Główne zadania Departamentu Bezpieczeństwa Informacji każdej organizacji, w tym również Security Operations Center (SOC), to: ciągłe monitorowanie incydentów bezpieczeństwa, analiza i badanie szczegółów wykrytych incydentów, eliminacja fałszywych alarmów generowanych przez różne systemy bezpieczeństwa informacji, rozpoznawanie złożonych i ukierunkowanych ataków, odpieranie wykrytych ataków oraz przywracanie elementów infrastruktury IT dotkniętych atakiem do ich początkowego stanu pracy. Aby skutecznie realizować te zadania, specjaliści ds. bezpieczeństwa informacji i SOC zmuszeni są do korzystania z systemów, które umożliwiają zbieranie niezbędnych informacji z całej infrastruktury IT, analizę tych informacji oraz na maksymalnie zautomatyzowane działania w zakresie reagowania na wykryte incydenty i ataki. Aby skutecznie realizować powyższe zadania, firma GREENNET proponuje wykorzystanie rozwiązań klasy SIEM, SOAR i XDR.
SIEM (Security Information and Event Management) to kategoria systemów bezpieczeństwa informacji przeznaczona do zbierania i analizowania informacji z logów bezpieczeństwa urządzeń sieciowych, urządzeń końcowych, systemów operacyjnych, aplikacji itp. Zebrane informacje są konwertowane do jednolitego formatu, wzbogacane przez integrację z systemami Threat Intelligence, filtrowane i zapisywane w jednym repozytorium. Wbudowane algorytmy korelacji analizują różne zdarzenia bezpieczeństwa informacji otrzymane z różnych źródeł i na podstawie przeprowadzonej analizy identyfikują stan faktyczny ataków na infrastrukturę IT pokrzywdzonej organizacji spośród ogromnej liczby rozbieżnych zdarzeń.
SOAR (Security Orchestration, Automation and Response) to kategoria systemów bezpieczeństwa informacji przeznaczona do orkiestracji systemów bezpieczeństwa, a więc ich koordynacji i zarządzania. Rozwiązania klasy SOAR pozwalają na gromadzenie i przetwarzanie danych dotyczących zdarzeń związanych z bezpieczeństwem informacji z różnych źródeł, i automatyzację typowych scenariuszy reagowania. Rozwiązania klasy SOAR integrują również pozostałe zabezpieczenia w ramach jednego systemu, eliminując konieczność zarządzania każdym z nich z osobna przez specjalistów ds. bezpieczeństwa, oraz umożliwiają skupienie się na analizie złożonych incydentów. Na podstawie informacji o incydencie, SOAR wykonuje działania niezbędne do wyeliminowania zagrożenia lub zminimalizowania jego skutków. Mogą być to komendy skierowane do innych produktów bezpieczeństwa informacji, zdalne usuwanie złośliwych obiektów, przywracanie klucza rejestru, czy inne działania. SOAR działa głównie na sygnaturach i typowych scenariuszach reakcji i zapewnia ochronę reaktywną.
XDR (eXtended Detection and Response) to kategoria systemów bezpieczeństwa informacji zaprojektowana do automatycznego i proaktywnego wykrywania zagrożeń na różnych poziomach infrastruktury, reagowania na nie i odpierania złożonych ataków. XDR obejmuje szeroki zakres narzędzi, które integrują się z innymi istniejącymi systemami bezpieczeństwa informacji i zapewniają monitorowanie danych w punkcie końcowym, sieci, chmurze i serwerach poczty elektronicznej, a także analitykę i automatyzację w celu wykrywania i eliminowania bieżących i potencjalnych zagrożeń. W przeciwieństwie do SOAR i SIEM, XDR zbiera szeroką gamę telemetrii ze zintegrowanych źródeł informacji, przede wszystkim z punktów końcowych, ściśle integruje się z systemami EDR i zapewnia proaktywną ochronę infrastruktury IT.
GREENNET oferuje klientom wdrożenie, konfigurację i utrzymanie systemów SIEM, SOAR i XDR w dowolnych kombinacjach, w zależności od wymagań i potrzeb klientów.
Po udanej próbie przeniknięcia do infrastruktury poszkodowanej organizacji, jednym z głównych celów napastników jest kradzież istotnych informacji poufnych. Do tego samego celu dążą insiderzy, którymi mogą być nielojalni pracownicy lub agenci osadzeni w organizacji. Do najważniejszych zadań specjalistów ds. bezpieczeństwa informacji w danej organizacji należy zapewnienie jej skutecznej ochrony przed wyciekiem poufnych informacji.
Aby rozwiązać powyższy problem, oferujemy naszym klientom zastosowanie systemów DLP (Data Loss/Leak Prevention). Systemy DLP tworzą bezpieczny cyfrowy “perymetr” wokół organizacji poprzez analizę całego ruchu wychodzącego, a w niektórych przypadkach także przychodzącego. Do tych kontrolowanych informacji należy zaliczyć nie tylko ruch internetowy, ruch pocztowy i ruch IM, ale także szereg innych przepływów informacji: dokumenty wynoszone poza chroniony “perymetr” bezpieczeństwa na nośnikach zewnętrznych, wydruki, dokumenty przesyłane przez Bluetooth i przetwarzane na urządzeniach mobilnych itp.
Systemy DLP posiadają wbudowane mechanizmy pozwalające określić stopień poufności przechwyconego dokumentu. Z reguły są to dwie powszechnie stosowane metody: analiza specjalnych znaczników dokumentu oraz analiza treści dokumentu. Pełnowartościowy system DLP składa się z co najmniej dwóch komponentów architektonicznych: komponentu gateway, który działa na serwerach pośrednich i analizuje cały przekierowany i przepuszczony przez niego ruch, oraz komponentu host (agent), który działa bezpośrednio na stacjach roboczych i serwerach pracowników.
Używanie w pracy urządzeń mobilnych, które zawierają treści korporacyjne, jest coraz bardziej rozwijającym się trendem, dlatego oferujemy również systemy klasy UEM (Unified End-Point Management), które zapewniają ochronę informacji na urządzeniach mobilnych naszych klientów oraz samych urządzeń.
GREENNET zapewnia wdrożenie, konfigurację i utrzymanie systemów DLP i UEM, a także opracowanie i automatyzację reguł i polityk bezpieczeństwa wykorzystywanych przez systemy DLP do wykrywania wycieków poufnych informacji.
Zazwyczaj podczas przeprowadzania złożonych i/lub ukierunkowanych ataków cyberprzestępcy próbują uzyskać dostęp do uprzywilejowanych kont administratorów. Po uzyskaniu dostępu do haseł, kluczy SSH oraz inny sekretów kont uprzywilejowanych, przeniknięcie do ważnych systemów i aplikacji staje się dla atakującego bardzo łatwe. W celu zapewnienia skutecznej ochrony przed wykorzystaniem kont uprzywilejowanych sugerujemy zastosowanie systemów zabezpieczeń klasy PAS (Privileged Accounts Security). Systemy PAS zapewniają niezawodne przechowywanie haseł, kluczy SSH i sekretów kont uprzywilejowanych w izolowanych, bezpiecznych magazynach; wydawanie ich tylko zgodnie z regulacjami uzgodnionymi w ramach polityk bezpieczeństwa; okresową zmianę i rotację haseł, kluczy SSH i sekretów; monitorowanie, analizę i rejestrację sesji uprzywilejowanych; analizę nietypowych, bezprawnych przypadków użycia kont uprzywilejowanych itp.
Co więcej, wszystkie te funkcje są wdrażane bez konieczności wprowadzania niewygodnych zmian w modus operandi uprzywilejowanych użytkowników i pozwalają im na korzystanie z ich zwykłych narzędzi i programów do administrowania systemami docelowymi.
Pod względem architektonicznym, systemy PAS stanowią pośrednią warstwę usług programowych zapewniającą niezbędne bezpieczeństwo pomiędzy uprzywilejowanymi użytkownikami i kontami usługowymi a systemami docelowymi: urządzeniami sieciowymi, hostami, aplikacjami, bazami danych itp.
GREENNET zapewnia klientom doradztwo, określenie listy wymaganych komponentów systemu PAS w celu rozwiązania konkretnego zadania, wdrożenie, konfigurację i utrzymanie systemów PAS oraz opracowanie i automatyzację reguł i polityk korzystania z kont uprzywilejowanych w specyficznej infrastrukturze klienta.
Wiele przedsiębiorstw obawia się potencjalnych ataków ukierunkowanych, które w coraz większym stopniu wykorzystują kombinację powszechnych zagrożeń, podatności typu zero-day, unikalnych projektów wolnych od złośliwego oprogramowania i wielu innych metod.
Stosowanie rozwiązań opartych na technologiach prewencyjnych, jak również systemów nastawionych na wykrywanie złożonych złośliwych działań tylko w ruchu sieciowym, nie będzie wystarczające do zabezpieczenia przedsiębiorstwa przed złożonymi atakami ukierunkowanymi. Punkty końcowe, w tym stacje robocze, laptopy, serwery i smartfony, są kluczowymi obiektami kontroli, jako że w większości przypadków są one stosunkowo prostymi i popularnymi punktami wejścia dla atakujących.
Endpoint Protection Platforms (EPP), które zazwyczaj znajdują się w infrastrukturze większości organizacji, doskonale chronią przed masowymi, znanymi, jak i wieloma nieznanymi zagrożeniami, choć w większości przypadków są to zagrożenia zbudowane na bazie wcześniej napotkanego złośliwego oprogramowania. Z biegiem czasu stosowane przez cyberprzestępców techniki ataków uległy wyraźnej ewolucji. Atakujący stali się bardziej agresywni w swoich podejściach i bardziej wyrafinowani w organizowaniu wszystkich etapów procesu. Dlatego duża część firm, mimo stosowania rozwiązań do ochrony punktów końcowych (EPP), nadal jest narażona na ataki.
Oznacza to, że przedsiębiorstwa potrzebują już teraz dodatkowych narzędzi, które pomogą im skutecznie wykrywać najnowsze, bardziej złożone zagrożenia. Tradycyjne zabezpieczenia nie były stworzone z myślą o takich zagrożeniach, więc nie są w stanie sobie z nimi poradzić. Chociaż tradycyjne zabezpieczenia wykrywają incydenty w punktach końcowych, zazwyczaj nie są w stanie określić, czy przychodzące alerty mogą być elementami bardziej niebezpiecznego i złożonego schematu, który może spowodować znaczne szkody dla danej organizacji. Nowoczesna ochrona punktów końcowych musi dostosowywać się do obecnych złożonych zagrożeń i uwzględniać funkcjonalność pozwalającą na wykrywanie ataków skierowanych na punkty końcowe oraz szybko reagować na wykryte incydenty.
Aby rozwiązać te problemy, firma GREENNET zaleca swoim klientom wykorzystanie systemów EDR (Endpoint Detection and Response), które monitorują punkty końcowe w czasie rzeczywistym i prezentują pełną wizualizację aktywności wszystkich stacji roboczych i serwerów w infrastrukturze korporacyjnej w postaci ujednoliconej konsoli; skutecznie wykrywają incydenty związane z bezpieczeństwem informacji i nadają im priorytety w miarę ich występowania w punktach końcowych; rejestrują i przechowują informacje o działaniach w punktach końcowych w celu późniejszego zbadania złożonych incydentów; dostarczają specjalistom ds. bezpieczeństwa informacji niezbędnych do szybkiego zbadania incydentów; reagują na incydenty, zapewniając ich ograniczenie, a także pomagają przywrócić stacje robocze do stanu sprzed incydentu; utrzymują interoperacyjność z rozwiązaniami klasy EPP.
GREENNET oferuje naszym klientom wdrożenie, konfigurację i utrzymanie systemów EDR oraz ich integrację z innymi systemami bezpieczeństwa IT klienta.
Do najważniejszych zasobów informatycznych niemal każdej organizacji należą bazy danych zawierające kluczowe dla jej funkcjonowania informacje. Dlatego uzyskanie dostępu do serwerów baz danych jest istotną kwestią dla cyberprzestępców.
Z tego powodu, ochrona serwerów baz danych oraz samych baz danych jest bardzo ważnym elementem budowania systemu bezpieczeństwa informacji. Specjalistyczne rozwiązania do ochrony baz danych posiadają skuteczniejszą funkcjonalność niż standardowe narzędzia DBMS.
Do specjalistycznych systemów bezpieczeństwa baz danych należą przede wszystkim rozwiązania klasy DAM (Database Activity Monitoring) oraz DBF (Database Firewall). Systemy DAM monitorują aktywność użytkowników w systemach zarządzania bazami danych. Jednocześnie systemy te nie wymagają zmiany ustawień czy konfiguracji samych DBMS, mogą one pracować niezależnie. DAM przetwarza kopię ruchu bez wpływu na procesy biznesowe. Systemy DAM pozwalają klasyfikować zapytania SQL według przynależności do określonych grup, analizować ruch interakcji użytkowników z bazami danych oraz przeprowadzać pełny audyt zapytań SQL i odpowiedzi na nie.
Ponadto systemy DAM posiadają głęboki system filtrowania, który pozwala na identyfikację potencjalnych incydentów przy ogromnej liczbie zapytań i zapisanie kompletnego archiwum działań użytkownika. System DBF to w istocie rodzaj bramy sieciowej, która może być wbudowana w lukę lub działać w trybie pasywnym, przetwarzając kopię ruchu. System ten pozwala na blokowanie niechcianych zapytań.
GREENNET zapewnia klientom wdrożenie, konfigurację i utrzymanie systemów DAM/DBF oraz ich integrację z systemami bezpieczeństwa IT klienta.
Specyfika wykrytych i zbadanych w ostatnich latach ataków cybernetycznych pokazuje, że cyberprzestępcy stosują wielowektorowe podejście przy atakowaniu infrastruktury IT poszkodowanej organizacji. Cyberprzestępcy szukają okazji do przeniknięcia do sieci wewnętrznej, wykorzystując wszystkie jej punkty styku ze światem zewnętrznym. Próby włamania do sieci, wykorzystujące ruch WWW i pocztę do penetracji infrastruktury IT poszkodowanej organizacji; włamania lub zmasowane ataki DDOS na zasoby WWW organizacji; włamania do zasobów chmurowych lub aplikacji – wszystkie te fakty skłaniają do spojrzenia na zadanie ochrony sieci i granicy organizacji (która może się “rozmyć” ze względu na obfitość możliwości pracy zdalnej i zasobów chmurowych) jako na budowanie zintegrowanego warstwowego systemu bezpieczeństwa, łączącego systemy zabezpieczeń różnych klas.
By zmierzyć się z tymi problemami, wykorzystujemy rozwiązania z następujących kategorii:
- Next Generation Firewall/Next Generation IPS — do ochrony sieci i zapobiegania włamaniom.
- Web Application Firewall — do ochrony aplikacji internetowych przed włamaniami i atakami DDOS poprzez analizę ruchu HTTP/HTTPS i semantyki XML/SOAP.
- Web-gateway i Mail-gateway — do zapewnienia bezpiecznego dostępu do źródeł internetowych, kontroli ruchu sieciowego i pocztowego w celu zapobiegania infiltracji i włamaniom złośliwego kodu, kontroli obecności złośliwych adresów URL w ruchu, filtrowania złośliwego i niechcianego ruchu itp.
- Network Traffic Analyzer — do analizowania anomalii ruchu w sieci wewnętrznej organizacji, identyfikowania oznak aktywności złośliwego kodu w ruchu sieciowym oraz oznak ataku intruzów.
- Cisco Identity Services Engine (ISE) — do stworzenia zaufanego środowiska w całej organizacji, opartego na jednej, scentralizowanej polityce bezpieczeństwa informacji dla wszystkich typów użytkowników, urządzeń i połączeń.
- Cloud Access Security Broker — do kontrolowania działań i egzekwowania zasad i reguł bezpieczeństwa w infrastrukturze chmury.
GREENNET oferuje klientom wdrożenie, konfigurację i utrzymanie wszystkich wyżej wymienionych systemów pojedynczo lub w zestawie, w zależności od architektury infrastruktury IT i zidentyfikowanych kwestii bezpieczeństwa informacji.
GREENNET dostarcza naszym klientom zestaw usług, które pozwolą ocenić stopień bezpieczeństwa infrastruktury informatycznej, jej podatność na zagrożenia, skuteczność istniejącego systemu bezpieczeństwa informacji, potrzebę wdrożenia nowych systemów bezpieczeństwa informacji, stopień zgodności ze standardami bezpieczeństwa i wymaganiami regulacyjnymi, chronić aktywa informatyczne przed wyrafinowanymi i ukierunkowanymi atakami. Oferowane usługi obejmują doradztwo i audyt w zakresie bezpieczeństwa informacji, analizę podatności, testy penetracyjne (manualne i automatyczne), ocenę skuteczności istniejących narzędzi ochrony oraz usługi przeciwko ukierunkowanym i złożonym atakom w oparciu o systemy klasy XDR.