Rozwiązania klasy SIEM dopasowane do każdego środowiska

SIEM - WYKRYWANIE INCEDYNETÓW BEZPIECZEŃSTWA

Oferujemy kompleksowe wdrożenia rozwiązań klasy SIEM (Security Information and Event Management), takich jak IBM Security® QRadar® SIEM i Splunk Enterprise Security. Dzięki naszej wiedzy, doświadczeniu oraz stworzonych przez nas integracjach narzędzia te, chociaż projektowane z myślą o IT, doskonale sprawdzą się również w środowisku OT, zawierającym systemy takie jak SCADA, DCS czy PLC.

Wdrożenie rozwiązania SIEM to tylko początek. Tworzymy i implementujemy indywidualnie dopasowane do Twojego środowiska reguły, pozwalające na identyfikację potencjalnych ataków i nieprawidłowości w funkcjonowaniu środowiska. Dzięki przemyślanym i poprawnie wdrożonym regułom Twój biznes może szybciej wykryć awarie i cyberataki, a także sprawniej na nie odpowiedzieć.

Dowiedz się więcej, lub skontaktuj się z nami już teraz, a my stworzymy rozwiązanie dostosowane do Twoich potrzeb i środowiska w którym pracujesz.

KORZYŚCI ROZWIĄZAŃ KLASY SIEM

Identyfikacja zaawansowanych ataków

Wykrywanie
awarii

Wsparcie zarówno dla
środowiska IT jak i OT

WIZUALIZACJA I ANALIZA ZDARZEŃ W ŚRODOWISKACH INFORMATYCZNYCH

Współczesne środowiska IT w zdecydowanej większości posiadają rozproszoną infrastrukturę. Obejmują swym zasięgiem nie tylko różne pomieszczenia czy budynki, ale również lokalizacje geograficzne, osiągając złożoność sięgającą dziesiątek tysięcy zasobów. Zasoby te, pełniące różne funkcje i mające postać zarówno urządzeń sieciowych, komputerów jak i zainstalowanych na nich aplikacji, często – pomimo pełnienia podobnej funkcji – pochodzą od różnych producentów. Część z tych zasobów, takich jak firmowa poczta, przestrzeń do kolaboracji czy pakiet biurowy albo już zostały przeniesione do chmury, albo wkrótce się w niej znajdą.

Rozwój przedsiębiorstw oraz próba zapewnienia zoptymalizowanego miejsca pracy sprawia, że środowiska IT osiągają złożoność, przy której korzystanie z odrębnych, nie połączonych ze sobą narzędzi służących do zarządzania zasobami uniemożliwia dogłębną analizę zdarzeń zachodzących w tych środowiskach. Szczególnie trudne staje się wykrywanie incydentów bezpieczeństwa – zaawansowane ataki nie skupiają się na pojedynczych systemach, ale starają się rozszerzyć powierzchnię ataku na różne ich rodzaje i lokalizacje. Zaspokojenie wymogów prawnych i regulacyjnych również napotyka problemy, gdyż wymaga dostarczania raportów obejmujących funkcjonowanie całej infrastruktury informatycznej, a dane wymagane do ich stworzenia są rozproszone w wielu miejscach. Pojawia się więc konieczność wdrożenia rozwiązania, które pozwoli na monitorowanie zdarzeń z całego środowiska IT.

Rozwiązania te – zwane rozwiązaniami klasy SIEM (ang. Security Information and Event Management, czyli zarządzanie informacją i zdarzeniami bezpieczeństwa) wyposażone są w mechanizmy pozwalające na zbieranie i przetwarzanie zdarzeń – a tych może być od kilku do kilkuset tysięcy na sekundę – pochodzących z różnych zasobów znajdujących się w różnych lokalizacjach, włączając chmurę. Ze zdarzeń tych tworzony jest jeden, spójny obraz, wykorzystywany przez wyspecjalizowane reguły – także behawioralne, analizujące zachowanie użytkowników i systemów – do wykrywania i raportowania potencjalnych incydentów bezpieczeństwa. Incydenty te, skategoryzowane i z nadanym priorytetem, przedstawiane są przez rozwiązania klasy SIEM w formie, która pozwala analitykom bezpieczeństwa IT na szybkie określenie zasobów dotkniętych atakiem i podjęcie stosownych działań mających na celu wyeliminowanie jego skutków. Rozwiązania klasy SIEM pozwalają również na generowanie raportów dla potrzeb prawnych i regulacyjnych – zestaw szablonów jest zwykle dostarczany razem z rozwiązaniem.

WDRAŻANIE ROZWIĄZAŃ KLASY SIEM

Najpopularniejsze, rozwijane od wielu lat rozwiązania klasy SIEM, takie jak IBM Security® QRadar® SIEM czy Splunk Enterprise Security tworzone były z myślą o monitorowaniu środowisk IT. Pomimo rozbudowanej bazy wiedzy oraz wsparcia dla produktów niemalże wszystkich wiodących producentów rozwiązań sieciowych oraz systemów operacyjnych i aplikacji, wdrożenie tych rozwiązań – w zależności od złożoności środowiska docelowego – zajmuje wyspecjalizowanemu zespołowi od kilku tygodni do kilku miesięcy.

Istnieją także branże, w których „biurowe” środowisko IT nie jest jedynym środowiskiem informatycznym, albo wręcz środowisko to pełni rolę wyłącznie pomocniczą dla przemysłowego środowiska OT. Środowisko takie, podobnie jak środowisko IT, musi zostać odpowiednio zabezpieczone, zgodnie z wymogami prawnymi i regulacyjnymi. W tym miejscu pojawia się dodatkowe wyzwanie – wspomniane rozwiązania klasy SIEM domyślnie nie wspierają środowisk OT. Brak jest odpowiednich modułów potrafiących zbierać i przetwarzać zdarzenia z rozwiązań takich jak rozproszone systemy sterowania (DCS), systemy nadzorujące przebieg procesu technologicznego lub produkcyjnego (SCADA), czy programowalne sterowniki logiczne (PLC). Brak jest również odpowiednich reguł pozwalających na wykrywanie ataków na środowiska automatyki przemysłowej – a te, oficjalnie zapoczątkowane przez Stuxnet (link: https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/) stanowią coraz liczniejszą grupę.

Nie oznacza to jednak, że rozwiązań klasy SIEM nie można wykorzystać do monitorowania środowisk OT – wręcz przeciwnie. Środowiska OT – podobnie do środowisk IT – są środowiskami informatycznymi. Składają się z połączonych w sieć zasobów, takich jak systemy SCADA, DCS czy PLC, które podobnie jak zasoby działające w środowiskach IT potrafią raportować zdarzenia związane z ich funkcjonowaniem, a więc wartościowe z punktu widzenia bezpieczeństwa, oraz zapisywać je w formie logów, które następnie mogą być poddane analizie przez rozwiązanie klasy SIEM. Oprócz zdarzeń pochodzących z samych zasobów OT, możliwa jest również analiza danych przesyłanych w sieciach OT, wykorzystujących wyspecjalizowane protokoły takie jak Modbus TCP czy PROFIBUS. Wymaga to jednakże wdrożenia rozwiązań takich jak Nozomi Networks Guardian czy Radiflow iSID oraz zintegrowania ich z rozwiązaniem klasy SIEM.

Konfiguracja zbierania i przetwarzania danych przez rozwiązanie klasy SIEM jest pierwszym etapem wdrożenia. Kolejnym etapem jest stworzenie zestawu reguł, który pozwoli systemowi SIEM na rozpoznanie oznak nieprawidłowego funkcjonowania rozwiązań środowiska OT, wywołanego celowym działaniem (atakiem) lub awarią. Stworzenie stosownych reguł wymaga doskonałej znajomości nie tylko rozwiązań klasy SIEM, ale również specyfiki środowiska OT dla obszaru, w którym to środowisko się znajduje.

Niezależnie od tego, czy dopiero tworzą Państwo infrastrukturę bezpieczeństwa czy też pragną rozbudować ją o rozwiązanie klasy SIEM – tak dla infrastruktury IT, OT czy obydwu tych środowisk – Transition Technologies – Systems posiada w swej ofercie usługi wdrożenia, rozbudowy oraz optymalizacji rozwiązań IBM Security® QRadar® SIEM oraz Splunk Enterprise Security.

Wierzymy, że nasze doświadczenie w integracji rozwiązań klasy SIEM oraz znajomość środowisk automatyki przemysłowej – w szczególności sektora energetycznego – czyni nas doskonałym partnerem w tworzeniu zintegrowanego systemu bezpieczeństwa dla Państwa przedsiębiorstwa.

KONTAKT

Skontaktuj się z nami bezpośrednio:
sales@ttst.pl
+48 603 602 459
lub skorzystaj formularza: