Landbrukets Dataflyt har en svært avansert sikkerhetsplattform, driftet på Linux clustere, med fysisk plassering i Norge og back-up i Sverige.
Fra August 2023 får vi gleden av å kunne tilby våre interne sikkerhetsystemer til våre kunder. Løsningene settes opp og driftes på vår Linux infrastruktur, hvor deres løsning vil kjøre i dedikerte containere (OpenShift, Kubernetes og Docker). Dette sikrer full drift selv om deres infrastruktur rammes av en hendelse.
Dette er en løsning som fordrer høy IT og sikkerhetskompetanse. Av den grunn foretas all kundedialog vedrørende dette produktet fra vår tekniske avdeling.
Kort oppsummert inneholder løsningen komponenter for driftsovervåking, SIEM samt sikringsapplikasjoner for daglig drift.
Løsningene inneholder blant annet:
- sanntidsovervåking av infrastruktur ( nettverk, servere, containere, arbeidsstasjoner m.v.) med automatisert varsling og oversiktlige Dashboards
- serverapplikasjoner som sikrer og herder dine systemer
- sanntidsovervåking av servere og applikasjoner, helt ned på biblioteknivå!
- sanntidsovervåking og varsling av sikkerhetsrisikoer av egenutviklede løsninger
Løsningene kan leveres som en sikkerhetsplattform dere håndterer selv, frem til 24/7 overvåkning fra bemannet sikkerhetssentral
Driftsovervåking
Driftsløsningene består av overvåkingsprogramvareverktøy for ulike IT-komponenter, inkludert nettverk, servere, virtuelle maskiner (VM-er) og skytjenester. Løsningen gir overvåkingsmålinger, som nettverksutnyttelse, CPU-belastning og diskplassforbruk. Programvaren kan overvåke operasjoner direkte på Linux, Hewlett Packard Unix (HP-UX), Mac OS X, Solaris og andre Unix baserte operativsystemer, eller gjennom installerte agenter. På MS Windows baserte systemer installeres det kun agenter.
Løsningen kan distribueres for agentbasert og agentløs overvåking. Agenter er installert på IT-komponenter for å sjekke ytelse og samle inn data. Agenten rapporterer deretter tilbake til en sentralisert løsnings-administrasjonsserver. Denne informasjonen er inkludert i rapporter eller presentert visuelt i løsningens grafiske brukergrensesnitt (GUI). Hvis det er noen problemer angående hva som overvåkes, vil løsningen sende et varsel til brukeren. Agentløs overvåking oppnår samme type overvåking ved å bruke eksisterende ressurser i et system eller en enhet for å emulere en agent.
Løsningens nettbaserte GUI gjør det mulig for brukere å se IT-miljøet sitt via tilpassbare dashboards basert på widgets, grafer, nettverkskart, lysbildeserier og rapporter. For eksempel kan en bruker tilpasse en rapport for å vise beregninger knyttet til både tjenestenivåavtaler (SLAer) og nøkkelytelsesindikatorer (KPIer) på CPU-belastninger.
Med distribuert overvåking samler løsningens fjernstyrte skript inn data fra flere enheter på distribuerte steder og kombinerer disse dataene i ett dashbord eller en rapport, for eksempel servertilgjengelighet over hele landet.
Løsningen kan sende automatiserte varsler over en rekke kanaler, i tillegg til dashboarded
Løsningen kan sammenlignes med Microsoft System Center Operations Manager (SCOM), men vi vurderer løsningen som svært mye kraftigere.
Løsningen kjører også i "to-spann" med en SIEM løsning som benytter sanntid maskinlæring (mange ville sikkert feilaktig sagt AI/ KI ;) i tillegg til en hel del annen "statisk" informasjon.
SIEM
Hva er SIEM?
SIEM (Security Information and Event Management) programvare samler, lagrer og analyserer logger sentralt fra omkretsen til sluttbrukeren. Det hjelper med å overvåke sikkerhetstrusler i sanntid for rask angrepsdeteksjon, inneslutning og respons med helhetlig sikkerhetsrapportering og samsvarsadministrasjon.
SIEM, uttales «sim», kombinerer både sikkerhetsinformasjonsadministrasjon (SIM) og sikkerhetshendelsesadministrasjon (SEM) til ett sikkerhetsstyringssystem.
Løsningen er en komplett plattform som forener XDR- og SIEM-funksjoner. Den har som mål å beskytte arbeidsbelastninger på tvers av lokale, virtualiserte, containeriserte og skybaserte miljøer.
Disse inkluderer analyse av loggdata, gjenkjenning av inntrenging og skadelig programvare, overvåking av filintegritet, konfigurasjonsvurdering, sårbarhetsdeteksjon og støtte for overholdelse av regelverk.
Den kan brukes til å samle inn, analysere og korrelere sikkerhetshendelsesdata for trusseldeteksjon og hendelsesrespons. Løsningen har ut-av-boksen integrasjon med Mod Security som eliminerer behovet for å lage tilpasset integrasjon.
Løsningen er basert på agenten, som er distribuert på de overvåkede endepunktene, og på tre sentrale komponenter: serveren, indeksereren og dashbordet.
Indeksereren er en svært skalerbar fulltekstsøke- og analysemotor. Denne sentrale komponenten indekserer og lagrer varsler generert av serveren.
Serveren analyserer data mottatt fra agentene. Den behandler den gjennom dekodere og regler, og bruker trusselintelligens for å lete etter velkjente indikatorer på kompromiss (IOC). En enkelt server kan analysere data fra hundrevis eller tusenvis av agenter, og skalere horisontalt når den er satt opp som en klynge. Denne sentrale komponenten brukes også til å administrere agentene, konfigurere og oppgradere dem eksternt når det er nødvendig.
Dashbordet er nettbrukergrensesnittet for datavisualisering og -analyse. Dette inkluderer ut-av-boksen dashbord for sikkerhetshendelser, regeloverholdelse (f.eks. PCI DSS, GDPR, CIS, HIPAA, NIST 800-53), filintegritetsovervåkingsdata, oppdagede sårbare applikasjoner, konfigurasjonsvurderingsresultater, overvåking av skyinfrastruktur arrangementer og mye mer. Det hjelper også med å administrere konfigurasjonen og overvåke statusen.
Agenter er installert på endepunkter som bærbare datamaskiner, stasjonære datamaskiner, servere, skyforekomster og virtuelle maskiner. De gir trusselforebygging, deteksjon og responsevner. De kjører på operativsystemer som Linux, Windows, macOS, Solaris, AIX og HP-UX.