Cyber Fusion Center

 

 

 

 

 

 

 

A Black Cell Fusion Center a SOC szolgáltatás mátrix kiterjesztése különböző IT biztonsági platformok bevonásának lehetőségével, melyre fejlettebb detektív és reaktív use-case-eket ültetünk rá.

 

Bővebben

 

Cyber Fusion Center

A Black Cell Fusion Center a SOC szolgáltatás minőségi eszkalálása.

A szolgáltatás alapját a MITRE ATT&CK keretrendszerben meghatározott támadási technikákra kidolgozott egyedi eljárásaink adják, amelyek a klasszikus Threat Hunting szolgáltatásokon túl, Threat Intelligence,  Gépi tanulás és megtévesztésen alapuló detekciós képeségekkel gazdagítva biztosítják ügyfeleink részére a maximális biztonságot.

A platform legfelső rétegében, megfelelő források esetén, gépi tanuló algoritmusok segítségével elemzi a környezetekből érkező telemetria és metaadatokat.  A klasszikus IT mellett a fejlesztés lefedi a vezérléstechnikai és a felhős környezeteket is.

Az ügyfelink részére egy webes alkalmazást egy online platformot biztosítunk, ahol nyomon tudják követni számos funkció mellett az incidenseket, a definiált érettségi szintek fejlesztésére vonatkozó teljesítmény mutatók állapotát. A Fusion Center koncepcionálisan a lehető legközelebb áll a biztonsági szolgáltató és az ügyfél transzparens, valós idejű kommunikációjához, valamint a lehető legtökéletesebb, legholisztikusabb rálátást biztosítja az ügyfél kiberbiztonsági ökoszisztémájára, az érettségi szint aktuális állapotára és annak fejlődésének a nyomon követésére.

Cyber Fusion Center

A Platform

Cyber Fusion Center

A kiberbiztonság offenzív és defenzív aspektusainak egyfajta fúziója a szolgáltatás, ami egy interaktív webes alkalmazásban manifesztálódik. Az ügyfél oldali IT biztonsági megoldások jelzéseinek aggregálása mellett a platform az, ahol:

  • Jóvá lehet hagyni az incidenskezeléshez szükséges különleges jogköröket.
  • Meg lehet tekinteni az incidenseket és azok kivizsgálásának állapotát, illetve le lehet tölteni a jelentéseket
  • A Cytrac (Cyber Traction) modul alatt egy projekt követő aloldalon meg lehet tekinteni a definiált érettségi szintek fejlesztésére vonatkozó teljesítmény mutatók állapotát
  • Át lehet tekintetni riasztásokat MITRE ATT&CK keretrendszernek megfelelően
  • Fel lehet adni a támogatási szerződés keretein belül a support jegyeket
  • Az egyedi detekciós szabályok működése ellenőrizhető
  • A biztonsági tudatosság szintje felmérhető és visszakövethető
    • Generikus és célzott phishing kampányok
  • Malware elemzésekre van lehetőség
    • A kivizsgálástt támogató sandbox segítségével
  • Compliance szolgáltatások érhetők el
  • Harmadik fél általi IT bizttonsági megoldások érhetők el
  • Az OT és a Cloud modul alatt a specifikus detektációkat, riasztásokat és incidenseket lehet megtekinteni továbbá újak bevezetése tervezhető
  • A menedzselt sérülékenységvizsgálati modul alatt az infrastruktúra állapotának feltérképezése elindítható
  • A threat intel modul alatt a szervezett online kitettsége ellenőrizhető
  • Trendelemzések készíthetők

A platform számos becsatornázási lehetőséget biztosít API-kon keresztül, úgy mint,

  • A nagyobb gyártók logelemzői (SIEM rendszerek)
  • Orkesztrációs és automatizációs megoldások (SOAR rendszerek)
  • Nagyobb Threat intel megoldások
  • Sérülékenység vizsgálók
  • IDPS rendszerek
  • EDR rendszerek

Cyber Traction

Kiberbiztonság teljesítménymutatókon keresztül

Érettség, haladás és folyamatos fejlesztés. Ezek a modern incidenskezelés legfontosabb kulcsszavai. Ez egyfajta a kereskedelmi eszközökön túlmutató „kézműves” biztonsági felügyeleti koncepció. A rendszer lényege, hogy a kiberbiztonság érettségi szintjét megállapítsuk a scoring rendszer alapján, ami által a jelenlegi állapot de a fejlődés is folyamatosan nyomon követhető. A modul a MITRE ATT&CK keretrendszer segítségével támogatja a use case-ek folyamatos fejlesztését.

A megoldás MITRE ATT&CK keretrendszeren alapul, a kiberbiztonsági detekciós hiányosságok azonosítására és rangsorolására irányul, a támadók által használt releváns támadási taktikák, technikák és eljárások alapján. Az ilyen típusú értékelésekkel és automatikus feltérképezési technikákkal a leggyakoribb probléma az, hogy a lefedettségi értékelés kizárólag a technikákon alapul. Ez több okból is problémás. Egyrészt hamis biztonságérzetet ad, mivel minden egyes támadási technika számos olyan eljárást tartalmazhat, amelyek nem kerülnek számításba vételre. És ha csak egy eljárás által észlelhető, akkor az egész technikát elvégzettnek jelöli. Másrészt egy ilyen értékelés olyan technikát is megjelölhet mitigációra, amelyhez nem kapcsolódik infrastrukturális elem. Ez sok erőforrás elvesztegetését eredményezheti, vagy akár azt is, hogy egy támadó kihasznál egy olyan területet, amelyet a szervezet biztonságosnak vél.

 

  • Meglévő Infrastruktúra értékelése: Ahhoz, hogy ki lehessen szűrni, a szervezetre nem vonatkozó támadási eljárásokat részletes információkra van szükség a informatikai rendszerekről, hálózatokról és rendszerelemekről.
  • Detektációs képességek értékelése: A vizibilitáshoz feltétlenül szükséges, a támadói aktivitások detektálása, illetve az audit egy célja detektációs képeségek javítása. A vizsgálat során elméleti síkon kerülnek vizsgálat alá a SIEM/SOAR/IDPS/NSM/EDR rendszerek.
  • Mappelési fázis: a rendszer a rendelkezésre álló információk alapján párosítják a támadásokat az eljárásokkal, hozzárendelik a megfelelő technikához majd taktikához.
  • Detektációs képességek validálása: Az offenzív csoport azokat a támadási eljárásokat szimulálja, ahol meg lett jelölve detektációs képesség.
  • Jelentések tartalma:
    • A feltárt és ellenőrzött detektációs gap-eket
    • Szektorra jellemző ATT&CK heatmap alapon végzett priorizált cselekvési tervet
    • Ajánlott teljesítmény mutató rendszert az állomány kompetenciája és az infrastruktúra állapota alapján.
  • Technikai javításokat: SIGMA/YARA/SNORT/SURICATA/ZEEK szabályokat és egyéb a gyártók specifikus megoldásainak ajánlott paraméterezését
  • Hipotetikus szcenáriók készítése: Azoknál a szervezeteknél, ahol a képesség és a érettségi szint meghaladja a szimplán reaktív – IT biztonsági rendszerek által visszaadott riasztások és a hozzájuk tartozó elemzések és reagálások – aktivitások és az állomány alkalmas threat hunting-ra, ott egy use case alapú lista kerül definiálásra, hogy ezen proaktív folyamatok is elszámolható és ellenőrizhető keretek között történjenek
  • Detektációs képességek folyamatos remediációs vizsgálata

OT Fusion Center

Cloud Fusion Center

  • Folyamatos eszközfelfedezés – A szabályok és házirendek megfelelő létrehozásához dinamikus leltárt konfigurálunk az OT- és IoT-eszközökre vonatkozóan. A hálózati eszközök azonosítását passzív eszközök útján érjük el (TAP; SPAN; Packet broker), amik által olyan információkkal tudunk dolgozni, mint az eszköz neve, típusa, sorozatszáma, firmware verziója és összetevői; az eszközök metaadatai; GeoIP infomrációk, név, IP-cím, MAC-cím és rendelkezésre állás. Beágyazott eszközök, például PLC-k és belső összetevőik; logikai csomópontok alrendszerei, például megszakítók és kapcsolók; mérési pontok, operációs rendszer és telepített szoftveralkalmazások verziószámokkal
  • OT-eszközök sebezhetőségeinek azonosítása és rangsorolása – Az ipari hálózatok több ezer OT- és IoT-eszközt tartalmaznak a legkülönbözőbb gyártókból. Sajnos ezen eszközök többsége nem az IoT világában megkövetelt biztonsági szintre van tervezve, és az OT-hálózatokban NEM ajánlott az aktív szkennelés, nem is beszélve a penetration tesztelésről. Itt az eszközök listájának összehasonlítása történik sebezhetőségi katalógusokkal ( NVD; CVE). Ezekből az adatokból létrehozhunk sebezhetőség-kezelési programot.
  • MITRE ATT&CK alapú gap analízis – Ajánlott egy terv, egy stratégia, amely tartalmazza a legfontosabb kulcsfontosságú teljesítménymutatókat. A MITRE ATT&CK keretrendszer az egyik legátfogóbb katalógus a lehetséges támadási forgatókönyvekről, amelyekre választ kell adni.  Ajánlott azonban a vonatkozó eljárások és NEM csak a technikák alapján elvégezni az értékelést. Ha az ellenőrzést csak a technikák alapján végzik el, az hamis biztonságérzetet eredményezhet.

 

A kiberfúziós központok egységesebb és proaktívabb megközelítést biztosítanak a fenyegetések kezeléséhez azáltal, hogy együttműködés és tudásmegosztás révén integrálják a különböző, de egymással kapcsolatban álló csapatokat (IT üzemeltetés, IT biztonság, Compliance…). Ez kifejezetten igaz a hybrid felhős vagy teljesen felhőben lévő vállalatokra is.  Míg egy SOC szerepe jellemzően az incidensek felderítésére, azonosítására, kivizsgálására és az azokra való reagálásra összpontosít, a kiberfúziós központ ezt egy lépéssel továbbviszi a szervezet általános biztonsági profiljának és képességeinek javításával. A Black Cell Cyber Fusion Center a Microsoft Azure-el teljes mértékben kompatibilis.

 

Miért válasszon minket?

 

A Black Cell 2010-ben került megalapításra Magyarországon. A csapat bizonyítottan rendelkezik a megfelelő képességekkel, kompetenciákkal és tudásalappal ahhoz, hogy sikeresen építsen vagy üzemeltessen egy Kibervédelmi Műveleti Központot, melyet hazai és nemzetközi referenciáink támasztanak alá. Szigorú szolgáltatásiszint-megállapodás (SLA) szabályozza működésünket és egymillió dolláros felelősségbiztosítással rendelkezünk. Éjjel-nappal, 24/7-es, élő monitoring és riasztási rendszert működtetünk az év minden napján hazai és külföldi ügyfeleink részére.

A CERT (Computer Emergency Response Team) csapatunkat a Carnegie Mellon University minősítette. Az incidenskezelő csapatunk összeállítása négy különböző IT biztonsági szakterület mérnökeiből épül fel, akik egyidőben teljesítenek a SOC-ban szolgálatot. Ezen szakterületek az offenzív biztonság (ethical hacking), defenzív biztonság (naplóelemzés), threat hunting és kiberhírszerzés (CTI). Emellett hálózatbiztonsági és termékspecifikus támogató munkatársaink is rendelkezésre állnak.

Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center
Cyber Fusion Center

Pin It on Pinterest