In English
StartNyheterRedSOC – en viktig del av säkerhetsarbetet
incident reponse

6 april, 2020

RedSOC - en viktig del av säkerhetsarbetet

Att testa sina system och nätverk är en förutsättning för att upprätthålla en hög säkerhetsnivå i sin IT-infrastruktur. RedSOC är en effektiv tjänst som gör att IT-miljön löpande kan testas så verklighetstroget som möjligt.

Många företag har en stor och organiskt växande systemdjungel. I många fall är den så pass omfattande att organisationen inte ens har kännedom om alla system, eller vilken patchningsfrekvens som råder. Det innebär att potentiellt kritiska delar av miljön aldrig säkerhetstestas annat än – i bästa fall – genom regelbunden sårbarhetsscanning.

Sentors RedSOC säkrar organisationens IT-infrastruktur kontinuerligt över tid

Det effektivaste sättet att approchera problemet är från samma perspektiv som faktiska angripare. Genom att kontinuerligt sondera terrängen, kartlägga öppningar och göra aktiva försök att bryta säkerhetsbarriärer kan hela miljön genomlysas.

- Kunder nöjer sig inte längre med ett par tester per år – man vill säkra organisationens IT-infrastruktur kontinuerligt över tid. För att möta efterfrågan har vi utvecklat vår RedSOC-tjänst som en del av vårt SOC-tjänsteutbud. Tjänsten bygger på input från våra tekniska säkerhetsexperter och har utvecklats i samråd med kunder som är världsledande inom sina sektorer, berättar Martin Zetterlund, Head of MSS på Sentor.

Inom ramen för tjänsten använder vårt RedTeam bestående professionella penetrationstestare en kombination av externa och interna sårbarhetsscanningar, manuella och semiautomatiserade penetrationstestsaktiviteter samt publika och icke-publika källor av Threat Intelligence. Resultatet är det mest heltäckande testet av verklighetstrogna angreppsscenarion du kan få.

Vedertagen metod för att förbättra motståndskraften mot sofistikerade cyberattacker

Sentors RedSOC-tjänst ger en överskådlig bild över terrängen, som sedan uppdateras vartefter brister åtgärdas och nya tillkommer. Det blir även tydligt vilka brister som faktiskt är kritiska – ofta helt osynliga i en automatgenererad scanningrapport.

- När vi genomför breda tester som omfattar hela systemmiljöer av det här slaget hittar vi alltid väsentliga brister som inte hade identifierats med hjälp av konventionella tester. Utgångspunkten är horisontell, med vertikala djupdykningar där svagheter identifieras, förklarar Martin.

Metoden som går ut på att titta på organisationen i stort för att hitta vägar in kallas Red Team Testing. I maj 2018 utfärdade Europeiska Centralbanken ett ramverk för Threat Intelligence-based Ethical Red Teaming, förkortat TIBER. Ramverkets syfte är att förbättra motståndskraften mot sofistikerade cyberattacker inom den finansiella sektorn, men rekommenderas av ECB även för alla övriga branscher.

Skillnaden mellan sårbarhetsscanning, pentester och RedSOC

Sårbarhetsscanningar, penetrationstester och Red Team Testing tjänar alla viktiga funktioner för att upprätthålla en hög IT-säkerhet i system- och nätverksmiljöer. Genom att kombinera dessa verktyg och metoder skapar du ett starkt och kostnadseffektivt skydd för hela din IT-miljö.

Tabellen nedan beskriver skillnaden mellan sårbarhetsscanning, penetrationstest och RedSOC korthet, samt förklarar hur och när de bör tillämpas:

SårbarhetsscanningPenetrationstestRedSOC
MålInfrastruktur, moln och hela nätverk, inklusive klienter och servrar.Samma som vid scanning, men främst fördjupade tester av affärskritiska och särskilt känsliga system.Samma som vid scanning. Hela eller delar av organisationers samlade IT-miljö. Vi kan även testa allt vi juridiskt får, vilket kan innefatta leverantörer, publika tjänster och andra alternativa angreppsvägar. Scope beslutas i dialog med kund.
FrekvensMinst kvartalsvis samt vid betydande förändringar i nätverk och utrustning.En till två gånger om året samt vid betydande förändringar i nätverk, system och applikationer.Kontinuerligt över tid.
RapporterListar vilka kända lättidentifierade sårbarheter som finns i nätverket, på samma sätt som antivirus larmar på kända virussignaturer.Management-del som beskriver hur brister kan utnyttjas, vilken information som äventyras, vilka säkerhetsåtgärder som bör vidtas. Teknisk del där var och en av alla enskilda brister beskrivs, inklusive konkreta risker och åtgärdsförslag.Kontinuerlig rapportering till kund via Sentor Customer Portal på kvartalsvisa möten. Även möjlighet till kommunikation via kanaler som Slack för att hålla en tät dialog när det uppstår frågor och funderingar.
GenomförandeKan utföras internt, men kräver viss teknisk expertis för att sätta upp.Utförs med fördel av oberoende externa leverantörer, gärna växelvis mellan två eller flera leverantörer. Kan utföras både remote och on-site.Utförs från Sentor RedSOC och levereras remote via en säker appliance, i moln och på interna nätverk.
FokusEnkla signaturbaserade sårbarheter.Fördjupade analyser och aktiva försök att bryta säkerhetsmekanismer för att nå den information som skall skyddas.Kontinuerlig horisontell scanning och kartläggning kombinerat med aktiva vertikala penetrationstester där svagheter identifieras.
VärdeIdentifierar kända sårbarheter, dock inte mer än vad angripares automatiska scanningverktyg hittar. Djupare erfarenhet inom IT-säkerhet krävs för att göra en kvalificerad bedömning av resultatet.Identifierar tekniska och logiska brister som ligger djupare än vad en sårbarhetsscanner kan hitta.Ett fördjupat pentest av ett enskilt affärskritiskt system, utfört av erfarna pentestare, identifierar en stor andel av de brister som annars riskerar att upptäckas och utnyttjas av kriminella.Pentestarens erfarenhet och kompetens är avgörande för resultatet.Kontinuerliga breda pentester över tid för att snabbt kunna reagera på nyupptäckta brister och varningar från olika informationskällor. Validering av befintlig nätverksövervakning. Pentest utförs från samma perspektiv som verkliga angripare.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.