VaultSec
Internetin kehittyessä kehittyvät myös tietoturvauhat.
Vaikka palomuuri onkin yksi tärkeimmistä tietoturvaa parantavista komponenteista, ei se enää nykypäivänä yksinään riitä. Palomuuri on ensimmäinen rajapinta, johon tavanomaiset hyökkäykset jäävät kiinni, mutta hyökkäysten kehittyessä myös palomuurit osataan kiertää. Palomuuria voisi kuvata Kiinan muurina: Pitää varmasti sitä päin juoksevat ihmiset muurin toisella puolella, mutta entäpä he, jotka yrittävät yli, ali tai ympäri?
Tämän ongelman ratkaisuksi kehitimme VaultSec-tuoteperheen, joka täydentää tietoturvaa myös palomuurin jälkeen.
IDS-palvelu
IDS-palvelussa palomuurilta kerätään kaikki lokidata yhteen paikkaan, mallinnetaan saadusta big datasta tietoturvan kannalta oleellisia kysymyksiä sekä suoritetaan saadun tiedon perusteella tarvittavia toimenpiteitä. Asiakkaana sinun ei kuitenkaan tarvitse opetella tietoturvan koukeroita, vaan palveluun sisältyy henkilökohtainen konsultaatio asiantuntijan kanssa.
Kilpailijoista poiketen VaultSecin IDS-palvelu on täysin yrityskohtainen eikä noudata geneerisiä sääntölistoja. Palvelu aloitetaan kiristämällä hälytysruuvi niin kireälle kuin se saadaan, tutustutaan yhdessä asiakkaan verkon toimintaan ja suodatetaan ylimääräiset pois. Lopputuloksena saadaan palvelu, joka tietää ja näkee kaiken sekä lähettää kriittisistä huomioista hälytyksiä esimerkiksi sähköpostitse.
IDS-palvelulla voidaan vastata esimerkiksi seuraaviin tietoturvan haasteisiin:
- Onko verkossa saastunut kone?
- Kohdistuuko yrityksenne palveluihin sormenjäljellä tunnistettavia hyökkäyksiä?
- Ovatko palomuurisäännöt varmasti kattavat, kuka on päässyt palomuurin läpi sisäverkkoon?
- Mitkä koneet liikennöivät eniten ja minne?
Asiakkaitamme
IDS-Palvelun moottorina toimii ELK-stack (Elasticsearch, Logstash ja Kibana), SNORT sekä saatavilla oleva lokidata
VaultWall-palomuuripalveluun liitettynä tämä koskee oletuksena käytännössä kaikkea palomuurilta saatavaa lokidataa. Liittäminen myös asiakkaan omiin järjestelmiin on mahdollista, jolloin lokidatan saatavuus katsotaan tapauskohtaisesti. Lähteitä datalle voisivat olla esimerkiksi yksittäiset tietokoneet, palvelimet ja kytkimet.
Palveluntarjoajan ELK-stack asiantuntijat mahdollistavat sen, että saatavilla olevaa dataa voidaan muokata jokaisen asiakkaan omiin tarpeisiin, datan lähteestä riippumatta. Palvelussa data lähetetään aina TNNetin ylläpitämälle ELK-alustalle. Data on palveluratkaisusta riippuen joko asiakkaan omalla dedikoidulla palvelimella tai jaetussa clusterissa indeksoituna omiin tietokantoihinsa asiakaskohtaisesti.
SNORT on avoimen lähdekoodin IDS/IPS-ohjelmisto, johon on saatavilla myös kaupallisesti ylläpidetty tietokanta maksullisella lisenssillä. Palvelussa käytetään aina ajantasaista SNORT-tietokantaa. Palvelukokonaisuudesta riippuen saatavilla on myös maksullisella lisenssillä varustettu palvelu.
Palvelu on hyvin asiakaskohtainen, onhan jokaisen yrityksen tietoverkotkin yksilöllisiä. Tämän mahdollistaa se, että palveluun kuuluu TNNet Oy:n asiantuntijoiden vahva läsnäolo. Kuukausittain saatavan raportin käy aina läpi asiantuntija, joka ehdottaa tai erikseen sovittaessa tekee heti suositeltuja toimenpiteitä analyysin pohjalta. Asiakkaan on myös mahdollista ottaa palvelu ilman TNNetin asiantuntijaa, sillä palvelu on rakennettu niin, että asiakas pystyy itsekin raporttia lukemaan.
Palveluun on liittettävissä asiakaskohtaisia hälytysrajoja, joiden perusteella suoritetaan automaattisia toimenpiteitä. Hyvä ensiaskel on lähettää esimerkiksi sähköpostihälytys uudesta insidentistä. Kun palvelu on ollut käytössä jonkin aikaa ja voidaan luottaa siihen, että virheellisiä hälytyksiä ei enää esiinny, voisi suoritettu automaattinen toimenpide olla esimerkiksi hälytyksen aiheutuneen koneen blokkaaminen verkosta ja tästä sähköpostihälytyksen lähettäminen.
Ota yhteyttä
Ennakointi vähentää riskejä
IDS-palvelumme huomasi 48 000 yhteydenottoa asiakkaamme tietokoneen RDP-porttiin. IDS:n avulla saimme vähennettyä tämän 0 yhteydenottoon ja asiakkaan tietoturvaa saatiin parannettua.
Jari Lehtonen VaultSec-tuotepäällikkö