Edina - Avancerad hanterad NDR / SIEM övervakning

Vad Reykja identifierar

Många övervakningssystem är helt beroende av insamlade loggar vilket inte ger en helhetsbild av faktiska händelser. Edina insamlar och analyserar det som faktiskt skickas i nätverken, samt ta emot loggar. Det gör att Edina fångar upp saker som andra system missar och aldrig upptäcker.

Analyseringen omfattar både interna som externa hot och avvikelser, samt felkonfigurationer i miljön som påverkar stabilitet och säkerheten. Fokus ligger på beteenden och mönster i faktisk trafik, snarare än enbart loggbaserade indikatorer.

Nedan följer några exempel på vad Reykja identifierar, baserat på kundens metadata.

Förberedelser av attacker och avvikelser:

Rekognosering och portscanningar
Informationsinhämtning i miljön
Förstadier till DDoS- och andra överbelastningsattacker
Brandväggsblockeringar och dess nivåer
Proxy-rekognosering och webbscanningar

Ovan ger oss indikationer och bevis om att aktörer insamlar och/eller gör förberedelser på olika attacker. Vi kan här ge tidig information till våra kunder i realtid, samt eventuella upptrappningar där våra kunder kan fatta tidiga beslut om åtgärder. Det krävs ytterst lite, ett enda felaktigt paket så triggas larmen.

Hot och direkta attacker:

Intrångsförsök och aktiva pågående attacker
DDoS, slowloris, SYN Flooding, Ping of Death och andra överbelastningsattacker
Datainhämtning, dataläckage och exfiltreringsförsök
Otillåten kommunikation in/ut från internet, mellan segment, mellan servrar
Överträdelser av segmentering och nätverkspolicy

När väl attackerna kommer ser vi dem direkt och kan snabbt avgöra vad det är för attack, dess nivå, var de kommer i från och hur. Här står vi sidan om våra kunder för att avvärja dem så fort det går. Om Reykja hanterar kundens brandväggar kan vi ta till direkta förutbestämda åtgärder för att blockera attackerna.

Tekniska och strukturella avvikelser (som kan indikera kommande driftstörningar):

Kommunikationsproblem mellan verksamheten och dess slutkunder, och vice versa
Felkonfigurationer i DNS, NTP, TCP, routing m.m.
Resursmissbruk och avvikande belastningsmönster
Oväntade förändringar i trafikmönster
Infrastrukturpåverkan hos leverantörer

Vi ser kommunikationsstörningar, data som inte kommer fram eller som kommer fram fel. Om det förekommer felkonfigurationer som skapar avvikande trafikmönster. Vi ser detaljerad information om TCP-, DNS-, NTP- och andra problem. Är ni hos en cloudleverantör så upptäcker vi många olika fel i deras infrastruktur som påverkar er miljö.

Ovan är endast några få exempel. Då Edina analyserar den faktiska trafiken, det som verkligen skickas i infrastrukturen kommer Edina fånga upp alla tänkbara mönster, både kända som okända.

Forensisk kapacitet på paketnivå, i det förflutna

Vid avvikelser eller incidenter kan analys genomföras på full paketnivå i dåtid. Det innebär att vi kan stega tillbaka i tiden, innan incidenten började och återskapa händelsen från dess start. Här kan vi hjälpa till att verifiera påstådda intrång, dataläckor, attacker eller andra avvikelser, ta ut underlag och bevis för processer.

I den dagliga driften kan vi identifiera problem i miljön på en djupare nivå som endast syns i datapaketen. Vi kan ta ut data på fel, statistik och grafer. Hjälpa till att undersöka felkonfigurationer och annat som stör miljön.

Rapportering och beslutsunderlag

Kunden erhåller strukturerade veckorapporter som innehåller bl.a. identifierade attacker och incidenter, aktuell hotbild mot verksamheten utifrån våra dagliga analyser, vilka avvikelser som har hänt samt andra händelser av betydelse. I rapporterna finner ni statistik, data och analysgrafer samt vilka indikationer på framtida risker och attacker som vi ser.

Våra rapporter är högst uppskattade hos våra kunder och används ofta vid operativa veckomöten, underlag vid revision och andra tillfällen.