SOC/MDR

Secunor Security Operations er en SOC/MDR-tjeneste som kontinuerlig overvåker og analyserer aktivitet i virksomhetens IT-systemer, og varsler om uønsket eller mistenkelig aktivitet - 24/7/365. I mange tilfeller kan vi også automatisere responsen, og redusere responstiden fra timer til sekunder. Snakk om risikoreduksjon!

Tjenesten baserer seg på Microsoft Sentinel, og passer for virksomheter av alle størrelser. Om virksomheten ikke allerede benytter Sentinel, setter vi det raskt opp i deres Azure-tenant.

Sentinel kan ta imot og utnytte logg fra infrastrukturkomponenter, sikkerhetsløsninger og applikasjoner, i skyen og on-premise, og skalerer automatisk til virksomhetens behov. Vi gir råd og veiledning for å sikre god balanse mellom sikkerhetsgevinst og kostnad, bl.a. gjennom valg av riktig lagringsmåte og filtrering av logg.

Vi jobber tett med deg for å forstå virksomhetens unike behov og mål, og bygger tjenesten rundt dette. Når sikkerhetshendelsen er et faktum, varsler vi deg og gir bistand og råd til effektiv håndtering og skadebegrensning. Når du trenger en sparringspartner, er vi der.

24/7

Det er en kjensgjerning at selv erfarne analytikere har begrenset evne til å fokusere og fange opp viktige detaljer gjennom en arbeidsdag. I tillegg er det slik at 24/7-kapabiliteter ofte bemannes av juniorer og deltidsansatte med begrenset faglig kompetanse og erfaring. Dette er spesielt vanlig i mindre markeder, som det norske. Basert på vår erfaring med sikkerhetsovervåking og 24/7 beredskap i offentlig og privat sektor, er det svært sjelden at kunden får reell verdi fra 24/7. Det skyldes både 24/7-kapabilitetens kvalitet, og at kunden sjelden er rigget for 24/7 selv.

Secunor omfavner ny teknologi som kan adressere utfordringene knyttet til menneskelig overvåking, spesielt døgnkontinuerlig. 24/7 deteksjon og respons understøttes derfor av Sentinels avanserte deteksjonslogikk, maskinlæring, AI og SOAR-funksjonalitet. Hendelser som klassifiseres som kritiske kan eskaleres automatisk etter nærmere avtale, og varsles via e-post, SMS og talemelding for å iverksette manuell respons. Avhengig av system, tilgjengelige lisenser og ønsker fra kundens side, vil det være mulig å utvide automatisk respons til å også inkludere inngripende handlinger som karantenesetting, passordbytte og isolasjon av endepunkt.

Oppstart

I oppstartsmøtet vil vi diskutere omfanget av sikkerhetsmonitoreringen og behovet for oppsett og konfigurasjon. Avhengig av arbeidsmengde og ønsker, kan det avtales fastpris for deler av oppdraget. Bruk av Sentinel og Log Analytics medfører som regel økt Azure-konsum for kunden. For å unngå overraskelser, estimerer vi konsumet som del av planleggingen, og følger med på estimatets treffsikkerhet etterhvert som data samles inn. Når Sentinel er konfigurert og loggkilder har begynt å levere, ser man sjelden variasjoner av betydning, hvilket gir kunden forutsigbarhet mht. kostnadene.

Kundens Sentinel-instans settes opp og konfigureres for mottak og analyse av logg fra identifiserte kilder. Dersom det er ønskelig med sikkerhetskopi av logg for å imøtekomme krav til lenger tids lagring, kan vi sette opp loggarkivering med høy datatetthet, on-premise eller i skyen.

Videre vil vi innhente dokumentasjon knyttet til sikkerhetsstyring, beredskapsplanverk, IT-systemer og IT-infrastruktur. Vi utarbeider så oppdatering til gjeldende dokumentasjon av sikkerhetsstyring og beredskapsplanverk med informasjon relatert til håndtering av cybersikkerhetshendelser, og utvikler relevante tiltakskort som legger grunnlaget for raskere reaksjon og effektiv håndtering av sikkerhetshendelser.

Dersom virksomheten ønsker det, vil vi planlegge gjennomføring av en enkeltstående sjekk av cyberhygiene. Cyberhygienesjekken kartlegger IT-systemer og IT-infrastruktur, og avdekker sårbarheter og svake konfigurasjoner. Eventuelle funn oppsummeres i en rapport sammen med forslag til tiltak som vil bedre cyberhygienen. Sjekk av cyberhygiene er ikke påkrevd, men sterkt anbefalt. Ved samtlige hendelser vi har håndtert de siste årene, kan rotårsaken spores tilbake til lav cyberhygiene, f.eks. svak konfigurasjon eller manglende sikkerhetsoppdateringer.

Løpende tjeneste

Varighet og oppsigelsestid avtales ved oppstart. Innsamling og analyse av logger skjer i kundens infrastruktur (Azure) og eies av kunden. Den løpende tjenesten består av:

  • Sikkerhetsmonitorering av infrastruktur og endepunkter i henhold til avtale
  • Kontinuerlig forbedring av deteksjonslogikk
  • Cybertrusseletterretning som styrker deteksjonsevnen og gir kontekst
  • Sårbarhetskartlegging
  • Varsling og eskalering
  • Kundeportal for oversikt og kommunikasjon
  • Generelle varsler om aktuelle trusler, sårbarheter og hendelser som kundene bør vite om
  • Beredskapsavtale

Varsling

Kundens Sentinel-instans integreres med Secunors varslings- og sakshåndteringssystem gjennom API-er. Når triage av varslet alarm tilsier at kunden har en sikkerhetshendelse som er varslingsverdig, eskaleres relevante alarmer til en hendelse som kundens varselmottakere blir varslet om via e-post og kundeportal. Ved tidskritiske hendelser med høy alvorlighetsgrad vil det i tillegg varsles via SMS eller oppringing.

Varselmottakere kan være kundens ansatte eller representanter, f.eks. leverandører av driftstjenester. Secunor har god erfaring med å håndtere og koordinere sikkerhetshendelser med flere interessentgrupper.

Pris

Det er vanlig å prise SOC/MDR-tjenester etter antall brukere eller antall logghendelser per sekund som skal prosesseres og lagres. Slike prismodeller er forutsigbare, men straffer virksomheter som fokuserer på god cyberhygiene og bygging av sikkerhetskultur - to ting som vi mener er vikige og ønsker å honorere. Derfor har vi landet på en annerledes prismodell.

Hos oss betaler alle det samme grunnbeløpet. Grunnbeløpet bærer grunntjenesten, og dekker monitorering og respons på tvers av kundemassen. I tillegg tar vi betalt per varsel vi sender, etter innkjøringsfasen. Dette incentiverer begge parter til kontinuerlig forbedring; vi vil jobbe for å redusere falske positiver vi ikke tar betalt for, samt forbedre evnen til å oppdage og varsle om reelle trusler, og kunden vil jobbe for å redusere sårbarheter og bedre cyberhygienen, og gjennom det redusere antall varsler.

  • Per måned: 35.000 NOK
  • Per varsel: 1.000 NOK