SOC+

For å kunne avdekke et sikkerhetsbrudd, er det viktig å samle data fra alle relevante loggkilder. I oppstarten av et SOC+ prosjekt lager vi en beskrivelse av alle data og loggkilder fra egne on-prem-løsninger, samt offentlige og hybride skyløsninger. For eksempel loggdata fra servere, nettverksutstyr, brannmur, klienter, brukere, IoT-enheter og annet. Loggdataene samles og overvåkes av vårt SIEM verktøy (Security Information and Event Management).Tjenesten kan enten kjøres i vårt datasenter, eller i offentlig sky.

Når data fra logger strømmer inn til vårt SIEM verktøy, sammenstilles dataene for å i sanntid oppdage alle unormale hendelser, aktiviteter og brukeratferd på tvers av alle systemer. Dataene ses i sammenheng med den siste trusselinformasjonen, også hvis det er spesielle ting å være oppmerksom på med hensyn til bransjen virksomheten opererer i.

Vårt SIEM verktøy benytter avanserte algoritmer, automatiserte regelsett, maskinlæring (ML) og kunstig intelligens (AI) for å oppdage hendelser man ellers kanskje ikke ville oppdaget. Ettersom SIEM verktøyet samler hendelser fra alle relevante kilder i hele nettverket, er det mulig å rekonstruere hva som har skjedd når du har blitt utsatt for et angrep, hvordan det kunne skje, og hvilken innvirkning det vil ha på IT-systemene. Våre SOC+analytikere administrerer alle sikkerhetshendelser, og avgjør om noen av hendelsene krever oppfølging. Hvis det oppstår trusler som må håndteres, tar vårt Incident Response Team (IRT) over – i tillegg til at virksomheten varsles.

Oppstår sikkerhetshendelser, for eksempel digital utpressing, er det SOC som tar de første grepene for å redusere skadeomfanget. Et Incident Response Team (IRT) rykker ut for å håndtere angrepet videre, og jobber med skadebegrensning, opprydding, og med å få systemene tilbake til normal drift så raskt som mulig. 

Vår erfaring og ekspertise gjør at vi kan få systemene raskt opp igjen etter en sikkerhetshendelse. I etterkant av et eventuelt angrep vil vårt IRT-team jobbe sammen med virksomheten for å analysere og verifisere angrepet, finne omfanget og konsekvensene, utføre tiltak for skadebegrensning, samt rydde og gjenopprette normal drift igjen så snart som mulig. IRT personellet vil også samle inn og håndtere bevismateriale, og utarbeide en konkret og faktabasert hendelsesrapport.

Vårt IRT personell jobber som et virtuelt team og er bosatt over hele landet slik at det alltid er noen i nærheten om noe skulle hende. Vi garanterer fire timers responstid.

Med SOC+ får bedriften sin egen sikkerhetsrådgiver, og gjennom månedlige møter og løpende dialog med kunden får du en oppdatering på trusselbildet. Sammen med kunden vil sikkerhetsrådgiveren gå gjennom rapporter fra SOC og komme med forslag til forbedringstiltak og oppdateringer, samt gå gjennom hendelser SOC har jobbet med siden forrige møte.

Ethvert sikkerhetssystem er et levende system og ting endres hele tiden, og det er derfor svært viktig med en kontinuerlig dialog for å kunne være proaktive og avverge sikkerhetshendelser før de skjer. SOC+ har et stort sikkerhetsmiljø og jobber hver dag med å håndtere sikkerhetstrusler fra et stort antall kunder over hele landet. Dette gir oss verdifull kompetanse og erfaring som kan gjenbrukes på tvers av bransjer og virksomheter.