Miru-Feature-Matrix

Miru Feature Matrix

Miru for
Client Endpoint P2
Miru for
Client Endpoint P3
Miru for
Server Endpoint P1
Miru
Cyber Defense
Tenant
Miru
Cyber Defense
Client Endpoint
Miru
Cyber Defense
Server Endpoint
Miru
Cyber Defense
NetRanger
Miru
Intrusion Detection Honeypot
Miru for
Clavister NetWall
Miru for
Microsoft 365
Miru
Aware
Spårbarhet och inventering                      
Hård- och mjukvaruinventering inklusive förändringsspårning
Ja
Ja
Ja
-
Ja
Ja
Ja
Ja
Fysisk ID-märkning
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Säkerhet                      
Efterlevnadsövervakning av systemskydd
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Säkerhetsuppdateringar samt livscykelhantering Win 10/11
Ja
Ja
Ja
-
Ja
Ja
Ja
Ja
Skydd mot skadlig kod (EPP)
Ja
Ja
Ja
Ja
Ja
Ja
DNS Protect  -
 Ja
Ja
Ja
Ja
Ja
-
Ransomware Detect & Respond -
Ja
Ja
Ja
Ja
Ja
Diskkryptering Windows (Inarm) -
Ja
-
Ja
-
Ja
-
Skydda Windows Privilegierad Åtkomst (Inarm) -
Ja
Ja
Ja
Ja
Ja
Brandväggshantering Windows Mikrosegmentering (Inarm) -
Ja
Ja
Ja
Ja
Ja
-
Enhetskontroll (USB/Bluetooth) - - - -
Ja
-
Ja
- - - -
Upptäcka avancerade hot - - - -
Ja
Ja
Ja
- - - -
Avancerad utredningsmöjlighet vid incident - - - -
Ja
Ja
Ja
- - -
Återställningsfunktion av krypterade filer vid ransomware - - - -
Ja
Ja
Ja
-
Upptäcka oskyddade och oönskade enheter - - - - - -
Ja
- - - -
Hantering                      
Bemanning
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
 -
Centraliserad installation (deployment)
Ja
Ja
Ja
Ja
Ja
 -
Hälsa och support                      
Hälsoövervakning
Ja
Ja
Ja
-
Ja
Ja
Ja
-
Ja
-
Supportaccess
Ja
Ja
Ja
Ja
Ja
Ja
Övrigt                      
Tjänstespecifik funktion
Licensiering Läs mer Endpoint Endpoint Endpoint Organisation Endpoint Endpoint NetRanger

Kräver dedikerad enhet (fysisk eller virtuell).
Ingår i Cyber Defense.

Kräver dedikerad enhet (fysisk eller virtuell).
Ingår i Cyber Defense.

Kan köpas separat per appliance.
Ingår i Cyber Defense.

Kan köpas separat per organisation/tenat.
Användare

Vissa funktioner finns endast för Windows

Månadskostnad enligt matrix.

Startkostnad varierar beroende på abonnemang.

Onboarding är till stor del automatiserad. Inarm-funktioner kräver kundunik anpassning och behöver införas kontrollerat.

På varje dator placeras en inventarieetikett med ett unikt id som är kopplat till enheten i systemet. Detta gör det lätt att identifiera datorn och skapar underlag för inventering. Systemet håller reda på förändringar såsom när mjukvara lades till eller togs bort, när omstart utfördes, när uppdateringar installerades, minne ökades eller minskades osv.

Tydlig översikt av hårdvara (tillverkare, modell, spec m.m.).
Översikt av installerade program och operativsystem med versionsnummer m.m.

Systemet är agentbaserat och fungerar därför oavsett var enheten befinner sig.

Gemensamt för alla systemskydd vi inför (exempelvis DNS Protect, anti-malware, EDR, brandvägg) så bygger vi en övervakning som appliceras över dessa skydd. Syftet med denna åtgärd är att från ett annat oberoende system övervaka att skyddet är aktivt (ex ej inaktiverat av hotaktör), att förväntad konfiguration är applicerad eller motsvarande väsentliga efterlevnadsmonitorer. Denna förmåga skyddar även mot om någon justerar konfiguration eller att det missas i samband med onboarding av ny enhet.

Vi har ett komplett koncept för vissa förmågor som vi kallar MIRU Inarm. Läs mer om det nedan.

En add-on funktion som hanterar flera skyddsåtgärder relaterade till en viss funktion. En samling av sensorer, åtgärder, efterlevnad samt automatisk konfiguration.

Ingen extra månadsavgift tillkommer. Införande av skyddsåtgärderna debiteras separat i enkel projektform.

– Vi ser till att operativsystemet har alla viktiga uppdateringar.
– Hantering av Windows ekosystem (feature update / Channel)
– Monitorering av End-of-lifelivscykel.

– Ett komplett marknadsledande skydd mot skadlig kod som hanteras av oss.
– Skydd som arbetar mot gigantisk molnplattform med kända hot och beteende.
– Vi övervakar samt hanterar larm och funktion.

Oavsett hur mycket teknik du stoppar in så är det inte mycket lönt om denna teknik inte hanteras och övervakas. Vissa saker går att automatisera eller låta AI sköta men det krävs en kombination av människor och teknik för att få till samspelet. Många larm kräver utredning och hantering av människor för att lösa. Även intrimning av larm och vad som ska övervakas.

Larm som inkommer och hanteras av vår bemannade övervakning är indelad i följande kategorier
– Hot funnet
– Misstänkt aktivitet
– Oskyddad enhet
– Efterlevnadskontroll
– Sårbarhet

– DNS-baserat surfskydd för hela datanätet, även datorer utanför centrala brandväggar vilket gör att skyddet fungerar oavsett plats.
– Realtidsskydd mot skadlig kod på Internet och oönskat innehåll.
– Tvingande SafeSearch (Google, Bing mfl)
– Koppla policys mot datorer och/eller användare
– Säker namnuppslag (TLS) skyddar mot bla man-in-the-middleattack
– Loggning och tydlig statistik.

Läs mer om tjänsten på dessa blogginlägg:
> Internet goes dark
> Krypterad DNS

Förmåga att upptäcka en påbörjad/pågående ransomware-aktivitet (diskkryptering).
Vid larm kommer ”moderprocessen” som startat krypteringen att termineras, samtidigt som automatisk isolering av enhet kommer ske i syfte att förhindra spridning till andra enheter.
Utöver automatiska åtgärder vid larm kommer incident skapas och hanteras av oss.
En enhet som automatiskt isolerats från nätverket kan fortfarande administreras av oss så vidare hantering kan utföras.

Läs mer om tjänsten på dessa blogginlägg:
> Ransomware Detect and Respond
> Cyberattacken mot Kaseya VSA

Kryptering av samtliga datorers hårddiskar i syfte att skydda vid förlust av enhet.

– Skydda åtkomst till data vid förlorad enhet.
– Automatiserad kryptering (i vila) av datorer.
– Central hantering av återställningsnyckel.
– Realtidsövervakning av efterlevnad av krypteringsnivå och uppdaterad återställningsnyckel.
– Stöd för hantering av PIN vid uppstart av dator.

* Add-on funktion. Ingen extra månadsavgift tillkommer. Införande av skyddsåtgärderna debiteras separat i enkel projektform. Läs mer om Inarm ovan.

Central hantering och övervakning av administrativa konton och behörigheter på datorer, servrar och domänkontrollanter.
Sträcker sig även mot datorer som är anslutna via Azure AD.

Konceptet bygger på att vi inför en behörighetsstrategi och åtkomstmodell som övervakas och hanteras av oss. Det innebär bland annat att vi…
a. Begränsar obehörig eskalering/access mellan olika s.k. lager (Tiers (*))
b. Begränsar samtliga användares behörigheter på sina enheter till att inte ha administratörsbehörighet i syfte att öka motståndskraften vid exekvering av skadlig kod samt öka förmågan att efterleva organisationens applikationsbaslinje.
c. Namnger samtliga administratörer och tilldelar personliga konton i syfte att skapa kontroll och spårbarhet..
d. Utgår från behovsstyrd behörighet vilket minimerar antalet personer med högsta behörighet.

Det finns grundläggande sårbarhet i Microsoft authentiseringmetod vilket innebär att om en användare med rättigheten ”domain admin” loggar in på en dator så kan en hotaktör stjäla dennes authentiseringsticket (sk golden ticket) och sedan använda den för att ta över hela IT-systemet.
(*)
Tier AAD: Microsoft Azure AD (moln)
Tier 0: Domänkontrollanter
Tier 1: Member servrar
Tier 2: Datorer

Delar av denna förmåga kräver MIRU Endpoint for Windows Server plan S1 eller högre.

* Add-on funktion. Ingen extra månadsavgift tillkommer. Införande av skyddsåtgärderna debiteras separat i enkel projektform. Läs mer om Inarm ovan.

– Grundläggande konfiguration.
– Övervakar status och konfiguration är aktiv samt att inga 3:e parts brandväggar finns installerade eftersom dessa kan ta över brandväggshantering.
– Blockerar alla inkommande anslutningar i syfte att skydda mobila datorer som ansluter mot publika nät (ex. hemma eller öppna WiFi) eller direkt mot internet.
– Denna förmåga skyddar och isolerar enheter från varandra vid eventuell attack. Med andra ord förhindra spridning genom s.k. lateral förflyttning.
– Vi övervakar samt hanterar larm och funktion.

* Add-on funktion. Ingen extra månadsavgift tillkommer. Införande av skyddsåtgärderna debiteras separat i enkel projektform. Läs mer om Inarm ovan.

Några exempel…

Fjärradering:
Vid borttappad enhet eller stöld kan enheten spåras och rensas via internet.

Korrekt tid:
Vi övervakar korrekt tid på alla enheter genom att jämföra aktuell tid på enhet mot publik tidsserver (atomur). Detta i syfte att förhindra fel i system som kan uppkomma om tidsdifferens är för stor. Men även i syfte att erhålla korrekt tid i loggar eftersom hotaktör kan påverka tid i syfte att försvåra utredning genom förvanskad tid.

Några exempel…

Detekterar kända permanenta fjärrstyrningsprogram:
Exempelvis Team Viewer, GoToAssist, VNC, Kaseya m.fl.

Risken med dessa okontrollerade och ofta okända anslutningar är att dem går förbi redan befintliga säkra anslutningar som företaget har. Dessa applikationer skapar en bakdörr (”synligare” bakdörr om man jämför med vad en cyberkriminell lämnar efter sig), men denna typ av bakdörr blir osynlig för organisationen om den inte övervakas (eller hanteras med applikationsvitlistning eller motsvarande). I många fall bryter dem mot gällande IT-policy. Dessa mjukvaror kommunicerar vanligen mot molntjänst för initial anslutning och bryggning vilket öppnar upp för möjlig externt intrång om säkerheten är lågt ställd och autentisering inte är fullgod. Oavsett vilket så är detta ett exempel på skugg-IT som verkligen inte är önskvärd.

Hotaktörer använder gärna dessa legitima fjärrstyrningsapplikationer för att skapa permanent access och undvika upptäckt.

Lokal säkerhetsloggning:
Granulär säkerhetsloggning enligt best practise appliceras centralt av oss per automatik och dess efterlevnad övervakas kontinuerligt av oss. Storlek och rotation av lokal loggdatabas konfigureras centralt av oss för att optimera historikdata.

Genom lokal loggning skapas en grundläggande möjlighet för incidentutredning. Ersätter inte behovet av central loggning där loggdata skyddas från förvanskning eller radering av hotaktör. Central loggning möjliggör även lång historik.

Darknet (Tor)
En av dem mest använda vägarna till darknet går genom Tor nätverket. Vi upptäcker och förhindrar användning av Tor browsers genom att identifiera process samt blockerar uppslag mot toppdomäner (TLD) relaterade till onion och Tor2web.

Centraliserad installation av programvaror för att förenkla och standardisera onboarding av nya medarbetare.
Vi kan även bygga kundanpassad automation för att utföra konfiguration mot många enheter.

Spara energi genom smarta energisparinställningar till alla enheter.

Vi övervakar hundratals mätpunkter/sensorer i olika lager beroende på servertyp: Hårdvara/lagring, Virtualiseringsplattform, Operativsytem och applikation/roller.

Hårdvara
Övervakning av ex temperatur, disksystem, fläktar, strömaggregat, minne (RAM) samt övergripande hårdvarustatus. (1)

Virtualiseringsplattform (hypervisor)
Diskutnyttjande av lagringssystem, minnesanvändning, nätverksbelastning, processor-belastning, svarstider mot disksystem, prestandaövervakning m.m.

Operativsystem
Hårddiskutrymme, minnesanvändning, processorbelastning, övrig resurs/prestandamonitorering. Att viktiga tjänster är igång m.m.

Applikationer/Roller
Vi övervakar kända serverroller samt anpassade serverapplikationer.

Backup
Övervakning av backupjobb.

Vi övervakar diskutrymme, fel på systemhårddisk och hårt belastad hårdvara, att vitala tjänster är igång och självläker dessa.

Ett annat exempel på övervakning är vår BSOD övervakning som upptäcker s.k. blåskärm (BSOD) eller andra ”krascher” som orsakar en icke korrekt avstängning av Windows. Denna aktivitet kan vara tecken på att datorns hälsa inte är optimal, exempelvis orsakat av en drivrutin (mjukvara) eller problem med ett RAM minne (hårdvara).

Med vår smarta agenten kan vi felsöka många ärendetyper i bakgrunden utan att behöva störa användaren.

Snabb, säker och enkel start av skärmdelning mellan oss och era medarbetare.
Er integritet är skyddad genom privacy-funktion som ger er kontrollen att tillåta skärmdelning m.m.
Enkel registrering av ärenden via ikon på datorn och tillgång till vår webbaserade kundportal med översikt över alla enheter, ärenden m.m.

Monitorer tillhör kategorierna:
– Security Configuration Compliance
– Attack Surface Management

Vissa monitorer är av typen change vilket innebär att dem reagerar på en förändring av konfiguration.
I samband med att vi onboardar en ny kund går vi igenom och säkerhetställer den aktuella konfigurationen.

Monitorer relaterade till CIS Microsoft 365 Foundations Benchmark:
1.1.1 Ensure Security Defaults is enabled on Azure Active Directory.
1.1.2 Ensure that ’Multi-Factor Auth Status’ is ’Enabled’ for all Privileged Users.
1.1.3 Ensure that ’Multi-Factor Auth Status’ is ’Enabled’ for all Non-Privileged Users.
1.1.1 (L1) Ensure multifactor authentication is enabled for all users in administrative roles.
1.1.2 (L2) Ensure multifactor authentication is enabled for all users in all roles.
1.1.3 (L1) Ensure that between two and four global admins are designated.
1.1.6 (L1) Enable Conditional Access policies to block legacy authentication.
1.1.7 (L1) Ensure that password hash sync is enabled for hybrid deployments.
1.4 (L1) Ensure that Office 365 Passwords Are Not Set to Expire.
1.5 (L1) Ensure Administrative accounts are separate and cloud-only
5.4 (L2) Ensure the Application Usage report is reviewed at least weekly.
5.7 (L1) Ensure mail forwarding rules are reviewed at least weekly.

Övriga monitorer:
Alert on stale Non-Privileged Users accounts.
Alert on stale Privileged Users accounts.
Alert when Azure AD admin role changes.
Alert when 365 admin role changes.
Alert when conditional access rules changes.
Alert when secret at enterprise application is near due.
Alert if password policy missing.
Alert if Security score is below 50%.
Alert if Azure AD Connect sync status enters error state.
Alert if CA rules does not exists based on Front baseline (MFA req, Geo, etc).
Alert if DKIM not enabled.
Alert i if SPF not enabled.
Alert i Dmarc not enabled.
Alert if SPF changed.
Alert when Azure VM adds or deletes.

Alert on critical and custom domain records (zone) configuration change occurs.

 

CIS Microsoft 365 Foundations Benchmark
Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark – utvecklat av CIS i samarbete med Microsoft – för att ge normativ vägledning för att upprätta en säker baslinjekonfiguration för Microsoft 365. CIS är en ideell enhet som fokuserar på att utveckla globala standarder och erkända bästa praxis för att säkra IT-system och data mot de mest genomgripande attackerna.

CIS Microsoft 365 Foundations Benchmark är utformat för att hjälpa organisationer att upprätta grundläggande säkerhetsnivå för alla som inför Microsoft 365.

 

En eller flera honeypot placeras i olika nät där dem kommer agera som vilken legitim server som helst med undantaget att när dem träffas av aktivitet såsom nätverksskanning eller anslutningsförsök kommer larm generas i vår bemannade övervakning.

Syftet med denna övervakning är att reagera på tecken som kan tyda på intrång (exempelvis lateral förflyttning).

Återkommande attacksimulering med återrapportering för verifiering av sensorns funktion utförs av oss som del i tjänsten.

Enheten kan installeras som virtuell eller som fysisk enhet.

Central loggning
Era centrala brandväggar skickar all sin trafikinformation till FRONT centrala loggsystem. Trafikhistorik sparas i 180 dagar. Denna funktion möjliggör felsökning samt utredning av cyberincidenter eftersom trafikflöden går att spåra och riskeras inte raderas av hotaktör.

Övervakning
Kontinuerlig övervakning och realtidsanalys av trafikbelastning
Vi övervakar viktiga mätpunkter och kan snabbt få en överblick över trafikbelastning.

Versionshantering och backup
Versionshantering och säkerhetskopiering av konfiguration
All brandväggskonfiguration versions hanteras för spårbarhet och möjlighet att återgå till en tidigare konfiguration. Kontinuerlig säkerhetskopiering utförs av konfiguration och dess versioner.

Uppdateringar
Regelbunden uppdatering av mjukvara (operativsystem)
Våra konsulter uppdaterar brandväggar regelbundet. En gång i månaden eller omgående om sårbarhet blir känd.

* En del av ovan funktionalitet kräver att brandväggen har en aktiv licens/avtal hos tillverkaren.

Vill du veta mer ?

Du är alltid välkommen att höra av dig för mer information om hur vi kan hjälpa dig. Fyll i formuläret nedan så kontaktar vi dig.

    Säkerhet som tjänst

    Front erbjuder helhetslösningar inom cybersäkerhet. Vi erbjuder en enhetlig lösning som förenar avancerad teknik med vår spetskompetens och erfarenhet inom området. Vi hjälper till att minimera risker, öka motståndskraften och skapa en kultur för säkerhetsmedvetenhet i organisationen.

    Miru är Fronts eget ekosystem av tjänster inom cybersäkerhet. Här kombineras skydd, kontroll och hantering av datorer, servrar och nätverksutrustning samt tjänster kring utbildning, omvärldsbevakning, granskning och proaktivitet. Miru erbjuder även funktionalitet och automatiseringar, till exempel av programvaruinstallation och fjärrsupport.

    Miru är en samling av tekniker, produkter, skydd, sensorer, kunskap som är under ständig utveckling. Tjänstens innehåll är dynamiskt (”Evergreen-tjänst”) och anpassas löpande i takt med att förutsättningarna förändras, exempelvis när hotaktörer ändrar taktik och metodik.

    Fronts tjänster kan användas var för sig eller i sin helhet. Vi rekommenderar helhetslösningen, eftersom dagens alltmer avancerade hot ställer krav på att skydda hela IT-miljön, inte bara enskilda objekt.

    Förhindra och upptäck cyberhot

    Skydda din verksamhet mot cyberattacker genom förebyggande åtgärder och förmåga att upptäcka intrång med vår hanterade säkerhetstjänst.

    Systematiskt IT- och cybersäkerhetsarbete

    Vi blir er strategiska partner som ökar er motståndskraft mot cyberhot.

    Utbildning

    Intelligent simulering och träning som stärker säkerhetsmedvetandet inom hela organisationen.

    Vill du veta mer?

    Christian Hellemar
    Tjänsteområdeschef Cybersäkerhet

    033-23 70 08
    christian.hellemar@teamfront.se