Cybersäkerhet

Läs mer → Insyn i varje datapaket

Effektiv cybersäkerhet börjar med insyn. Vi analyserar inte bara loggar – vi spelar in och speglar varje paket som rör sig genom ert nätverk. Det ger en komplett bild av både legitim och potentiellt skadlig trafik. Vi fångar helheten: allt från DNS-förfrågningar till interna databasfrågor och externa API-anrop. Det innebär att ni kan gå tillbaka i tiden, undersöka incidenter på djupet och svara med bevis. Det är inte bara säkerhet – det är forensisk kapacitet.

Transparent övervakning utan prestandapåverkan

Vår nätverksövervakning sker via TAP/SPAN och är passiv – den påverkar inte datatrafiken. Alla datapaket skickas till vår sensormiljö där Owl Network Security, Suricata och Zeek arbetar tillsammans för att analysera protokoll, identifiera applikationer, räkna sessionsflöden och upptäcka misstänkta mönster.

Från trafik till kontext

Vår plattform går från råtrafik till kontext. Det innebär att vi vet om en användare faktiskt öppnat en bilaga, om en enhet försöker skanna nätverket, eller om ett ovanligt protokoll plötsligt dyker upp. Vi kopplar trafikflöden till identiteter, enheter och användaraktiviteter – och kan på så sätt kartlägga varje händelse tillbaka till en källa.

Systemloggar, användarbeteende och filövervakning

Nätverksanalysen kompletteras av Wazuhs insamling av systemloggar, FIM och användarbeteende. Vi upptäcker när någon loggar in från en ny klient, när rättigheter förändras eller när en fil raderas – oavsett om det sker via GUI, terminal eller fjärrprotokoll.

OpenSearch – samlad analys i realtid

Alla datapunkter samlas, aggregeras och indexeras i OpenSearch. Det är vår nav för hotanalys – en kraftfull sökmotor med realtidskapacitet, där ni inte behöver olika verktyg för olika loggtyper. Allt finns i samma dataplattform – korrelerat, sökbart och visualiserbart.

Djupanalys med Apache Spark

Apache Spark används för att bearbeta stora datamängder och skapa statistik, trender och detektera långsamma attacker som annars undgår traditionell övervakning.

MITRE ATT&CK som tolkningsram

Alla avvikelser analyseras mot MITRE ATT&CK-modellen. Det innebär att vi kan avgöra om en handling är del av initial access, persistence, exfiltration eller C2. Ni får en taktisk analys, inte bara ett logglarm.

Det här övervakas i realtid

• Intern trafik mellan klienter, servrar, IoT och containers
• All utgående trafik – inklusive DNS, DoH, SMTP och TLS
• Laterala rörelser mellan interna subnät
• Signaler på dataläckage eller okrypterad känslig trafik

AI-driven respons med PyTorch

Kopplat till AI-modeller i PyTorch kan vi avgöra när något bör stoppas – automatiskt. Wazuhs Active Response isolerar, blockerar eller notifierar enligt risknivå – men först efter analys.

Beteendeprofiler – unika för er miljö

Alla analyser tränar vår modell för just er. Vi bygger en levande profil av ert normala beteende och slår larm när något bryter mot det. Det är inte bara en bättre metod – det är en metod som blir bättre för varje dag.

Självförsvarande, insiktsfullt och framtidssäkrat

Ni får ett skydd som inte bara reagerar, utan förstår, lär och agerar. Det är nästa generations nätverkssäkerhet – tillgängligt redan idag.

Läs mer → Varför traditionell säkerhet inte räcker längre

Cyberhot blir allt mer kontextuella, långsamma och svårupptäckta. Dagens angrepp sker inte alltid med kända signaturer – de sker i skiftande former, ofta i flera steg, där varje del för sig ser ofarlig ut. Det gör att traditionella säkerhetssystem missar dem.

AI + korrelation = nästa generations hotdetektion

Vår plattform bygger på en kombination av maskininlärning, signalanalys och korrelerad hotmodellering. Genom att samla in data från hela miljön – nätverk, loggar, system, användare och applikationer – och analysera det i realtid, kan vi upptäcka mönster som annars förblir dolda.

Verktyg vi använder i analyslagret

• Wazuh – för händelser, beteenden och loggar
• Owl Network, Suricata, Zeek – djup nätverkstrafikinspektion
• ESET Security Management – antivirus, antispyware, threat intelligence och endpointkontroll
• OpenSearch – central lagring, indexering och korrelation
• Apache Spark – distribuerad beteendeanalys och mönsterigenkänning
• PyTorch – AI-modeller tränade på er data
• MITRE ATT&CK – ramverk för taktisk tolkning

Vad vi upptäcker

• Ovanliga mönster i användarbeteenden
• Anomal fil- och nätverksåtkomst
• Laterala rörelser mellan interna system
• Små förändringar i rättigheter, processer eller systemfiler
• Oväntade sekvenser av händelser som tillsammans bildar ett hot

Varje upptäckt får en taktisk kontext

För varje avvikelse räknar vi ut sannolikhet, allvarlighetsgrad och klassificering enligt MITRE. Ett nattligt inloggningsförsök från en ny IP? En admin som ändrar 200 rättigheter på 5 minuter? Systemet förstår att det är ett hot – även om inget signaturbaserat verktyg hade reagerat.

Självlärande och förbättring över tid

Systemet lär sig hur just er miljö beter sig. Ju mer data som flödar in, desto mer skärps precisionen. Det innebär inte bara färre falsklarm – utan snabbare upptäckt av verkliga hot. AI:n blir er digitala medarbetare, tränad för er miljö.

Resultat: Proaktiv detektion med kontext

Ni får en hotdetektering som inte bara reagerar – utan förstår. Det är inte en lista med loggar, utan en prioriterad bild av vad som faktiskt händer, vad som är farligt, och vad som behöver åtgärdas först.

Läs mer → Skydd på filnivå – i realtid

Filövervakning är ett av de mest underskattade men mest kraftfulla sätten att upptäcka attacker tidigt. Genom vår FIM-lösning (File Integrity Monitoring) får ni realtidsövervakning av både filändringar och filåtkomst – inklusive vem som öppnat, kopierat, exekverat eller raderat känsliga filer.

Vi loggar inte bara ändringar i metadata – vi loggar filinteraktioner. Om en användare plötsligt öppnar hundratals dokument, eller ett okänt skript försöker läsa av hela hemkatalogen, triggar vårt system ett larm. Detta är centralt för att kunna upptäcka spionprogram, datastölder och insiderhot.

Vi övervakar även vilka processer som försöker läsa eller skriva till filer – och kan koppla detta till nätverkstrafik, användarsessioner och beteendeanalyser. All information samlas in med full kontext: vilken fil berördes, av vem, via vilken applikation eller process, från vilken källa, samt exakt tidpunkt och mönster.

Spårbarhet och återställbarhet

Varje filändring – även om den görs via script eller CLI – registreras med hashvärde, metadata och användarkonto. Det innebär att ni inte bara får ett larm – ni får spårbarhet, bevisvärde och möjlighet till rollback. Vi skiljer dessutom mellan förväntade förändringar (t.ex. via patchning) och oväntade beteenden, så att ni inte överöses av irrelevanta varningar.

Kontroll på systemets grundnivå – SCA

Med hjälp av SCA (System Configuration Assessment) analyserar vi era operativsystem, konfigurationer, tjänster och behörigheter mot hårdningsprinciper och säkerhetsstandarder som CIS Benchmarks och NIST. Vi upptäcker t.ex. utdaterade kärnversioner, aktiva men oanvända tjänster, konton utan 2FA, eller felaktig loggkonfiguration.

FIM + SCA = förstärkt detektionsförmåga

När filövervakning kombineras med konfigurationsanalys uppstår ett kraftfullt lager: Vi vet inte bara att något har ändrats – vi vet om ändringen är ett avsteg från godkänd policy, och om den är del av ett större angreppsmönster.

Exempel: Om en administratör höjer sin egen behörighet, ändrar loggnivån och sedan skapar en ny användare – då reagerar vår AI-modell och triggar direktlarm.

OpenSearch + Spark: Förstå mönstret

Alla dessa datapunkter skickas till vår analysplattform och korreleras med övrig loggdata i OpenSearch. Där byggs en tidslinje upp och analyseras i Apache Spark, vilket gör det möjligt att se avvikelser som annars verkar oskyldiga var för sig – men farliga i kombination.

Automatiserad riskklassificering

Vår analysmotor klassificerar alla händelser enligt MITRE ATT&CK och interna riskmodeller. Vissa ändringar leder till observatörer, andra till larm – och vissa till automatisk isolering av det berörda systemet.

Läs mer → Kontext är nyckeln

Att något avviker är inte alltid farligt. Därför bygger vi vår detektion på en kontextmedveten avvikelsemodell. Det innebär att vi inte bara upptäcker att något händer – vi bedömer hur ovanligt det är för just den enheten, den användaren, den tiden och det sammanhanget.

Exempel:

• En användare loggar in från en ny plats klockan 03:12 – och begär åtkomst till ett arkiv han inte använt på 6 månader.
• En skrivare börjar plötsligt prata HTTP mot en fjärradress.
• En domänanvändare skapar en ny admin i Active Directory.

Alla dessa beteenden kan vara legitima – eller inte. Det är avvikelsen från ert "normala" som räknas.

Beteendeprofilering

Systemet bygger kontinuerligt upp en unik profil för varje användare och system: vilka filer de arbetar med, vilka system de rör vid, vilka tider de är aktiva, och vilken typ av aktivitet som hör till deras roll. När något sker utanför dessa gränser höjs ett larm – men bara om mönstret inte passar in. Det minskar antalet falska larm och ökar precisionen.

AI-träning på just er miljö

Det som är normalt i en miljö är inte normalt i en annan. Därför tränas våra AI-modeller kontinuerligt med data från just er miljö. Det gör att ni får ett skräddarsytt beteendemönster, inte ett generiskt.

Interna hot – svårast att upptäcka

Insiderhot är bland de svåraste att upptäcka – men också bland de mest skadliga. Därför fokuserar vi på att identifiera:

• Rättighetsmissbruk
• Ovanliga dataöverföringar
• Oväntade administratörsåtgärder
• Filaccess som sker "i det tysta"
• Manuell nedkopiering till USB eller molntjänst

Allt korreleras med loggar och trafik

Detta är inte isolerade varningar. Alla avvikelser från beteendeprofilen korreleras i OpenSearch tillsammans med systemloggar, nätverksflöden, filövervakning och Spark-analys. Ni får en helhetsbild – inte en gissning.

Simuleringar med MITRE ATT&CK (Beta)

Som ett led i vår utveckling arbetar vi just nu i ett beta-stadie med att implementera simulerade angreppsscenarier baserat på MITRE ATT&CK. Det innebär att vi iscensätter verkliga attacker i kontrollerade miljöer – utan att orsaka skada – för att se hur väl våra system upptäcker, klassificerar och svarar på dessa.

• Validera att våra modeller faktiskt fångar angrepp i verkligheten
• Utvärdera hela kedjan från upptäckt till respons
• Justera AI och regler för att minska blinda zoner

Det är nästa steg i att skapa ett system som inte bara reagerar – utan bevisligen fungerar.

Läs mer → Begränsa hotytan vid gränsen

Vårt nätverksskydd börjar redan innan angreppen når in. Med hjälp av GeoIP-baserad blockering kan ni förhindra trafik från högriskländer, regioner utanför era verksamhetsområden eller hela kontinenter – redan i perimetern. Det är särskilt värdefullt för exponerade tjänster som VPN, e-postportaler, eller API:er.

Exempel: Ett autentiseringsförsök från Nordkorea eller en portskanning från ett datacenter i Kina blockeras direkt – utan att belasta systemet internt.

Intern segmentering – stoppa spridning

Genom nätverkssegmentering hindrar vi lateral rörelse – att angripare sprider sig mellan enheter. Vi arbetar med mikrosegmentering, VLAN, och larm vid otillåten kommunikation. Ett intrång blir isolerat, inte ett totalt haveri.

Honeypots – en självklar grundkomponent i modern IT-säkerhet

I en tid där det inte längre handlar om om ett intrång sker utan när, är passiva detektionsmetoder avgörande. En honeypot är ett av de mest kostnadseffektiva sätten att tidigt upptäcka angrepp – särskilt de som annars flyger under radarn. Vi rekommenderar starkt att varje säkerhetsmedveten IT-miljö har minst en form av honeypot aktiv.

Så fungerar det

En honeypot är en kontrollerad miljö som är avsiktligt synlig för angripare men isolerad från produktionsdata. Den kan se ut som en filserver, inloggningssida, API eller SSH-tjänst – men har bara ett syfte: att avslöja den som försöker bryta sig in.

Varför det fungerar

Angripare letar. Och när någon "letar" – t.ex. skannar portar eller testar lösenord – reagerar vår honeypot omedelbart. Det ger er ett fönster att agera innan något händer på riktigt.

Anpassat efter miljö

Vi kan sätta upp honeypots som virtuella maskiner, containers, molntjänster eller interna system – och matcha dem mot ert nätverkssegment. Alla interaktioner loggas, MITRE-taggas och korreleras i er plattform.

Realtidskorrelation med OpenSearch

Data från geoblockering, segmentering och honeypots skickas till OpenSearch för korrelation. Där analyseras det i Apache Spark och kopplas till användardata, filsystem och nätverksflöden. Ni får en komplett bild av försök, metoder och mål – i realtid.

Läs mer → Kontinuerlig övervakning – dygnet runt

Vår säkerhetsplattform är inte bara ett analysverktyg – den är kopplad till ett dedikerat Security Operations Center (SOC). Här övervakas alla loggar, trafikflöden, avvikelser och beteendemönster i realtid. Ni står aldrig ensamma i en incident – vi har ögonen på er miljö dygnet runt.

Från upptäckt till åtgärd – utan fördröjning

Tiden är kritisk. Därför arbetar vi med en direkt incidentpipeline. När något inträffar:

• Händelsen fångas upp av analyslagret (Wazuh, Suricata, OpenSearch, etc.)
• Den klassificeras automatiskt enligt MITRE ATT&CK och interna riskmodeller
• En åtgärdsplan triggas – automatiskt eller manuellt
• Åtgärder kan inkludera: blockering, isolering, notifiering, dokumentation

Alla steg loggas så att ni har full transparens.

Precisionsåtgärder – blockera porten, inte hela systemet

Till skillnad från traditionell respons där hela system isoleras, kan vi med hjälp av Spark och Wazuh agera med kirurgisk precision. Vi kan blockera enskilda IP-adresser, portar eller processer direkt på klienten eller servern – utan att stoppa hela verksamheten.

Exempel: Ett skript försöker ansluta till en C2-server via port 8081 → blockeras omedelbart.
Ett externt IP smyger via DNS-tunnel → stängs ute på klientnivå.
En lokal process startar powershell.exe med avvikande flaggor → stoppas direkt.

AI-stödd triagering och respons

Vår AI hjälper våra SOC-analytiker att gruppera, prioritera och förstå händelser snabbare. Det ger färre falsklarm och mer tid till det som spelar roll.

Forensik och djupanalys

Vid allvarliga incidenter samlar vi in: loggar, nätverksdata, filaktiviteter, användarsessioner och ändringshistorik. Allt sparas, analyseras och kan användas för både teknisk insikt och juridisk bevisning.

GDPR och rapportering

Alla incidenter bedöms också ur ett dataskyddsperspektiv. Om händelsen indikerar att personuppgifter kan vara påverkade flaggas det direkt som en GDPR-händelse. Vi bistår med notifieringar, rapportering och dokumentation enligt krav från GDPR och NIS2.

Läs mer → Fullständig kryptering – oavsett var ni befinner er

Vår VPN-lösning skapar en säker tunnel mellan klient och infrastruktur – perfekt för distansarbete, fjärrkontor och externa integrationer. All trafik krypteras, vilket skyddar mot avlyssning, manipulering och attacker över osäkra nätverk.

Inspektion av krypterad trafik

Till skillnad från traditionella VPN-lösningar avslutas tunneln inom vår infrastruktur, där trafiken granskas i realtid. All nätverkskommunikation som passerar VPN analyseras i Wazuh och korreleras i OpenSearch – för att identifiera säkerhetshot, avvikande trafikmönster och misstänkta åtkomstförsök.

MFA – en ny standard

Alla anslutningar kräver flerfaktorsautentisering. Det säkerställer att endast verifierade användare kan nå systemet, och möjliggör spårbarhet och kontroll även vid fjärranslutning.

Intelligent analys – inte övervakning

Vi loggar inte vilka hemsidor användaren besöker. Däremot analyseras nätverksflöden och sessionsbeteende för att upptäcka avvikelser, som ovanliga protokoll, stora mängder nedladdad data, eller fjärrkommandon som inte hör till användarens normala mönster. Analysen fokuserar på säkerhet – inte individens webbanvändning.

Full policykontroll från centralt håll

VPN-tjänsten är integrerad i vår säkerhetsplattform, vilket ger stöd för:

• Split tunneling eller full tunnel beroende på roll
• Kill switch vid avbruten anslutning
• Riskbaserad larmtröskel vid mönsteravvikelse
• Tids- och platsbaserade åtkomstregler

Integrerat skydd som en del av helheten

VPN är inte bara en säker transportkanal – den är en fullt integrerad komponent i vår säkerhetsarkitektur. All data som passerar tunneln analyseras med samma kraftfulla analyslager som för lokal trafik, vilket möjliggör snabb upptäckt av hot – oavsett varifrån användaren ansluter.