Sentinel ProPlus #
Sentinel ProPlus # biedt u het onderhoud van de Plus variant en natuurlijk extra diensten in de vorm van volledig netwerkscanning en een Intrusion detection systeem.
Met de abonnementsvorm Sentinel ProPlus # wordt op jaarlijkse basis gezorgd voor:
● Uitgebreide Risico analyse
Organisaties zijn tegenwoordig wettelijk verplicht om aantoonbaar te maken hoe zij de informatiebeveiliging van haar bedrijfsprocessen kunnen garanderen. Voordat aantoonbaar gemaakt kan worden dat de informatiebeveiliging van een organisatie in orde is, zal het risicomanagement van de organisatie in orde moeten zijn. Risicomanagement zorgt ervoor dat er bewuste keuzes gemaakt kunnen worden om de risico’s die de organisatie loopt aan te pakken of te nemen. Voordat een organisatie de juiste maatregelen kan treffen, moet de organisatie in kaart brengen welke risico’s de huidige inrichting van de bedrijfsprocessen opleveren. Om de risico’s in kaart te brengen zal er een risicoanalyse uitgevoerd moeten worden op de huidige inrichting van de bedrijfsprocessen. De risicoanalyse van Sentinel Services One 1 zorgt er voor dat een organisatie een helder beeld krijgt van de kans dat een risico zich voordoet en wat daarbij de impact zal zijn voor de organisatie. Op basis van de uitgevoerde risicoanalyse wordt per maand een remote verbeter sessie belegd om op basis van prioriteit een geconstateerd risico te mitigeren. Er wordt dan steeds gekozen uit één van de onderstaande opties:
- Preventie: het voorkomen of verminderen van de kans dat een risico zich voordoet
- Detectie: het detecteren van de (potentiële) schade wanneer een bedreiging optreedt
- Repressie: het beperken van de schade wanneer een bedreiging optreedt
- Correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan deels terug te draaien
- Acceptatie: De leiding accepteert de kans en het mogelijke gevolg van een bedreiging en neemt dus geen maatregelen
- Overdragen: outsourcen van een risico bijvoorbeeld door de data niet in de organisatie te houden maar te verplaatsen naar een datacenter of de cloud
● 10 Verbeter sessies op locatie
In de verbeter sessies op locatie heeft uw organisatie op maandelijkse basis een sessie van 3 uur met een consultant van ConanDoyle waarin de prioriteit van die maand besproken wordt en de door te voeren verbeteringen gemonitord worden op voortgang. Dit is een intensieve (coaching) sessie waarin u geadviseerd wordt over het traject en de te nemen stappen. De focus ligt hierbij op de te nemen maatregelen om de gevonden risico’s uit de risicoanalyse te mitigeren. Tevens worden ook de mogelijke knelpunten waar uw organisatie tegenaan loopt besproken en wordt advies gegevens om zo uw organisatie te helpen accurate vervolg stappen te nemen.
● Wekelijks website scanning (1 URL)
Door wekelijks uw website te scannen zorgen wij ervoor dat u inzicht krijgt op de mogelijk kwetsbaarheden die uw website loopt. Tevens kijken wij mee op uw dashboard en interpreteren de ConanDoyle specialisten de resultaten van de diverse scans en geven u advies over de eventuele maatregelen die genomen dienen te worden. Dit zorgt ervoor dat u gedegen en accuraat maatregelen kan treffen om de kwetsbaarheden te mitigeren. Heeft u meer websites te scannen dan is dit mogelijk tegen een meerprijs.
● 6 Phishing Acties (tot en met 10 medewerkers)
Met de phishingsacties worden phishingmails gestuurd naar maximaal 10 van uw medewerkers. Het doel van deze phishing acties is om het bewustzijnsniveau van uw medewerkers te toetsen. Deze toets vindt plaats in de vorm van vreemde linkjes of het vragen aan uw medewerkers om vertrouwelijke gegevens (zoals inlogcodes) te verstrekken. Indien u meer medewerkers wilt betrekken bij de phishing acties kan dit tegen meerprijs worden afgenomen.
● Wekelijkse Kantoor Automatisering scanning (tot en met 10 medewerkers)
Met de wekelijkse Kantoor Automatisering worden de volgende scanners ingezet binnen un organisatie.
- Global scanner
Deze scanner bekijkt uw applicaties, infrastructuur en apparaten van buiten af op bereikbaarheid. De global scanner geeft u een beeld van de volgende bedreigingen:- Netwerk bereikbaar van buitenaf
- Netwerk kwetsbaar voor reflection/DDoS aanvallen
- Server of website maakt deel uit van een botnet
- Server is kwetsbaar voor SSL/TLS-aanvallen of onjuist geconfigureerd
- Controle op veel voorkomende configuratiefouten
- Poortscanner
Deze scanner bekijkt vanuit uw netwerk welke poorten open staan.
Openstaande poorten bieden de mogelijkheid voor een aanvaller om verder in de infrastructuur door te dringen of om webapplicaties te kunnen aanvallen. Niet alleen zal gecontroleerd worden of de poort open staat, maar ook op wat er zich achter deze poort bevindt. Er wordt gescand op meer dan 80 veelgebruikte en misbruikte poorten. Ditgebeurt bij een Sentinel Integral abonnement elk uur!
- Amplification scanner
Deze scanner controleert servers op correcte configuratie van servers en stelt vast of zij niet vatbaar zijn voor diverse bedreigingen als:- SSL & TLS-misconfiguratie
- Reflection attack mogelijkheden in het netwerk
- Netwerk vulnerability scanner
Deze scanner controleert op de aanwezigheid van onder andere oude applicaties die niet goed gepatcht zijn, maar ook op netwerktoepassingen, complete besturingssystemen en webapplicaties. Zo kan Sentinel Services meer dan 60.000 actuele bedreigingen herkennen en hierop alarmeren.
- Lokale scanner
Deze scanner is een fysieke Probe die op veilige en verantwoorde wijze in uw interne kantoornetwerk wordt geplaatst, uiteraard in overleg met uw IT-medewerkers. Op deze Probe zijn de KA scanners geïnstalleerd die uw netwerk van binnenuit afspeuren op security dreigingen. Met behulp van een versleutelde verbinding worden resultaten en bevindingen naar de centrale KA database gestuurd, waar u de resultaten naast de externe scans kunt leggen. Zo krijgt u daadwerkelijk ‘situational awareness’!
- Credential scanner
Deze scanner speurt het netwerk af naar onversleutelde, niet-complexe of te korte wachtwoorden. Ook indien wachtwoorden versleuteld zijn zal de Guardian Cruncher proberen wachtwoorden te kraken. Dit gebeurt op een aparte password cracker die in staat is om miljoenen wachtwoorden per seconde te ‘raden’.
- Blacklist scanner
De Blacklist scanner zorgt ervoor dat u snel kunt ingrijpen als uw domeinen en IP-adressen op een blacklist staan en scant onder andere op de volgende punten:- Zijn uw websites en/of IP-adressen bekend op pastebin?
- Staan uw IP-adressen op een blacklist?
- Wordt er spam verstuurd vanaf uw netwerk?
- Wordt er binnen uw netwerk aan bitcoin-mining gedaan?
- Wordt uw website gebruikt voor phishing?
- Zijn er virussen, malware of andere malicious activiteiten binnen uw netwerk actief?
- Maakt uw netwerkverbinding met “command and control” servers of draait er een open Proxyserver in uw netwerk?
- Wordt uw netwerk gebruikt om hack- of DDoS-aanvallen uit te voeren?
- Is er een TOR Exit node bekend binnen uw netwerk?
- Defense scanner
De defense scanner zoekt in plaats van directe kwetsbaarheden naar het ontbreken van defense-in-dept maatregelen. Dit soort maatregelen helpen uw (web) applicaties en netwerk preventief te beschermen tegen mogelijke toekomstige aanvallen of bij het preventief verhelpen/voorkomen van nog onbekende kwetsbaarheden. Wij controleren o.a. op de volgende soorten defense-in-depth maatregelen:- Maken uw webapplicaties gebruik van extra bescherming lagen zoals “headers”?
- Zijn er geen standaard paden of instellingen actief op uw webapplicaties die informatie kunnen lekken aan kwaadwillenden?
- Zijn uw applicaties/netwerk voldoende voorzien van configuratie hardening?
- Hebben de gebruikte domeinen spam/phishing spoofing preventie?
- Zijn de DNS servers van uw website domein(en) beschermd tegen Man-in-the-Middle aanvallen?
- Lekt uw netwerkdata wat misbruikt kan worden om credentials van werknemers of andere gevoelige data te achterhalen?
- Kan een kwaadwillende eenvoudig data exfiltreren vanuit uw interne netwerk en op welke manier(en)?
- Werken aanwezige Intrusion Prevention System (IPS) maatregelen naar behoren?
- Automated penetration test
De automated penetration test gebruikt een door Guardian360 ontwikkelde intelligentie om uw netwerk actief geautomatiseerd aan te vallen. Hierbij zal gebruik gemaakt worden van zowel kwetsbaarheden als misconfiguraties. Het systeem is zo ontwikkeld dat dit geen impact heeft op de werking van uw platform en maakt alleen gebruik betrouwbare methodes. Dit is op dezelfde manier als Advanced Persistent Threats in 2016 worden uitgevoerd, een kwaadwillende wil natuurlijk zo min mogelijk opvallen en zal daardoor alleen betrouwbare methodes gebruiken.
De aanvallen die deze automated penetration test onder andere zal gebruiken zijn als volgt:- Inloggen op applicaties/systemen met credentials gevonden met de credential scanner om zo toegang te krijgen tot achterliggende systeem of om nog meer credentials te achterhalen
- Toegang verkrijgen tot systemen door misbruiken ontbrekende defense maatregelen
- Toegang verkrijgen tot systemen door misconfiguraties gevonden door de defense scanner
- Kwetsbaarheden uitbuiten gevonden door verschillende scanners
- Indien toegang tot syteem verkregen, poging tot escaleren van privileges op systeem om mogelijk nog meer credentials te achterhalen met bijvoorbeeld domein privileges
- “Lateral movent”; pogingen tot bewegen door uw netwerk met gevonden credentials/kwetsbaarheden op systemen
Naast het volledig automatisch proberen te achterhalen van kwetsbaarheden, geeft Guardian360 ook de mogelijkheid om geldige netwerk credentials van bijvoorbeeld een Active Directory domein op te geven. Op deze manier kan een situatie nagebootst worden om te zien waar een kwaadwillende bij kan mocht hij in het bezit komen (bijvoorbeeld door malware die via een phishing mail is binnengekomen) van een geldige gebruiker. Bovenstaande situatie geeft een uniek inzicht in uw netwerk en geeft u de mogelijkheid om uw netwerk defense oplossingen te verbeteren. Het Guardian360 Dashboard zal grafisch inzichtelijk maken welke kwetsbaarheid/misconfiguratie op welk systeem is misbruikt en op welke manier onze automated pentest zich heeft kunnen verspreiden binnen uw netwerk.
- Scannen IP-adressen (per IP-adres)
Binnen deze dienst worden de voormelde scanners 1,2,4,5,8,9 en 10 ingezet wanneer het om externe IP-adressen gaat. Binnen deze dienst worden de voormelde scanners 2,4,5,6,7,8,9 en 10 ingezet wanneer het om interne IP-adressen gaat. Voor deze dienst is een (v)Probe nodig.
● Wekelijkse Netwerk scanning (1 IP-Adres)
Bij deze netwerk scan wordt uw netwerk van binnen en buiten gescand op kwetsbaarheden die hackers mogelijk toegang zouden kunnen verschaffen tot uw systemen. Ook hier wordt gebruik gemaakt van een aantal van de 9 scanners die ons ter beschikking staan vanuit het oogpunt van een buitenstaander die zich toegang wil verschaffen en vervolgens op uw netwerk verder binnen probeert te dringen.
● Intrusion detection systeem
Het Intrusion Detection systeem is een (virtueel) apparaat dat in uw netwerk geplaatst zal worden. Het doel van dit apparaat is om alleen te luisteren totdat iemand een verbinding maakt met dit apparaat. In normale situaties zal niemand namelijk ooit naar dit apparaat verbinden.
Als een kwaadwillende heeft binnen kunnen dringen in het netwerk via bijvoorbeeld een phishing aanval en malware, dan zal de kwaadwillende verder proberen om meer informatie te verzamelen van uw netwerk. Op dat moment zal de kwaadwillende verkenning tools gebruiken om te kunnen zien welke systemen reageren of waar bijvoorbeeld alle interne documenten worden opgeslagen.
Bij de verkenning zal het (virtuele) apparaat aangeraakt worden en slaat hierop gelijk alarm. Zo bent u heel snel op de hoogte bij een hack en heeft u meer kans om zo snel mogelijk acties te ondernemen en de hack te kunnen mitigeren. Een groot probleem is namelijk dat veel organisaties pas na een periode van maanden/jaren weten dat ze gehackt zijn en is vaak alle gevoelige data al gelekt/gestolen. Met het Intrusion Detection systeem zal dit in plaats van maanden/jaren al direct op het moment zijn dat de hacker nog in de verkenningsfase zit en kan een datalek in een vroegtijdig stadium voorkomen woorden.