Advanced Security Operations

Rapid7 is een vooraanstaande Cyber Security vendor met een missie om succesvolle security kennis en middelen toegankelijk te maken voor iedereen. Het Rapid7 Insight platform, de geavanceerde services en baanbrekende onderzoeken zorgen ervoor dat inmiddels ruim 9.000 klanten hun security programma’s kunnen verbeteren en verdere stappen kunnen zetten met geavanceerde technologieën.

Rapid7

Rapid7

Rapid7 biedt intelligente oplossingen om security- en risk assessments te kunnen uitvoeren met als doel om een reëel beeld te kunnen verstrekken en uw kritieke systemen te kunnen beschermen.

  • Breng risico’s in kaart
  • Detecteer aanvallers
  • Beveilig applicaties
  • Automatiseer acties
  • Maak gebruik van specialisten

Rapid7 is reeds 20 jaar actief en in deze periode zijn er securitybedrijven en trends gekomen en gegaan, terwijl de bredere technologische innovatie ook zeker niet stilgestaan heeft. Elk bedrijf is op dit moment op de een of andere manier wel met technologie bezig, en het niet bijblijven met deze technologie brengt onherroepelijk veiligheidsrisico’s met zich mee. De versnelde migratie van organisaties naar de cloud en een onoverzienbare mix van aangesloten apparatuur introduceert een sterk groeiend en steeds complexer wordend en onvoorspelbaar aanvalsgebied.

Rapid7 is van mening dat zij in staat is om de manier waarop klanten met hun security uitdagingen omgaan kan verbeteren. De Rapid7 oplossingen versimpelen het ingewikkelde, maken het voor teams mogelijk om effectief kwetsbaarheden te verlagen, verdacht gedrag op te sporen, aanvallen te onderzoeken en af te wenden en ook om routine taken te automatiseren. Alle Rapid7 oplossingen en services zijn gebouwd voor- en worden ondersteund door - de expertise van het toegewijde team met security specialisten, onderzoekers en consultants. Zij brengen de kennis over het gedrag van aanvallers en opkomende kwetsbaarheden direct naar klanten toe. Rapid7 investeert ook continu in het verder versimpelen van de technologie om de bruikbaarheid te verbeteren en de drempel te verlagen om security te beheren voor teams en organisaties die de expertise niet in huis hebben.

Door continue verbetering van de gebruikte technologie, en door security meer bruikbaar en toegankelijk te maken richt Rapid7 zich erop om de zogeheten ‘Security Achievement Gap’ te sluiten.

Rapid7 biedt oplossingen aan binnen de volgende vier pilaren van het Insight Platform

Vulnerability Risk Management
De Vulnerability Risk Management (VRM) oplossingen bieden inzicht in risico’s in zowel traditionele als moderne IT-omgevingen, en bieden de mogelijkheid om met de output teams aan te sturen en de voortgang te kunnen blijven monitoren. Met de ingebouwde risico prioriteringsfunctie en de geïntegreerde remediation opties, de mogelijkheid om tracking te kunnen doen voor gestelde doelen, diverse service level agreements en reeds opgezette automation workflows zijn de oplossingen van Rapid7 ontworpen om niet alleen het risico in kaart te brengen maar ook het oplossen van de gevonden risico’s te versnellen.

Incident Detection and Response
De Incident Detection en Response (IDR) oplossingen zijn ontwikkeld om organisaties in staat te stellen om snel cybersecurity incidenten op te sporen, en ze direct het hoofd te kunnen bieden. De oplossingen werken in zowel fysieke- als virtuele- en cloud omgevingen en bestaan uit User Behavior Analytics (UBA), Attacker Behavior Analytics (ABA), Endpoint Detectie en Response (EDR) en Deceptie Technologie. De Rapid7 Security Information en Event Management (SIEM) oplossing is ontworpen om geavanceerd inzicht in het netwerk te bieden en om het onderzoeken van dreigingen, en hoe deze aan te pakken, te versnellen.

Applicatiebescherming
De Applicatiebeschermingsoplossingen bieden dynamische bescherming, security testing en run-time application security monitoring en bescherming. Deze oplossingen zijn ontworpen om web applicaties continu te kunnen analyseren op kwetsbaarheden gedurende de software ontwikkelcyclus.

Security Orchestratie en geautomatiseerde response
De Security Orchestration en Response (SOAR) oplossingen maken het voor security teams mogelijk om oplossingen van verschillende vendors, zonder het te hoeven schrijven van code, binnen het cybersecurity, IT en ontwikkelproces te kunnen beheren en om hiervoor geautomatiseerde workflows op te zetten. Hierdoor kunnen repetitieve, handmatige en tijdsintensieve taken worden gereduceerd met als eindresultaat meetbare tijds- en daarmee kostenbesparingen.

En om het geheel compleet te maken biedt Rapid7 een verzameling van beheerde diensten welke gebaseerd zijn op haar softwarematige oplossingen en de Rapid7 Professional Services, inclusief de incident response dienstverlening, security advisering, implementatie en trainingen.

Insight Platform

Het Cloud gebaseerde Insight platform vormt de basis van alle hiervoor genoemde Rapid7 oplossingen. Het platform is gebouwd om met de uitgebreide kennis en ervaring met het verzamelen en analyseren van data vanuit Rapid7 klanten te ondersteunen om een op analytics gebaseerd cyber security risk programma te kunnen draaien. Door de krachtige, specifiek ontwikkelde, analytics toe te passen om de context en relatie te begrijpen tussen gebruikers, IT systemen en cybersecurity risico’s binnen de klantomgeving maken de oplossingen van Rapid7 het gemakkelijker voor teams om kwetsbaarheden te vinden, beheren en beheersen, verdacht gedrag te kunnen monitoren en onderzoeken alsmede aanvallen af te kunnen wenden en diverse operations taken verder te automatiseren.

Het Insight Platform biedt een hoge mate aan schaalbaarheid. Zowel on-premise installaties als cloud gebaseerde technologieën zijn mogelijk om een schaalbaar delivery model met een hoge mate van redundancy, fault tolerance en kostenbeheersing te realiseren.

Het Insight Platform is ook ontwikkeld om een veilige omgeving te realiseren voor de data van klanten. Er wordt een diversiteit aan technologieën en toepassingen gebruikt die ontwikkeld zijn om zekerheid te bieden dat de data die wordt verzameld vanuit de klantomgeving, veilig en specifiek voor deze klant beschikbaar gesteld wordt.

De diverse kenmerken van het Insight Platform

Rapid7 platform features

Inzicht

Het Insight Platform biedt Security Professionals de mogelijkheid om data te kunnen verzamelen binnen de gehele IT omgeving zodat Security, IT/Ontwikkel (DevOps) en operations teams met elkaar kunnen samenwerken door middel van het analyseren van deze ‘gedeelde’ data.

Uniforme dataverzameling
Het Insight-platform is ontworpen om klanten in staat te stellen hun gegevens één keer te verzamelen en diezelfde gegevens over meerdere toepassingen te kunnen gebruiken, waardoor gedeelde zichtbaarheid tussen teams wordt geboden en de time-to-value voor aanvullende oplossingen wordt verkort. De robuuste architectuur voor data collectie ondersteunt het verzamelen van een breed scala aan operationele gegevens van endpoints naar de cloud, inclusief noodzakelijke informatie over assets en het gedrag van specifieke gebruikers, in een uniforme, doorzoekbare, dataset.

Agentless en Agent based architectuur
Het platform is ontwikkeld met flexibele verwerkingstechnologieën die gebruik maken van zowel agentless datacollectie als de specifiek ontwikkelde endpoint-agent technologie, die een snelle en naadloze integratie van de Rapid7 producten in de moderne IT-omgevingen van onze klanten mogelijk maakt en beveiligings- en IT-professionals direct inzicht biedt in hun dynamische en snel uitbreidende IT-ecosysteem. De lichtgewicht endpoint-agents zijn ontworpen om automatisch gegevens te verzamelen van alle endpoints, zelfs die van externe medewerkers en gevoelige assets. Zelfs ook de assets die niet actief kunnen worden gescand of die zelden verbonden zijn met het bedrijfsnetwerk.

End-point detectie en zichtbaarheid
Door middel van een lichtgewicht agent en end-point scanning biedt het Insight Platform real-time detectie en de mogelijkheid om proactief IT-omgevingen te kunnen herstellen, voordat een potentiële aanval plaatsvindt.

Integratie met cloud en virtuele infrastructuur
Moderne netwerken en infrastructuren zijn constant aan verandering onderhevig. Het Insight Platform integreert met cloudservices en virtuele infrastructuur om ervoor te zorgen dat technologie veilig wordt geconfigureerd en dat beveiligingsprofessionals worden geïnformeerd als er nieuwe devices online gaan.

Monitoring van het aanvalsgebied met Project Sonar
Naarmate organisaties groeien en de infrastructuur complexer wordt, wordt het steeds moeilijker om goed zicht te houden op het aanvalsgebied. Het Rapid7 platform kan rechtstreeks worden geïntegreerd met Project Sonar, een Rapid7-onderzoeksproject dat regelmatig het openbare internet scant, om inzicht te krijgen in wereldwijde blootstelling aan veel voorkomende kwetsbaarheden. Hierdoor kunnen beveiligingsprofessionals de voorheen onbekende, extern gerichte assets, die met het internet zijn verbonden, identificeren.

Analytics

De toenemende complexiteit van IT-omgevingen en het gebrek aan cybersecurity professionals houdt Security en IT-teams die worstelen met false positives en het handhaven van een voldoende niveau van cybersecurity vrijwel dagelijks bezig. Het Insight Platform ondersteunt bij deze uitdagingen met de navolgende kenmerken:

User en Attacker gedragsanalyse. (UABA)
Het Insight Platform bevat uitgebreide gebruikers/gedragsanalyses (UBA) en aanvallersgedragsanalyses (ABA) om een snelle context te kunnen toevoegen aan gebruikers, aanvallers en de systemen die bij een incident betrokken zijn. Hierdoor kunnen organisaties sneller reageren op incidenten en kan het effect van incidenten verder worden beperkt. Het platform bevat uitgebreide UBA om een gedragsprofiel voor elke gebruiker aan te maken. De oplossing correleert vervolgens elke gebeurtenis met een gebruiker, asset of applicatie om gecompromitteerde inlogpogingen, ‘lateral movement’ en ander kwaadaardig gedrag te kunnen detecteren.

Prioritering en het beheer van risico's
Met ingebouwde risicobeoordeling en risicoprioritering, geïntegreerde remediation projecten en ‘vooraf opgezette’ workflows, biedt het Insight platform een gedetailleerd overzicht over wat vandaag relevant en kritisch is, om ervoor te zorgen dat risico's beter kunnen worden geprioriteerd en aangepakt.

Dreigingsdetectie
Het Insight Platform bevat geïntegreerde dreigingsfeeds, opgebouwd door middel van openbaar beschikbare gegevens en ‘eigen’ informatie over dreigingen en onderzoek naar tegenstanders, en verzamelt en combineert deze voortdurend met de IT-omgeving van een klant om dreigingen inzichtelijk te maken die voor hen het meest relevant zijn.

Gecentraliseerd log management
Het cloudgebaseerde platform correleert dagelijks miljoenen events in iedere IT-omgeving rechtstreeks met de gebruikers en assets om risico's in de totale omgeving inzichtelijk te maken, aan te duiden waar te zoeken en om compliancy verder te automatiseren zonder de noodzaak van uitgebreide hardware.

Deceptie technologie
Oplossingen die monitoren op basis van logbestanden kunnen de sporen van een hacker niet vinden. Met het verkregen inzicht over het gedrag van de aanvaller biedt het Insight Platform niet alleen UBA- en end-point detectie, maar kunnen ook eenvoudig ‘vallen’ voor indringers worden gezet. Denk hierbij aan ‘honeypots’, ‘honey users’, ‘honey credentials’ en zelfs ook ‘honey files’. Dit alles om kwaadaardig gedrag eerder in het aanvalsstadium te identificeren.

Specialisten
Met een zeer gespecialiseerd team van penetratietesters, incident response specialisten, threat hunters en SOC experts, heeft Rapid7 een unieke positie verworven om opkomende dreigingen voor te blijven en om snel te kunnen assisteren bij de detectie van dreigingen in het gehele IT-ecosysteem van een klant.

Automation

Het Insight Platform brengt de technologie bij elkaar en stelt beveiligingsteams in staat om uiteenlopende oplossingen te kunnen verbinden in hun cybersecurity-, IT- en ontwikkelactiviteiten.

Ingebouwde Workflows
Beveiligingstools zijn van oudsher niet gebouwd om goed samen te werken, en zonder diepgaande programmeerkennis is het koppelen van tools en het automatiseren van acties in deze tools bijna onmogelijk. Met het Insight Platform kunnen security professionals hun activiteiten stroomlijnen met zogenaamde ‘Connect-And-Go-Workflows’, zonder dat er code nodig is. Dit resulteert weer in aanzienlijke tijds- en kostenbesparingen. Voorbeelden van deze workflows zijn onder meer ‘assisted patching’ en geautomatiseerde isolatie van risico’s.

Zeer goed op maat te maken
Het Insight Platform bevat niet alleen een breed scala aan vooraf opgezette workflows en integraties, het platform is ook zeer eenvoudig uitbreidbaar en naar wens aan te passen. Met ongeveer 300 plug-ins om beveiligingstools aan te sluiten en gemakkelijk aanpasbare ‘Connect-And-Go-Workflows’, maakt het Insight Platform de tijd voor beveiligingsteams vrij om belangrijkere uitdagingen het hoofd te kunnen bieden en ondertussen toch nog steeds de menselijke kennis te gebruiken voor de meest kritieke besluitvorming.

Insight Platform Product Offerings

Rapid7 biedt het Insight Platform aan als software-as-a-service-product, op basis van een abonnement. De Insight Platform-producten zijn wereldwijd beschikbaar en verminderen de behoefte van klanten om een grote, complexe gegevensinfrastructuur te moeten beheren. Rapid7 biedt de navolgende cloud gebaseerde producten aan binnen de vier hoofdpijlers van Security Operations (SecOps):

InsightVM
Gebruikmakend van de kracht van het Insight Platform, is InsightVM ontworpen om een volledig beschikbare, schaalbare en efficiënte wijze te bieden om informatie over kwetsbaarheden te kunnen verzamelen, risico's te prioriteren en het herstel te automatiseren. InsightVM is ontworpen om geprioriteerde begeleiding te bieden op basis van specifiek toegesneden dreigingsmodellen; dynamische live dashboards die gemakkelijk kunnen worden aangepast en bevraagd; lightweight agents voor continu inzicht; integratie met clouddiensten, virtuele infrastructuren en container repository's zoals bijvoorbeeld dockers; in-product integratie met oplossingen zoals ServiceNow, IBM Bigfix, Microsoft SCCM en Jira ticketsystemen; en herstel-workflows voor het toewijzen en volgen van remediation processen in het product. Dankzij ingebouwde workflows kunnen beveiligings- en IT-teams automatisch compenserende maatregelen inzetten voor kwetsbaarheden die niet kunnen of mogen worden gepatcht.

InsightVM wordt aangeboden middels een cloud abonnement of als een beheerde dienst. De managed dienst staat bekend als Managed Vulnerability Risk Management. Hiermee worden de klanten die beperkte middelen tot hun beschikking hebben met een volledig uitbestede optie voorzien door het inzetten van de Rapid7 innovatie, expertise en technologie.

InsightIDR
InsightIDR, de Incident Detection and Response (IDR) oplossing, is ontworpen om organisaties in staat te stellen cyberincidenten en inbreuken op fysieke, virtuele en cloud-assets snel te detecteren en hierop te kunnen reageren.

InsightIDR verenigt SIEM-, UBA- en endpointdetectie om aanvallen op huidige complexe netwerken te detecteren. De miljarden gebeurtenissen die dagelijks in organisaties plaatsvinden worden geanalyseerd om ze terug te brengen tot het inzicht in het belangrijke gedrag en om high-fidelity en geprioriteerde waarschuwingen af te kunnen geven. Naast het identificeren van aanvallen die vaak door andere oplossingen worden gemist, informeert InsightIDR het security team over zaken die onderzoek vereisen en verkort de InsightIDR oplossing ook nog eens de onderzoekstijd door gebruikerscorrelatie, en krachtige zoek- en endpoint onderzoeksmogelijkheden.

InsightIDR is ontworpen om een kosteneffectief antwoord te kunnen bieden op de behoefte aan SIEM. Met onze Metasploit-community, de onderzoeks- en incidentresponse diensten bestuderen en identificeren we voortdurend de nieuwste aanvalsmethodes. We hebben hierin een manier gevonden om de nauwkeurigheid nog verder te verhogen, processen verder te versnellen en meer inzicht in de risico’s te krijgen, zelfs met de continu veranderende methodes van aanvallers. Denk hierbij aan ingebouwde misleidingstactieken zoals honeypots en geautomatiseerde feeds met dreigingsinformatie die onze klanten snel waarschuwen voor nieuw gedrag van aanvallers die onze threathunters tegenkomen in het veld.

In tegenstelling tot de meeste SIEM's biedt InsightIDR ook de mogelijkheid om naadloos automatisch op veel dreigingen te kunnen reageren, waardoor de tijd van detectie tot response nog korter wordt. InsightIDR bevat kant-en-klare automatiseringsworkflows om de productiviteit van analisten verder te verbeteren, zoals bijvoorbeeld ‘geautomatiseerde containment’ om het effect van een aanval verder te verkleinen. Bovendien kunnen gebruikers met de Insight Agent kwaadaardige processen elimineren of geïnfecteerde endpoints binnen het netwerk direct in quarantaine plaatsen. InsightIDR kan ook worden gebruikt om ‘containment’ acties uit te voeren in omgevingen waarin Active Directory, Access Management, EDR en firewalls worden gebruikt.

InsightIDR wordt aangeboden middels een abonnement in de cloud of als een beheerde dienst. De beheerde dienst staat bekend als Managed Detection and Response, een volledig uitbestede dienst bestaand uit de deskundige analisten van Rapid7 in combinatie met de InsightIDR software oplossing. Wanneer aanvallen worden gevonden, worden klanten onmiddellijk op de hoogte gebracht van alle bekende details en gaat het Rapid7 team over op incident response, waardoor security teams gedetailleerde, eenvoudig te volgen herstelstappen op basis van de details in de daadwerkelijke omgeving kunnen verkrijgen.

InsightAppSec
De InsightAppSec oplossing biedt uitgebreide dynamische applicatie beveiligingstests waardoor webapplicaties continu kunnen worden gecontroleerd op beveiligingsrisico’s.

De belangrijkste kenmerken van InsightAppSec zijn: een universele ‘vertaler’ waarmee IT-security professionals complexe applicaties verder kunnen analyseren. De oplossing biedt daarnaast aangepaste aanvalssimulatie mogelijkheden die het automatisch testen van workflows zoals shoppingcarts mogelijk maken. Denk hierbij aan het automatiseren van securityscans, de replay van een aanval waardoor kwetsbaarheden in real-time opnieuw kunnen worden afgespeeld om te verifiëren dat kwetsbaarheden inderdaad wel of niet kunnen worden misbruikt en of de kwetsbaarheid wel of niet is opgelost, continue site monitoring, die verandering in het applicatie ecosysteem detecteert en een nieuwe scan activeert volgens configureerbare instellingen. Ook is de oplossing te integreren met een diversiteit aan ticketing systemen.

InsightAppSec biedt integratie met webapplicatie-firewalls (WAF's) door middel van het verzorgen van tijdelijk aangepaste regels die kwetsbare applicaties helpen beschermen terwijl ondertussen op de achtergrond de kwetsbaarheden worden verholpen.

InsightAppSec ondersteunt de meeste toonaangevende WAF's, waaronder F5, Sourcefire en Imperva. InsightAppSec wordt aangeboden op basis van een cloud abonnement of als een beheerde dienst. De beheerde dienst staat bekend als Managed Application Security en biedt een volledig uitbestede mogelijkheid voor het kunnen scannen van applicaties en het kunnen uitvoeren van beveiligingstests op applicaties.

InsightConnect
InsightConnect is de SOAR-oplossing van Rapid7 die wordt gebruikt door beveiligingsprofessionals om de vele uiteenlopende oplossingen met elkaar te verbinden en om workflows te kunnen automatiseren om de snelheid te verhogen waarmee security risico's kunnen worden geïdentificeerd en op incidenten te kunnen reageren. Door middel van een groeiende bibliotheek van bijna 300 plug-ins om tools aan te kunnen sluiten en verder gemakkelijk aanpasbare ‘connect-and-go-workflows’, kunnen klanten handmatige en ‘vervelende’ taken verder automatiseren, terwijl ze toch gebruik kunnen maken van de Rapid7 expertise wanneer dit het meest kritiek is, waardoor tijd wordt bespaard en waarmee de efficiëntie verder wordt verhoogd. InsightConnect wordt aangeboden op basis van een cloud abonnement.

Andere oplossingen

Nexpose
Nexpose is de lokale versie van de Vulnerability Risk Management oplossing, waarmee klanten hun algehele blootstelling aan cyberrisico's in hun steeds complexer wordende IT-omgevingen kunnen beoordelen en herstellen. Nexpose wordt aangeboden via op termijn gebaseerde softwarelicenties.

AppSpider
AppSpider is de lokale versie van de Application Security Testing-oplossing die uitgebreide dynamische applicatiebeveiligingstests biedt die webapplicaties voortdurend analyseren op beveiligingsrisico’s. AppSpider wordt aangeboden via op termijn gebaseerde softwarelicenties.

Metasploit
Metasploit is een toonaangevende softwareoplossing voor penetratietesten, ontwikkeld op basis van een open source framework. Metasploit kan worden gebruikt om geheel veilig aanvallen op het netwerk van een organisatie te kunnen simuleren om kwetsbaarheden te ontdekken voordat ze worden misbruikt door aanvallers en om de effectiviteit van de bestaande verdediging, beveiligingsmaatregelen en mitigatie-inspanningen van een organisatie adequaat te kunnen beoordelen. Het Metasploit open source framework is gratis beschikbaar en is gericht op ontwikkelaars en security onderzoekers. Rapid7 biedt de commercieel verkrijgbare versie van de penetratietest-software ook op basis van het Metasploit-framework, via op termijn gebaseerde licenties aan.

InsightOps
InsightOps vereenvoudigt het monitoren en oplossen van IT-infrastructuren door gegevens van het netwerk van een klant te centraliseren op één veilige locatie. Met een schaalbare en kosteneffectieve architectuur en de mogelijkheid om zichtbaarheid van assets en logmanagement samen te brengen, stelt InsightOps organisaties in staat om gestructureerde, semi-gestructureerde en ongestructureerde data in real-time op te slaan en te door zoeken. Hierdoor worden DevOps en IT-professionals voorzien van de mogelijkheid om hun logdata te kunnen centraliseren, erin te kunnen zoeken en de logdata te monitoren om bijvoorbeeld afwijkingen te kunnen onderzoeken, problemen op te lossen en root cause analyses uit te kunnen voeren.

Neem voor meer informatie contact op met onze consultants via +31 (0) 345 506 105 of stuur een e-mail naar info@isoc24.com

Vendors

Sourcefire, Niksun, Netwrix, Redsocks, Rapid 7, Unomaly, Logpoint, Isight Partners