JAK USŁYSZEĆ TO, CO NAPRAWDĘ ISTOTNE?


Otwierasz laptopa, bierzesz porannego łyka kawy i wtedy pojawią się one… informacje o incydencie bezpieczeństwa.

CO ROBISZ?

Fałszywy alarm? A jeśli nie?! Co i skąd wyciekło, gdzie się zalogować i czy warto informować kolegę przy biurku obok? A może ufasz w swoje umiejętności, dzięki którym w końcu poradzisz sobie z przetworzeniem informacji? Przed Tobą godziny analizy i mnogość możliwości. To będzie długi dzień, a czas już płynie… A jeżeli zdajesz sobie sprawę z powagi sytuacji i możliwych konsekwencji? Pędem wybiegasz z pracy mając nadzieję, że nikt Cię nie zauważył? Gdzieś pomiędzy tymi opcjami ukryta jest alternatywa, sposób na cały ten zgiełk.

ALE NAJPIERW GARŚĆ FAKTÓW O SYTUACJI BEZPIECZEŃSTWA W POLSCE

  • Rocznie każde przedsiębiorstwo doznaje w Polsce średnio 126 cyberataków
  • Liczba incydentów naruszających bezpieczeństwo wzrosła w Polsce w skali roku o 46% (na świecie 39%)
  • Dla 72% firm cyberbezpieczeństwo wciąż postrzegane jest bardzo wąsko i traktowane tylko jako część – a nawet problem – działu IT
  • Tylko 46% firm w Polsce przyjęło sformalizowane zasady bezpieczeństwa, na świecie 91%
  • W żadnej ze skontrolowanych jednostek nie opracowano rzetelnego planu zapewnienia bezpieczeństwa. Podobnie jak nie stwierdzono prawidłowo funkcjonującego systemu reagowania na incydenty związane z bezpieczeństwem informacji” – tak zaczyna się ostatni raport NIK: „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej”

ALTERNATYWA

Możesz spokojnie dopić kawę. Masz system, który zbiera i porządkuje spływające informacje, a nawet więcej – przypisuje im znaczenie. System, który powoduje, że duży wolumen spływających danych przestaje być chaosem informacyjnym, a staje się realnie możliwy do wykorzystania w procesach zarządczych i administracyjnych. Zarówno w kontekście biznesowym, jak i informatycznym.

SecureVisio działa w obszarze administracji systemowej, zarządzania ryzykiem i kontroli realizacji wymagań narzuconych w organizacji. System można przedstawić jako zestaw zsynchronizowanych narzędzi, takich jak:

  • Elektroniczna dokumentacja zabezpieczeń
  • Baza wiedzy eksperckiej bezpieczeństwa IT
  • Specjalistyczne narzędzia:
    • Modelowania zagrożeń
    • Audytowania bezpieczeństwa
    • Szacowania ryzyka
    • Oceny wpływu incydentu
    • Symulacji awarii
  • Moduł integracji z SIEM, zabezpieczeniami sieci (FW, IPS, itp.), Vulnerability Assessment i bazą CVE®
  • Moduł raportowania i alarmowania

Dodatkowo, w podstawowej formie dostępne są moduły analizy behawioralnej – zarówno w odniesieniu do użytkowników, jak i sieci. Obecnie to właśnie te elementy są intensywnie rozwijane.

TRUDNE POCZĄTKI 

Każdy praktyk zgodzi się z twierdzeniem, że zapewnienie bezpieczeństwa teleinformatycznego nie jest pojedynczym zdarzeniem, a procesem, często pracochłonnym i żmudnymSecureVisio jest systemem, w którego powstawaniu mieli, a w rozwoju mają udział wysokiej klasy specjaliści w dziedzinie bezpieczeństwa oraz naukowcy parający się różnymi dziedzinami nauk informatycznych i pokrewnych. System z założenia jest kondensatem ich wiedzy i doświadczenia. Implikuje to wymuszanie pewnych kroków wdrożeniowych, które nie mogą być pominięte przy prawidłowej pracy inicjalnej.

Wdrożenie SecureVisio jest tak żmudne, jak potrafi być „w realu” proces ustanawiania i egzekwowania procedur bezpieczeństwa w przedsiębiorstwie. Pierwszą czynnością prowadzącą do zapewnienia bezpieczeństwa jest lokalizacja i dokumentacja zasobów; zarówno czynnych jak i tych, które trzeba zabezpieczyć. Bez tego kroku możemy osiągnąć co najwyżej namiastkę bezpieczeństwa. Mapowanie zasobów jest procesem z pogranicza informatyki i biznesu, tworzenie reguł korelacyjnych – również. Podstawą, co zresztą wymusza SecureVisio, jest uporządkowanie organizacji, procesów informatycznych i nie tylko.

A CO W ZAMIAN?

System oddaje z nawiązką to, co się w niego włoży. Z pewnością trudno przecenić utworzone mapy logiczne i fizyczne, które są automatycznie aktualizowane, a prawidłowo opisane i skorelowane z modułem SIEM – mogą dawać jasny obraz obecnej sytuacji oraz zagrożeń. Można na nich symulować awarię poprzez wyłączanie umieszczonych tam komponentów i obserwować efekty.

Elektroniczna dokumentacja, zawsze aktualna i dostępna w znanym i określonym miejscu, również może stanowić miłą odmianę często spotykanej sytuacji.

 

Prawidłowo skonfigurowany SIEM poda od razu nie tylko dane techniczne, ale również przełożenie na działalność organizacji. Jeżeli jesteśmy w stanie wycenić finansowo poszczególne aspekty działalności – w raporcie można zażyczyć sobie, aby straty finansowe również były przedstawione. Zatem bardzo łatwo w tej sytuacji stwierdzić, czy np. zapewnienie redundancji danego obiektu będzie się opłacało finansowo, w kontekście możliwości strat materialnych, które wynikną w przypadku jego awarii. Że o wizerunkowych nie wspominając… Może się też okazać, że inny element umieszczony na mapie nie jest krytycznym dla produkcji i nie ma potrzeby inwestowania w jego nadmiarowość, czy aktualność zabezpieczeń. Przykładem mogą być wydzielone struktury LABowe, bądź topologie DTAP.

Na uwagę niewątpliwie zasługuje moduł SIEM. Początkowo założeniem było, aby SecureVisio potrafił jedynie zbierać raporty z zewnętrznych źródeł i dodatkowo korelować je w aspekcie biznesowym. Nastąpił jednak mocny rozwój tego modułu – i obecnie w systemie znajduje się pełnoprawny i bardzo skuteczny SIEM, z imponującą i ciągle rozwijaną bazą parserów, podłączony do bazy wiedzy eksperckiej. Reguły korelacji potrafią wiązać zadane incydenty i przedstawiać je w różnej formie, strawnej dla różnych służb w organizacji. Dla przykładu – Dział Informatyki w banku dostanie komunikat o flapującym porcie X, switcha Y, w MDFie Z, a Dyrektor Działu Operacji w tymże banku – komunikat: „Zaraz przestaną chodzić przelewy”. To raczej zrozumie…

Oferowany jako element systemu SecureVisio SIEM, który skutecznie koreluje tak szerokie spektrum wydarzeń – jest obecnie ewenementem na rynku światowym.

 

Jeżeli ktoś myśli, że komunikaty z systemu to już wszystko i każdy incydent należy obsłużyć siłami fachowymi – nic bardziej błędnego. W systemie definiuje się obiekty nazwane „playbooks”. Są to procedury, które uaktywniają się przy detekcji odpowiednich zdarzeń systemowych. W procedurach tych jest tak dokładny i skuteczny, jakim uczynił go operator SecureVisio – opis czynności jakie należy wykonać dla naprawy sytuacji. Rzecz jasna, często ostatnim krokiem zapisanym w playbooku jest: „wezwij fachowca”. Jednak z pewnością należy docenić fakt, że istnieje możliwość zażegnania kryzysu bez angażowania za każdym razem wysokiej klasy specjalistów.

BEZPIECZEŃSTWO – TU NIE MOŻESZ POZWOLIĆ SOBIE NA EKSPERYMENTY

Zainstalowana w systemie, ciągle rozwijana i nadzorowana baza wiedzy eksperckiej, umożliwia łatwe pozyskanie informacji na najwyższym poziomie merytorycznym. Co ważne – w odniesieniu do konkretnej infrastruktury systemu. Subskrybent SecureVisio ma do dyspozycji w ramach tejże bazy:

  • Dobre praktyki projektowania zabezpieczeń
  • Dobre praktyki audytowania bezpieczeństwa
  • Ocenę efektywności własnych zabezpieczeń sieciowych
  • Ocenę efektywności własnych zabezpieczeń lokalnych
  • Metodyki szacowania ryzyk

Jak wyżej wspomniano – baza ta ma również udział w ocenie zdarzeń i kreowaniu akcji systemowych.

SecureVisio nie koncentruje się wyłącznie na incydentach. Nie jest pominięta w nim również ochrona proaktywna. Zawarte w nim parsery potrafią przesłać do korelowania również komunikaty z ogólnie znanych i stosowanych skanerów podatności.

System posiada również własną subskrypcję bazy CVE i własne silniki skanowania assetów. Oczywistym jest, że zewnętrzny skaner jest znacznie skuteczniejszy. Tym niemniej – system oferuje coś z pewnością lepszego niż nic, w dziedzinie zabezpieczeń proaktywnych.

Element skaningu podatności jest również uwzględniany przy generowaniu zdarzeń i przypisywaniu im odpowiednich impaktów.

Ostatecznie, system tworzy pewne zestawienia wynikowe, w których każdy asset organizacji jest odpowiednio „wyceniony” w szerokim aspekcie tego słowa, oraz oceniony w kontekście bezpieczeństwa. A wszystko jest przedstawione w czytelnych, dynamicznych tabelach:

 

Mamy zatem kolejne, łatwe do odczytania i co ważne – dynamiczne mapowanie potencjalnych zagrożeń.

RODO.

Ten skrót nie budzi już takiego przerażenia jak niegdyś, jednak dobrze o nim nie zapominać. SecureVisio i tu posiada osobny, specjalizowany moduł. Prawidłowa konfiguracja SecureVisio czyni realnym sprawne wykonywanie zaleceń RODO takich jak:

  • lokalizacja danych osobowych;
  • kontrola dostępu do danych osobowych;
  • identyfikacja i zarządzanie ryzykiem.

Moduł ten jest wysoko ceniony przez IODO’ów i ABI z uwagi na łatwość kreowania w nim raportu z naruszenia danych osobowych – zgodnie z art. 33 p.1 RODO.

PODSUMOWANIE

Wydawać by się mogło, że poprawne wdrożenie SecureVisio stanowić może pierwszy, lecz za to milowy krok w budowaniu solidnej struktury SIEM w organizacji.

W istocie rzeczy tak jest.

Przypomnijmy: SecureVisio musi być zasilane odpowiednimi dawkami informacji z zewnątrz, musi mieć też prawidłowo skonfigurowaną bazę relacji. Jest to system inteligentnej centralizacji i interpretacji zdarzeń.

Prawidłowa konfiguracja SecureVisio jest zadaniem skomplikowanym, gdyż odbywa się na pograniczu biznesu i IT. Jednak warto poświęcić temu procesowi odpowiednią uwagę, gdyż od prawidłowego skonfigurowania systemu może zależeć interpretacja naszych poczynań w sensie spełnienia regulacji RODO. Oraz – co niemniej ważne – poprawna praca i łatwość utrzymania naszej infrastruktury informatycznej.

Trudno we wpisie, który z założenia ma jedynie wstępnie przedstawić rozwiązanie, umieścić opis wszystkich jego funkcjonalności i zalet. Nie ujęto tu jeszcze wielu aspektów, jak choćby implementacje zgodności, czy procedur audytowych.

Zapraszamy zatem do kontaktu w celu demonstracji SecureVisio poprzez rozszerzoną prezentację, czy też warsztaty.

powrót do strony głównej

Aktualności:

JAK USŁYSZEĆ TO, CO NAPRAWDĘ ISTOTNE?
6 grudnia 2018
SPOTKAJMY SIĘ W WIŚLE NA KONFERENCJI SIwE’18
14 listopada 2018
UPRASZCZAMY BEZPIECZEŃSTWO
12 lipca 2018
NGE POLSKA OFICJALNYM PARTNEREM SPLUNK
2 lipca 2018
COMMVAULT W KILKU PYTANIACH I ODPOWIEDZIACH
12 kwietnia 2018
Palo Alto Networks TRAPS – EXPLOITY w PUŁAPCE
2 listopada 2017
CISCO UMBRELLA + INVESTIGATE w pytaniach i odpowiedziach
10 października 2017
SDSN i BEZPIECZEŃSTWO SIECI ZAPRASZAMY na WARSZTATY
6 października 2017
GDPR a rozwiązania CISCO KONFERENCJA w OLSZTYNIE
12 września 2017
JUNOS IN ONE DAY ZAPRASZAMY NA WARSZTATY
8 września 2017
EXABEAM – ZNACZNIE więcej niż SIEM
14 czerwca 2017
EXTREMESWITCHING NOWA SERIA 200
2 lutego 2017
GDPR i DANE WARTE 10 000 000 EUR lub więcej…
12 stycznia 2017
BACKUP PIERWSZEJ WODY
4 stycznia 2017
CZAS NA FLASH, ALL-FLASH
16 listopada 2016
Czy wiesz KTO MA DOSTĘP DO TWOJEGO SERWERA?
25 września 2016
WYMIEŃ firewalle i routery na NOWE urządzenia JUNIPER SRX
18 sierpnia 2016
SPOTKANIE Z TECHNOLOGIĄ FUJITSU 2016
17 sierpnia 2016
SPOTKAJMY SIĘ W TEATRZE CAPITOL W WARSZAWIE
10 sierpnia 2016
QNAP – WYDAJNA ALTERNATYWA DLA MACIERZY
26 lipca 2016
NOWY PRODUCENT w ofercie NGE Polska
8 lipca 2016
Lider w obszarze Backup i Recovery dla Data Center
23 czerwca 2016
Zapraszamy na jazdę próbną! 26 kwietnia WARSZAWA
23 marca 2016
Śniadanie technologiczne – Dziękujemy za udział w spotkaniu!
21 marca 2016
Otwarcie oddziału NGE Polska w Warszawie
4 lutego 2016
NGE Polska serwuje śniadania technologiczne
3 lutego 2016
Zapraszamy na jazdę próbną! 17 marca WARSZAWA
3 lutego 2016
Osiągnęliśmy status Brocade Premier Alliance Partner
30 marca 2015
NGE POLSKA Złotym Partnerem Meru Networks
5 marca 2015
Juniper AWARD CEREMONY 2015 – NGE Polska w czołówce
14 stycznia 2015
Seminarium Juniper Secure Analytics
9 października 2014
NGE POLSKA Srebrnym Partnerem Extreme Networks
1 września 2014
Juniper Networks JUNOS Space – platforma zarządzania urządzeniami Juniper
16 lipca 2013
Zagrożenia, ochrona, bezpieczeństwo – nowoczesna infrastruktura IT
1 lipca 2013
Otwarcie oddziału NGE Polska w Olsztynie
23 czerwca 2013
Osiągnęliśmy status VMware Enterprise Partner
5 października 2012
Osiągnęliśmy status Brocade Premier Alliance Partner
9 lipca 2012
Osiągnęliśmy status Veeam Silver Propartner
14 lutego 2012
Pokaż wszystkie...