Vietnam Cyberspace Security Technology (VNCS)

Giới thiệu Dịch vụ VNCS SoC

 Nội dung

1. Giới thiệu nhanh VNCS

2. Phương pháp tiếp cận triển khai dịch vụ
3. Mô hình triển khai dịch vụ

1
Company Quick Introduction

Distribution Service Development

3
1. ABOUT VNCS - HISTORY
 Founded in 2011, subsidiary of Hanoi Telecom Corporation
 Vietnamobile – 092/056/058), Internet,
1800/1900, VAS, transmission , IT.
VoiP (172), DSD Model
 ~ 1 Billion USD investment
 Founded in 2001; 2000 employees Distribution
 VNCS: Network security solutions and services
 Registered Capital: 1 mil USD.
 Achievements:
 Sao Khue Award 2014
Service
 Vietnam IT Talent Award 2014
 ICT Asian Award 2014
 Vietnam Best Quality Information Security Product Vendor
2015, 2016
 Vietnam Best Quality Information Security Service Provider in Development
Vietnam 2018
 Forescout Rookie of the Year 2018 APAC
 Revenue Growth rate: 50-100% annually
 2. PRODUCTS & SERVICES (1)

DISTRIBUTION 201
2018

2017

2011 2012 2013 2014 2015 2016 2017 2018 2019

DEVELOPMENT

FIRST
FIRST STEP
STEP

11 11
 2. PRODUCTS & SERVICES (2)
Developed Products & Services

Centralized management 1 4 Statistics

Analysis Automation 2 5 Up/Down Website

Monitoring

DEVELOPED BY VNCS
Manual analysis 3 6 Defaced Website
Monitoring
SERVICES Portfolio:
 Security consulting services (Follow BS 7799, ISO /IEC 27001).
 Security monitoring and response services (SIEM/SOC services)
 Pentest and Internal network audit services
 Website and application pen-test and secured code services

16 16
 3. VNCS CAPABILITY (1)
Certificates

Certificates Count
Splunk Architect 04

RCSS Radware 03

CEH 06

ECSA of EC-Council 03

GSEC of SANS 02

ISO Auditor 02

CCNP of Cisco 03

FSCA of Forescout 02

Most of Distributing Product Vendors Certificates 08

7 7
 3. VNCS CAPABILITY (1)
Notable Projects

Support build National

Provide specialized SOC using Splunk and Provide Secure
Provide operational
solutions in IT security VNCS Web Monitoring Provide Splunk Privileged Password
monitoring solution for
for Ministry of Public solutions for Authority solutions for Vietnam Management for VNPT
Viettel video platform
Security’s departments of Information security - security depository Media Network -
Ministry of BeyondTrust
Communication

 NAPAS serves as an intermediary payment

 One of biggest Telco in Vietnam  A member of Vingroup, owns VinMart
gateway to manage interbank
 Using the big license: 250 GB/day supermarkets, VinPro Electronics Center,
transactions across the nation.
 Apply Splunk to issue multiple use cases: Adayroi.com
 Start from 10 GB/day for IT Ops and
IT Ops, Network Monitoring, Business  Current license: 100 GB/day
entire Vietnam interbank transaction
Application Monitoring and Fraud  Using Splunk to monitor entire
monitoring
Detection, SIEM Vincommerce e-platform and IT
 Upgrade to 50 GB/day to apply in
 Provide VM and pentest services infrastructure
security monitoring with Splunk ES

Page
8 48
 ACTIVITIES (1)
Active member of VNISA (BOD member in 2019 onwards) and government activities

Page
20 420
 ACTIVITIES (2)
Brand Awareness Events Partner Enablement Events/ Cross-Brand Events

Reseller – Distributor Event VNCS Conf Day

21
 ACTIVITIES (3)
Radware Solution Day Support Plan for FIS, CTIN, HIPT get Splunk Certified Architect

BeyondTrust Partner Exchange

Page 422
 ACTIVITIES (4)

Splunk Key Partner RoundTable VNCS received the award for the best new distributor of
APAC in 2018 by ForeScout

Page 423
Phương pháp tiếp cận dịch vụ

Distribution Service Development

13
 Key Challenges

APT ATTACK COST & EFFECTIVENESS

Existing blocking and Detective, preventive, response and
prevention capabilities are predictive capabilities from vendors
insufficient to protect against have been delivered in on
motivated, advanced attackers. integrated silos, increasing costs
and decreasing their effectiveness.

PREVENTION ONLY CONTINUOUS VISIBILITY

STRATEGIES Information security doesn't have the
Most organizations continue to continuous visibility it needs to detect
overly invest in prevention- advanced attacks.
only strategies.
Continuous Adaptive Risk and Trust
To securely enable digital business initiatives in a
world of advanced, targeted attacks, security and risk
management leaders must adopt a continuous
adaptive risk and trust assessment (CARTA)
approach to allow real-time, risk and trust-based
decision making with adaptive responses. Security
infrastructure must be adaptive everywhere, to
embrace the opportunity — and manage the risks —
that comes delivering security that moves at the
speed of digital business
www.vncs.vn 20
SECURITY OPERATION CENTER

www.vncs.vn 21
What is a Security Operations Center (SOC)?

Security Centralized location(s) where key IT

Operations systems of an organization are monitored,
Center assessed and defended from cyber
attacks.

PRIMARY GOAL: Reduce risk via improved security

www.vncs.vn 22
Architecture of SOC

Threat and
Device Incident
Processes Management
Vulnerability
Response
Management

Security Software Incident

Level 2 Handlers
Analysts Engineers
People
Level 1 Security Operators

Software Security Information and Event Management

(SIEM)

Security and Network Devices

Hardware
www.vncs.vn 23
Three Interrelated Components of a SOC

• Adaptive Architecture
• Leverage Advanced Analytics
• Automate Your Responses
• Integrated Threat Intelligence
• Hunt and Investigate

www.vncs.vn 26
Process
Threat Modeling & Playbooks

• Intellectual property or customer data loss,

What threats does the
1 organization care about?
compliance, etc.
• Prioritize based on impact

What would the threat • How it would access and exfiltrate

2 confidential data
look like?

• Requires machine data and external context

How would we
3 detect/block the threat?
• Searches or visualizations that would detect it
(correlated events, anomaly detection, deviations
from a baseline, risk scoring)

What is the • Severity, response process, roles and

4 playbook/process for each
responsibilities, how to document, how to
remediate, when to escalate or close, etc.
type of threat?

www.vncs.vn 28
Simplified SOC Tiers

• Monitoring
ALERTS FROM:
• Security Intelligence
TIER • Opens tickets, closes false positives
Platform 1 • Basic investigation and mitigation
• Help Desk
• Other IT Depts.
TIER • Deep investigations
2 • Mitigation/recommends changes

• Advanced investigations
TIER • Prevention
3+ • Threat hunting
• Forensics
(MINIMIZE
INCIDENTS • Counter-intelligence
REACHING THEM) • Malware reverser

www.vncs.vn 29
Other Process Items

Involve Outside Groups to Assist

• Business people, IT teams
• Threat modeling, investigations, remediation

Incorporate Learnings Into the SOC and

Organization
• Adjust correlation rules or IT configurations, user education, change business
processes

Automate Processes
• Security intelligence platform custom UIs to accelerate
investigations and alerting, ticketing system

www.vncs.vn 30
People
Types of People

Multiple roles with different background, skills, pay levels, personalities

SOC Director

Forensics Malware
SOC Architect Tier 1 Analyst Tier 2 Analyst Tier 3 Analyst
Specialist Engineer

On-the-job training and mentoring, and external training & certifications

Need motivation via promotion path and challenging work
Operating hours and SOC scope play key role in driving headcount

www.vncs.vn 32
Different Skillsets Needed

Role/Title Desired Skills

Tier 1 Analyst Few years in security, basic knowledge of systems and networking

Tier 2 Analyst Former Tier 1 experience, deeper knowledge of security tools,

strong networking / system / application experience, packet
analysis, incident response tools
Tier 3 Analyst All the above + can adjust the security intelligence platform, knows
reverse engineering/threat intelligence/forensics
SOC Director Hiring and staffing, interfacing with execs to show value and get
resources, establishing metrics and KPIs
SOC Experience designing large scale security operations, security tools
Architect and processes
www.vncs.vn 33
Technology
Line Defense

Inbound Defense (IPS/IDS, Firewall, email filtering, ..)

Endpoint Protection (Anti-virus, Anti-malware, EDR, ..)

East-West Network Defense (Isolation, sandbox, ..)

Outbound Defense (NGFW, DLP, ..)

Cloud protection

www.vncs.vn 35
Need Security Intelligence Platform (SIEM + more!)

Industrial
Control
Authentication Monitoring, Ad Hoc Custom Analytics And Developer
Data Loss
Correlations, Search & Dashboards Visualization Platform
Prevention
Alerts Investigate And Reports
Email

Web Firewall Meets Key Needs of SOC Personnel

Vulnerability
Scans
Real-time
Security Intelligence Platform
DHCP/ DNS

Machine Data
Mobile

Intrusion
Servers Detection Custom External Lookups / Enrichment
Apps
Anti-Malware
Network
Flows
Asset Employee Threat Applications Data
Storage Info Info Feeds Stores
Badges
Cloud
Apps

36
www.vncs.vn 36
 © 2017 SPLUNK INC.

Network

Web Proxy
Threat Intelligence
Firewall

WAF & App

Orchestration
Security

Cloud Endpoints
Security

Identity and Access

Connect the “Data-Dots” to See the Whole Story
Threat Pattern
Delivery, Exploit Gain Trusted Upgrade (Escalate) Data Gathering Exfiltration Persist,
Persist,Repeat
Repeat
Installation Access Lateral Movement

• External threat intel Attacker, know C2 sites, infected sites,

• Internal threat intel IOC, attack/campaign intent and
Threat Intelligence • Indicators of compromise attribution

• Firewall • Malware sandbox Where they went to, who talked to whom,
• IDS / IPS • Web proxy attack transmitted, abnormal traffic, malware
Network
Activity/Security • Vulnerability scanner • NetFlow download

• Endpoint (AV/IPS/FW) • DHCP What process is running (malicious, abnormal,

• ETDR • DNS etc.) Process owner, registry mods,
• OS logs • Patch mgmt attack/malware artifacts, patching level, attack
Endpoint
Activity/Securit
susceptibility
y
• Active Directory • Operating System Access level, privileged users,
• LDAP • Database likelihood of infection, where they
Authorization – • CMDB • VPN, AAA, SSO might be in kill chain
User/Roles

www.vncs.vn 38
Dịch vụ VNCS SOC

Distribution Service Development

39
Hiện trạng và nhu cầu
Nhiều tổ chức và doanh nghiệp vẫn gặp rất nhiều khó khăn cụ thể như sau:

- Nguồn lực vận hành an toàn thông tin tại các đơn vị đang có sự thiếu hụt.

- Nhân viên vận hành an toàn thông tin đang phải kiêm nhiệm nhiều vai trò khác nhau và chưa được đào
tạo chuyên sâu

- Các cuộc tấn công an toàn thông tin có thể diễn ra bất cứ khung thời gian nào tuy nhiên các đơn vị chưa
có nguồn lực giám sát an toàn thông tin 24/7

- Các đơn vị vẫn thường phản ứng thụ động trước các cuộc tấn công và thiếu hụt khả năng phân tích
cũng như điều tra nguồn gốc các cuộc tấn công

=> Dịch vụ giám sát và vận hành an toàn thông tin (VNCS SOC) nhằm hỗ trợ các đơn vị giám sát hiện
trạng an toàn thông tin 24/7 và kịp thời phản ứng nhanh chóng với các nguy cơ ,các cuộc tấn công mạng
Phạm vi cung cấp dịch vụ - Thông tin đầu ra

 Giám sát từ xa (24x7) hiện trạng bảo mật toàn bộ hệ thống đáp ứng Thông tư 31/2017/TT-BTTT

 Cảnh báo xâm nhập, malware, nguy cơ tấn công mạng

 Cảnh báo traffic bất thường, hoạt động bất thường trên các hệ thống

 Rà soát lỗ hổng bảo mật trên các hệ thống

 Báo cáo định kỳ (hàng tháng) về hiện trạng bảo mật và các nguy cơ lớn xảy ra đối với hệ thống

 Hỗ trợ (hướng dẫn) xử lý một số sự cố nghiêm trọng từ xa

 Vận hành các giải pháp an toàn thông tin (SIEM, Firewall, IPS, Endpoint Protection, DDoS Protector ...)
Các nguồn thông tin đầu vào

 Cài đặt Agent (Forwarder) trên các máy chủ quan trọng và máy chủ dịch
vụ như DNS, AD, Web, Mail, Cổng TTĐT, Dịch vụ công...

Thu thập log từ các thiết bị mạng và thiết bị bảo mật: Routers, Switch,
Fortinet, Bluecoat, Sophos....

Thu thập Netflow từ Core Switch (SPAN Port)

Thông tin lỗ hổng thông qua việc quét lỗ hổng định kỳ

43
44
Các mức độ cung cấp dịch vụ - Tùy chọn dịch vụ

 Vận hành hạ tầng bảo mật (Firewall, IPS, Ddos Protector, SIEM...)

Báo cáo định kỳ (hàng tháng) về hiện trạng bảo mật và các nguy cơ lớn xảy ra
đối với hệ thống

 Giám sát an toàn thông tin: Chỉ giám sát, đưa ra cảnh báo và hướng dẫn xử lý

 Phản ứng sự cố: Hỗ trợ và tham gia xử lý các sự cố an toàn thông tin (manual
và hướng tới xử lý tự động)
Một số lợi thế của VNCS SOC
Lợi thế Mô tả
Sử dụng giải pháp thương mại Sử dụng Splunk, Acunetix, Tenable và các giải pháp thương
để đảm bảo chất lượng mại nổi tiếng trên thế giới.

Khả năng monitor và phân tích events real time từ không

Sử dụng nền tảng Bigdata
giới hạn nguồn dữ liệu / đảm bảo hiệu năng cao

Dễ dàng thay đổi dashboard / alert / report theo nhu cầu

Khả năng thay đổi / mở rộng
thực tế và phục vụ báo cáo

Hỗ trợ nghiên cứu và áp dụng Có sẵn các ứng dụng hỗ trợ áp dụng các giải thuật machine
machine learning learning vào các bài toán thực tế

Có khả năng cung cấp dịch vụ (auto response) trong giai

Phản ứng sự cố
đoạn 2 theo yêu cầu của khách hàng
Cung cấp API và SDKs để kết nối đến và đi từ các hệ thống
Nền tảng mở
khác www.vncs.vn 46
Vietnam Cyberspace Security Technology (VNCS)

Q&A
Vietnam Cyberspace Security Technology (VNCS)

THANK YOU