udløser en use case en alarm.

Use cases kan ligeledes anvendes til at generere rapporter og opdatere indholdet af dashboards, som vil være tilgængelige for jer. Log data i Managed SIEM kan til enhver tid fremsøges i kundeportalen. Dette kan være relevant i forbindelse med håndtering af sikkerheds-, operationelle eller compliancehændelser.

Med Managed SIEM overvåges virksomhedens infrastruktur hele tiden gennem de use cases, som indgår i et use case bibliotek. Biblioteket vedligeholdes, tunes og afprøves løbende af NetDesign SOC. De use cases, som indgår i biblioteket, giver en stor og bred dækning på f.eks. infrastruktur som netværk, Windows og Linux eller f.eks. privilegerede brugere. Der er også mulighed for at få skræddersyet use cases efter behov. NetDesign SOC opdaterer løbende biblioteket med nye use cases ift. aktuelle trusler og angrebsmetodikker. Det giver vores kunder ’Peace of Mind’ ift. opdagelse af de nyeste trusler.

Kombinationen af Managed SIEM med Managed Detection and Response, giver jer som virksomhed et højt sikkerhedsniveau 24 timer i døgnet, idet NetDesign SOC overvåger jeres infrastruktur og håndterer de alarmer og sikkerhedshændelser der opstår.

Med Managed Detection and Response får virksomheden alarmhåndtering, threat hunting, incident response, forensics og critical alert service leveret af NetDesign SOC. Med denne tjeneste stilles der skarpt på at forhindre skadelige angreb ved at optimere evnen til hurtigst muligt at opdage og reagere på en potentiel sikkerhedshændelse. Tiden det tager at indhegne, bekæmpe og udrydde en trussel, efter den er blevet opdaget, er altafgørende og jo mindre vil de ultimative omkostninger være.

Alarmhåndtering
Sikkerhedsalarmer modtages fra NetDesign Managed SIEM. Alarmer fødes ind i en SOAR-platform (Security Orchestration, Automation and Response) og håndteres enten automatisk af en skræddersyet (designet efter jeres behov) auto-playbook eller videresendes til ”manuel” håndtering hos NetDesign SOC-analytikerne.

Responstiden ved ”manuel” håndtering af alarmer er iht. SLA. 

Automatisering er en meget vigtig del af alarmhåndteringen, da det er med til at reducere reaktionstiden og fejlraten.

Threat hunting
NetDesign SOC foretager løbende proaktiv threat hunting i virksomhedens infrastruktur. Threat hunting tager f.eks. udgangspunkt i sikkerhedsanalytikernes hypoteser baseret på deres erfaringer og indsigt i det aktuelle trusselsbillede. Threat hunting aktiviteterne kan også være baseret på threat intelligence fra open source kilder eller markedsledende kommercielle partnere inden for området.

Hvis threat hunting resulterer i, at ondsindet aktivitet i virksomhedens infrastruktur opdages, kan incident response fra NetDesign SOC aktiveres.

Hvis man som virksomhed selv har ønsker til , at bestemte threat hunts skal udføres, kan dette også initieres.

Incident response
Udsættes virksomheden for en alvorlig sikkerhedshændelse, kan NetDesign SOC leverer egentlig incident response, hvor hændelsen indhegnes, bekæmpes og udryddes, og hvor virksomhedens infrastruktur efterfølgende retableres til betroet tilstand. Er der behov for ressourcer on-site hos jer, er det også en mulighed. Ved behov for ekstra ressourcer udefra, kan NetDesign SOC gøre brug af samarbejde med et 3. part incident response team.

Forensics
Skal der leveres bevismateriale, eksempelvis i forbindelse med en retssag, kan NetDesign SOC foretage forensics. Det vil f.eks. kunne resultere i en detaljeret tidslinje for, hvad der er sket og hvornår.

Critical alert service
SIEM-løsninger har fokus på at opdage trusler og angreb inden i virksomhedens infrastruktur. Critical alert service derimod har fokus på at alarmere om trusler relevant for jeres forretning, men som er opdaget uden for jeres infrastruktur. Critical alert service vil alamere om følgende:

• Brugernavne/passwords, der er relateret til jeres virksomhed og er fundet på nettet, f.eks. på Pastebin
• IP-adresser eller domæner, der tilhører virksomheden og observeres i tvivlsom eller ondsindet aktivitet på nettet
• Typosquatting eller brandnavne relateret til virksomheden (eller en af virksomhedens  leverandører), og som er nævnt på dark web. Det kan indikere, at virksomhedens brand snart vil blive udnyttet i et phishing-angreb.

Rapportering
Rapportering er en vigtig del af tjenesten. Der vil bl.a. blive sendt:

• Månedlige og kvartalsvise statusrapporter
• Udførlige post-incident rapporter efter overstået incident response
• Rapporter om udførte threat hunts

På baggrund af rapporteringen og de hændelser der er observeret, lægger vi op til periodevise møder, hvor vi tager trusselsbilledet for netop jeres virksomhed op til dialog.

Kundeportal
ServiceNow kundeportal anvendes til at holde jer  opdateret om status på alarmer og incidents.

Managed DDoS Protection bekæmper DDoS-angreb centralt i TDC’s backbonenetværk, inden det rammer kundens internetforbindelse.

Produktet består af tre dele:

• Overvågning for DDoS-angreb
• Bekæmpelse af DDoS-angreb
• Rapportering

Med Managed DDoS Protection overvåger NetDesign SOC kundens internetforbindelse døgnet rundt for DDoS-angreb.

I tilfælde af et angreb udløses en alarm, som efter forudgående aftale med kunden enten vil blive håndteret manuelt af NetDesign SOC eller automatisk.

Hvis alarmer skal håndteres automatisk, vil angreb blive bekæmpet ud fra nogle forudaftalte teknikker og med en meget lav reaktionstid. Hvis angreb ønskes håndteret manuelt, vil NetDesign SOC kontakte kunden for at aftale, om angrebet skal bekæmpes.

Når DDoS-angreb bekæmpes, dirigeres al trafik til den angrebne ip-adresse via TDC’s centralt placerede scrubber-bokse. TDC’s scrubber-bokse fjerner den uønskede trafik og videresender den legitime trafik.

Kunden har ligeledes mulighed for selv at kontakte NetDesign SOC for at starte bekæmpelse af et DDoS-angreb.

En månedsrapport sendes til kunden med oplysninger om trafikken til de beskyttede servere samt en oversigt over de udløste alarmer. I tilfælde af bekæmpelse af et angreb udarbejdes en rapport med oplysninger om angrebet, og hvordan angrebet er blevet bekæmpet.

I modsætning til Managed SIEM og Managed Detection and Response, så forudsætter Managed DDoS Protection, at kunden har sin internetforbindelse hos TDC.