Seminář KYBERNETICKÁ BEZPEČNOST A GDPR OCHRANA OSOBNÍCH ÚDAJŮ
Obsah Reportáž Prezentace Novicom BDO IT Flowmon Networks Corpus Solutions
ÚVODNÍK
Foto & video Partneři semináře
Vážení čtenáři,
2
4 6 8 10 12 14 16 18
v současné době vrcholí přípravy na zvládnutí nové legislativní povinnosti – GDPR. Toto celoevropsky platné nařízení Evropské unie se dotýká každého z nás. Na jednu stranu nám, občanům, konečně přináší ochranu v moderním světě, kde informace o nás jsou k dispozici on-line kdekoliv ve světě. Toho mnohdy bývá zneužíváno při prodejních aktivitách, kdy se naše osobní data stávají zbožím. Je tedy vhodné mít nástroj, který fyzickým osobám umožní bránit se i těm největším globálním gigantům, jako jsou Google nebo Facebook. Na druhou stranu přináší toto nařízení mnoho povinností všem podnikům a organizacím. Legislativu pro ochranu osobních údajů jsme samozřejmě měli již dříve, nicméně ta byla po celé Evropské unii roztříštěna a výše sankcí nenutila organizace věnovat se prioritně této oblasti. Právě možnost uplatnění vysokých sankcí při neplnění těchto povinností vedla unii k přehodnocení jejích rozhodnutí, a ochrana osobních údajů se tak stala jednou z nejvyšších priorit. I když dodnes jsou osobní údaje v papírové podobě prakticky ve všech podnicích a organizacích, přece jen se postupně prosazují metody práce s informacemi v podobě informačních systémů, elektronických dokumentů, a s tím spojené elektronické výměny dat. Moderní společnosti jsou postavené na ukládání informací a jejich sdílení prostřednictvím počítačových sítí. Z toho vyplývá, že ochrana osobních údajů je dnes velmi úzce spjata s kybernetickou ochranou. Nějaké formy kybernetické bezpečnosti se začaly v organizacích zavádět jako reakce na první útoky a zneužití informací. V současnosti je standardem, že organizace mají přinejmenším postavené vnější zdi (firewally), aby nebylo lehké dostat se do vnitřní sítě přímo z internetu, a zavedené ochrany proti spuštění škodlivých programů na počítačích, jako jsou antiviry.
Jindřich Šavel Obchodní ředitel / Sales Director
ÚVODNÍK
To je fajn, ale pro komplexní kybernetickou ochranu to nestačí. Proto jsme se pokusili připravit vám krátké doporučení, čemu se věnovat a jak postupovat, abyste úspěšně prošli nejenom formálním zavedením GDPR, ale zároveň si přitom významně navýšili svoji kybernetickou bezpečnost. Partneři našeho vydání, kteří jsou špičkovými specialisty ve svých oborech, vám představí, jak se k této oblasti postavit. BDO IT vám ukáže, jak prakticky zvládnout zavádění GDPR ve vazbě na legislativu a optimální nastavení interních procesů, včetně doporučení pro zavedení potřebných technických opatření. Corpus Solutions vás provede potřebami komplexní kybernetické ochrany a čím dál důležitější oblastí vzdělávání v oblasti kybernetické bezpečnosti. Flowmon Networks přináší pokročilé nástroje monitoringu sítě odhalující i hrozby, se kterými si běžné firewally nebo antiviry neporadí. Novicom vám pomůže se zavedením pořádku v interní síti a navíc umožní zajistit potřebnou reakci na zjištěné bezpečnostní incidenty. Výhodou pro vás může být, že výše uvedení partneři se pravidelně potkávají u klientů, jejich kompetence se vhodně doplňují a mají připravenou celou řadu společných postupů a integrací. S těmito společnostmi tak máte možnost realizovat významnou část vašich potřeb v oblasti zavádění GDPR a zajištění potřebných technických opatření.
3
NOVICOM: KYBERNETICKÁ BEZPEČNOST A GDPR
REPORTÁŽ
Ve středu 31. ledna proběhl v prostorách Hotelu Astra v Praze odborný seminář, který uspořádala společnost Novicom, s cílem ukázat návštěvníkům různé přístupy k GDPR. Prostor prezentovat zde dostali také zástupci partnerských společností BDO IT, Flowmon Networks a Corpus Solutions.
Seminář odstartoval Jindřich Šavel, obchodní ředitel Novicomu, který představil agendu a ve stručnosti také společnost Novicom. V úvodní části nechyběla ani zmínka o vlajkové lodi Novicomu, kterým je produkt AddNet, vlastním produktům byla věnována závěrečná přednáška. Jindřich Šavel v úvodu zrekapituloval, čím se Novicom zabývá, a uvedl, že se společnosti daří také v zahraničí. V současné době je Novicom aktivní v osmi zemích a má ambice růst i nadále. Složení českých zákazníků Novicomu dominuje veřejný sektor, druhou polovinu zákazníků tvoří subjekty z oblasti financí i výrobní společnosti. Jindřich Šavel návštěvníkům také prozradil, co Novicom motivovalo k uspořádání semináře a výběru přednášejících – snaha nabídnout přehled možných přístupů k GDPR a možné postupy jeho řešení. Seminář tak byl reakcí na nejdůležitější otázky, které firmy v souvislosti s GDPR řeší. Pro oblast legislativy a procesů zavádění opatření Novicom přizval jako přednášejícího Tomáše Kubíčka z BDO IT. Jindřich Šavel upozornil na to, že ochrana pomocí antivirů a firewallů je v dnešní době nedostatečná a že je zapotřebí věnovat se také monitoringu sítě a behaviorální analýze. Proto na seminář přizval nejpovolanější na tuto oblast – společnost Flowmon Networks, za kterou promluvil Miloslav Sedláček. V programu semináře nebyla opomenuta ani důležitost vzdělávání v oblasti kybernetické bezpečnosti, pro osvětu v této oblasti byl přizván Tomáš Přibyl z Corpus Solutions. SOC jako směr, ale chybí lidi V první části semináře Jindřich Šavel také nastínil trend, který se rozmáhá napříč partnery v České republice i v zahraničí. Jde o budování SOC (security operations center), center, která se věnují vrcholovému bezpečnostnímu dohledu a řešení kybernetické bezpečnosti a incidentů. Tomuto trendu nahrává také dostupnost nepřeberného množství technologií na trhu. Na výběr jsou komerční řešení velkých hráčů, ale také dostatek kvalitních open source nástrojů. Počet poskytovatelů SOC roste jako reakce na to, že většina společností naráží v souvislosti s bezpečností na problém, jejž představují lidské zdroje – na trhu je dlouhodobě nedostatek kvalitních expertů. Organizace současně nechápou nutnost obstarávat bezpečnost 24 hodin denně a neschopnost adekvátně reagovat na incidenty. Jde přitom o problém, který neřeší žádná technologie, ale vyžaduje změnit přístup a filozofii ve firmě.
4
Optimální model bezpečnosti Novicom vidí východisko v pokročilém řešení bezpečnosti, které kombinuje zabezpečení provozních a bezpečnostních potřeb sítě.
Zatímco základní bezpečnost organizace zvládají (síť, koncové stanice, klienty, základní monitoring), dál se nevydávají. Jednou z opomíjených oblastí je přitom síťová visibilita nebo kompletní správa IP prostoru, kterou firmy často řeší nedostatečnými nástroji. Další oblastí, s níž si firmy nevědí rady, je řízený přístup do sítě (network access control), stále přitom platí, že až 90 % společností přístup do sítě neřeší. Zajištění bezpečnostních potřeb by podle Novicomu mělo být právě v rukách poskytovatele SOC. I zde jsou však slovy Jindřicha Šavla jistá omezení – jejich zjištění nebývají často adekvátně řešena a jsou zapotřebí integrované nástroje pro řízení sítě, jež umějí aktivně reagovat na incidenty. Vnitřní monitoring je podle Novicomu při ochraně sítí zcela zásadní, část funkcí, které probíhají ve vnitřní síti, mohou obstarat produkty Novicomu a Flowmonu, ty mohou být součástí SOCu. Výhoda řešení spočívá především v tom, že není zapotřebí odborný personál, řešení funguje 24 hodin denně a je zajištěna okamžitá reakce na případný incident. Zároveň tak dochází k úspoře finančních prostředků. Novicom má provozně bezpečnostní nástroj, který zajistí pořádek v síti a zároveň dokáže v distribuovaném modelu sítě poskytovat informace o kompletním provozu DDI, tedy DHCP, DNS, síťové depozitory, ale i řízení přístupu do sítě, L2 monitoring, sběr dat ve vzdálených lokalitách po datových tocích a umí zabezpečit i distribuovaný sběr syslogů. Veškerá tato data jsou odesílána do SOCu. Je však zapotřebí, aby společnosti toto řešení začaly vnímat jako možnou odpověď v otázce komplexní bezpečnostní strategie. Kontrola přístupu do sítě a GDPR V souvislosti s GDPR, které se zaměřuje především na ochranu osobních údajů, je na místě také kontrola přístupů do sítě. Bez zajištění sítě není možné zaručit ochranu osobních údajů. Novicom zde nabízí zabezpečení sítě proti provozu neoprávněných zařízení, zajistí visibilitu, L2 monitoring, NAC a současně pomůže firmy řešící GDPR nasměrovat na své partnery, kteří mohou usnadnit další procesy spojené s nutnými opatřeními. Jako klíčový aspekt zmínil Jindřich Šavel možnost zajištění integrace nástrojů pokročilé detekce a okamžitý incident response. Svou první přednášku Jindřich Šavel ukončil výzvou k využívání nástrojů pokročilého monitoringu a k zájmu o síťovou visibilitu. GDPR a legislativa GDPR z legislativního hlediska rozebral Tomáš Kubíček z poradenské společnosti BDO IT. Na úvod bylo připomenuto blížící se květnové datum, kdy začne GDPR platit napříč celou Evropskou unií. GDPR
GDPR šanon Tomáš Kubíček dále ukázal, jak by mělo vypadat GDPR v praxi. Prvním krokem by měla být evidence zpracování osobních údajů. Ohledně organizačních a technických opatření GDPR samotné nic nenařizuje, pouze doporučuje, přičemž je nutné zohlednit to, že GDPR není statické a zohledňuje například další technologický vývoj. V případě incidentu, tedy kompromitaci, musí subjekt vše oznámit regulátorovi do 72 hodin. Užitečným doporučením pak bylo zavedení „GDPR šanonu“, kde budou k dispozici všechny dokumenty pro případ kontroly ze strany regulátora. V šanonu, ať už fyzickém nebo virtuálním, by měly být všechny údaje o zpracování údajů a veškeré s tím související informace (žádosti o smazání údajů atp.), záznamy o školení zaměstnanců, dokumenty o jmenování DPO, posudky a vyjádření DPO, záznamy o incidentech, auditní záznamy, analýza rizik, balanční testy, směrnice, vzory zpracovatelských smluv atd. Tomáš Kubíček se v závěru své prezentace věnoval také tématu připravenosti aplikací a systémů na GDPR, obecně musejí být všechny systémy připraveny plnit požadavky v souladu s GDPR. IT firmy musejí být připraveny odbavovat i vyšší množství požadavků a musí být zohledněno to, že se budou někteří snažit využít GDPR jako nástroj konkurenčního boje. Sledování sítě prakticky Miloslav Sedláček pojal svou prezentaci prakticky, a věnoval se tedy tomu, co všechno mohou nástroje Flowmon Networks v sítích provádět. Architektura řešení Flowmon je složená z několika stěžejních částí: sonda (server, nasazený do páteřní sítě), která sbírá data ze sítě, zpracuje je a následně je odesílá na Flowmon kolektor, další část, jež je schopna schraňovat a analyzovat data z desítek až stovek takových zařízení (nemusí jít nutně o sondu, ale jakékoliv zařízení schopné dodávat data ve formátu NetFlow nebo IPFIX). Následně se věnoval konkrétním případům použití nástrojů pro monitoring sítě. S množstvím dat a navyšujícími se přenosy roste také potřeba nástroje, který by na provoz dohlížel, je tedy zapotřebí behaviorální analýza, jež by umožnila odhalit nestandardní chování. V návaznosti na to došlo na ukázku možností systému Flowmon ADS (Anomaly Detection System), detekce probíhá okamžitě a lze hned reagovat. Flowmon ADS je kompatibilní se SIEM systémy a dodává do nich agregovaná data, se kterými může systém lépe pracovat. Vazba na další systémy je důležitá, propojení více nástrojů dovoluje vytvářet účinný systém – jako je propojení řešení Flowmon
a Novicom. Dalším bodem, kterému se ve své přednášce Miloslav Sedláček věnoval, byl aplikační monitoring, jehož nutnost demonstroval opět na příkladu z praxe. V závěru promluvil o dalším modulu, který slouží k ochraně před DDoS útoky a lze jej provázat i se systémem ADS. Vzdělávání je nezbytné Další perspektivu GDPR ukázal Tomáš Přibyl z Corpus Solutions. Podle Přibyla je nutné změnit přístup ke kybernetické bezpečnosti – k tomu je nezbytné rozumět útočníkům a jejich motivacím a způsobům práce. Na základě těchto poznatků lze následně vytvářet efektivní opatření. Dále se věnoval řešení CSx, což je nástroj určený pro řízení a visibilitu aktiv, který by měl být základním kamenem proaktivní bezpečnosti. Zrekapituloval také stav ICT bezpečnosti za posledních pět let, podle něj došlo k zásadní změně jejího vnímání a kyberbezpečnost se stala obrovským byznysem. Mění se také způsob ochrany, už nedostačuje firewall, s nástupem mobilních zařízení, IoT, chytrých aut a dalších prvků, jež se připojují do sítě, je nutné změnit přístup k ochraně. Klasická perimetrová bezpečnost se ukazuje jako nedostatečná a bezpečnost se přenáší na koncové zařízení. Další prostor pro zneužití útočníky podle Přibyla představují sociální sítě – sociální inženýring, přičemž podle statistik prý více uživatelů klikne na odkaz od důvěryhodné osoby, kterou má v přátelích na sociální síti, než v e-mailu. Útočníci také mohou využívat sociální sítě k ovládání malwaru v cizí síti, což dokládal Přibyl na reálném příkladu skupiny AT29, která byla prostřednictvím Twitteru schopna kompromitovat na 4 000 uživatelských účtů. Firemní kultura musí doznat výrazných změn, aby mohly firmy čelit aktuálním hrozbám. Závislost na technologiích vyžaduje adekvátní obranné mechanismy. Přibyl také popsal životní cyklus útoku a možnosti, ve kterých fázích mu lze účinně čelit. Dodal, že visibila, tedy viditelnost síťového prostředí, je základní předpoklad pro účinnou a proaktivní ochranu. Přítomným nabídl kurzy, které pro bezpečnostní experty Corpus Solutions pořádá. Společnost Corpus solutions poskytuje mimo jiné služby v oblasti pokročilé detekce a plánování kybernetické strategie, penetrační testování, aktivní řízení bezpečnosti provozu nebo testování bezpečnosti aplikací. AddNet a sklenka vína Závěrečná část semináře patřila opět Novicomu – Jindřich Šavel se věnoval vlajkové lodi, produktu AddNet, což je homogenní DDI/NAC nástroj pro řádové zvýšení efektivity správy IP adresního prostoru a řízení bezpečnosti přístupu v rozsáhlých sítích. Nástroj je postaven na vlastních technologiích, má vlastní gridovou platformu i komunikační protokol a FireBox appliance. Z hlavních výhod Jindřich Šavel zmínil zejména jednoduchost obsluhy při zachování komplexity a rozsahu funkcí nástroje (důsledný L2 monitoring, kompletní DDI, NAC nebo řízení přístupu do sítě, komunikace s aktivními prvky). AddNet je k dispozici také formou služby, Novicom tak vychází vstříc partnerům i v oblasti financování. Svou přednášku Jindřich Šavel ukončil výhledem do budoucna, kdy předpokládá, že kybernetická ochrana bude kombinovaná, většina organizací nebude schopná provozovat vlastní bezpečnost na špičkové úrovni a bude pro tyto účely využívat služby expertů. Po skončení přednáškové části byli návštěvníci pozváni na degustaci vín, kterou doprovázel odborný výklad profesionálního someliéra.
REPORTÁŽ
vyvolává spíše obavy, ale Tomáš Kubíček uvedl hned dvě výhody, jež v GDPR vidí – fyzické osoby získávají nová práva, která jim zajišťují lepší ochranu proti nevyžádanému obsahu. Jako druhé pozitivum zmínil nárůst investic do kybernetické bezpečnosti. Nová práva pro fyzické osoby, jako je právo být zapomenut, právo na přenositelnost osobních údajů, právo vznést námitku proti zpracování osobních údajů atp. kladou nároky na procesy ve firmách, které tato práva musí zajistit. Povinnost vedení záznamů o zpracování je nutí, aby důsledně sledovaly, jaké údaje zpracovávají a jak s nimi nakládají. Každé zpracování je nutné v souladu s GDPR zdokumentovat, s externími zpracovateli (HR a podobně) je nutné uzavřít zpracovatelské smlouvy. GDPR dává možnost správci provádět audity, zda zpracovatel nakládá s daty v souladu s uzavřenou smlouvou, v níž musejí být uvedeny i sankce za případné nedodržování. U zvláště rizikových zpracování je nutné posouzení rizik – metodika byla vypracována skupinou WP29.
5
Jindřich Šavel, Novicom
PREZENTACE
Obchodní ředitel / Sales Director
Jindřich Šavel je na pozici obchodního ředitele české společnosti Novicom od konce roku 2012. Během více než 25 let strávených v IT působil především v oblastech prodeje infrastruktury, aplikačního softwaru, správy dokumentů a v poslední době převážně v síťové a kybernetické bezpečnosti. Ve své kompetenci má oblasti produktové strategie, obchodu, marketingu a rozvoje zahraničních aktivit, kde se snaží uplatnit své dlouholeté zkušenosti s budováním prodejních sítí.
Tomáš Kubíček, BDO IT
Tomáš Kubíček má více než 18leté zkušenosti v oblasti ICT a manažerského poradenství. Prošel několika globálními poradenskými firmami a nyní působí coby partner ve společnosti BDO IT. Má rozsáhlé zkušenosti z celé řady odvětví, zejména veřejné správy, energetiky, telekomunikací a FMCG. Z hlediska odbornosti se Tomáš specializoval na rozsáhlé transformační, implementační, změnové a akviziční projekty českých i globálních korporací. V posledních letech se specializoval rovněž na poradenství pro veřejný sektor a vedl celou řadu projektů v oblastech ICT, ekonomických, procesních auditů, řešil oblast elektronizace, asistoval při výběru a implementaci řady IS. Díky zkušenosti z veřejné správy a regulovaných odvětví vnímá dobře vliv externího, regulatorního prostředí na firemní business. Proto se v poslední době věnuje rovněž projektům v oblasti regulatorního „compliance“ a má za sebou více než dvě desítky projektů v oblasti GDPR, kde se kombinují potřeby znalosti businessu, ICT, bezpečnosti a regulace.
6
Ing. Tomáš Přibyl, absolvent elektrotechnické fakulty ČVUT Praha oboru technická kybernetika, se pohybuje v oblasti kybernetické bezpečnosti již od roku 1996. Je zakladatelem, spolumajitelem a předsedou představenstva společnosti Corpus Solutions, která se profiluje jako konzultační a technologická společnost pomáhající zákazníkům účinně se vyrovnat s rostoucími riziky kybernetického prostoru. Tomáš Přibyl ve své práci aktivně propaguje a konzultuje se zákazníky potřebnost změny jejich přístupu k řešení kybernetických rizik. Společně s klienty hledá cestu k zaintegrování kybernetické bezpečnosti jako nedílné součásti jejich firemní kultury. Ve své práci klade velký důraz na vzdělávání a praktický trénink dovedností spojených s detekcí a zvládáním kybernetických incidentů. Inspiraci nalezl v Izraeli a toto know-how se snaží přenášet k zákazníkům. Je předsedou výboru sdružení EuCybSec, které je odbornou platformou pro sdílení nejnovějších poznatků v oblasti kybernetické bezpečnosti.
PREZENTACE
Ing. Tomáš Přibyl, Corpus Solutions
Miloslav Sedláček, Flowmon Networks
Jako key account manager má na starosti obchod a komunikaci s klíčovými zákazníky společnosti. Mezi jeho další aktivity patří zejména školení partnerské sítě, účast na seminářích, konferencích a prezentace produktu u zákazníků.
GDPR STRATEGIE FLOWMON NETWORKS KE STAŽENÍ
7
GDPR – potřeba ochrany interní sítě a budoucnost kybernetické bezpečnosti
NOVICOM
Zavedení opatření pro vypořádání se s požadavky GDPR je poměrně komplexní proces, který se dá přirovnat k zavedení ISO norem v organizaci. Pokud není nastavení organizačních opatření podpořeno také potřebnými technickými opatřeními, může být sebelepší a stejně nedokáže zabránit zneužití osobních dat. Proto se zavádějí nové úrovně kybernetické ochrany. Současná běžná opatření jsou na úrovni zavedení ochrany perimetru organizace (tzv. firewallů) a ochrany klientů v podobě antivirové ochrany. Další prohloubení ochrany by se mělo zaměřovat na vlastní ochranu osobních dat (šifrování a pseudonymizace dat) a schopnost zajistit jejich důvěrnost, integritu a dostupnost.
8
Jako nezbytnost se jeví budování vrcholné kybernetické ochrany spočívající v průběžném monitoringu kybernetického prostoru organizace, jeho vyhodnocování a v případě potřeby zajištění okamžité reakce na zjištěný bezpečnostní incident. Na IT trhu lze dnes pořídit celou řadu nástrojů pro bezpečnostní monitoring s velmi dobrými detekčními schopnostmi. Problémem je ale nedostatek kvalifikovaných odborníků, a to jak z hlediska omezené nabídky na trhu práce, tak i z hlediska výše ohodnocení špičkových bezpečnostních odborníků. Tento problém se navíc posouvá do další dimenze, pokud si uvědomíme nutnost zajištění fungování kybernetické ochrany v režimu 24 × 7 × 365. Jedním z negativních přínosů globálního internetu je fakt, že hackeři nespí a nepočkají na nás, až v 9.00 dopijeme ranní kávu a podíváme se, jestli nám někdo neškodí… Budoucnost kybernetické bezpečnosti Zajištění kybernetické ochrany je dlouhodobá a nikdy nekončící úloha, která bude z výše uvedených důvodů jen velmi těžko zajišťována vlastními silami organizace. V této souvislosti se ukazuje jako trend zavádění tzv. pokročilého modelu bezpečnosti. Ten spočívá v akceptaci komplexity problematiky a rozdělení zodpovědnosti mezi interní IT a externí specializovanou organizaci. Interní IT se nadále věnuje již zvládnutým oblastem – zajištění provozních potřeb sítě, jako je základní správa stanic a sítě, běžná ochrana klientů (antivirus a antimallware) a perimetru (firewall) – případně infrastrukturnímu monitoringu. K tomu by měly rovněž patřit pokročilé činnosti při správě interní sítě, jako je zajištění síťové visibility, kompletní správy IP prostoru (tzv. DDI – integrovaný DHCP, DNS a IPAM) a rovněž řízení přístupu do sítě (NAC). Tyto činnosti jsou poskytovány v běžnou pracovní dobu organizace (např. v režimu 9 až 17 hodin). Ve spolupráci s poskytovatelem bezpečnostních služeb (tzv. MSSP – Managed Security Service Provider) jsou zajišťovány bezpečnostní potřeby sítě. Ty spočívají v pokročilém bezpečnostním monitoringu a neustálém vyhodnocování sítě a služeb pomocí nástrojů typu Log management, SIEM apod. Tyto činnosti zajišťuje vysoce kvalifikovaná obsluha Security Operation Centra (tzv. SOC) v režimu 24x7, která je speciálně trénovaná na identifikaci bezpečnostních hrozeb a provedení potřebných opatření (incident response).
Pro zajištění incident response v mimopracovní dobu chráněné organizace, tj. bez využití interních IT zdrojů organizace, je zapotřebí využívat plně integrované prostředí pro správu, zabezpečení a monitoring. V takovém případě je možné hovořit o tzv. aktivním SOCu. Společnost Novicom je velmi hrdá, že si nesporné výhody aktivního SOCu uvědomuje celá řada MSSP poskytovatelů v ČR i v zahraničí, kteří si k zajištění aktivního SOCu vybrali řešení AddNet. AddNet od Novicomu je unikátní integrovaný nástroj pro zajištění detailní visibility sítě, spolehlivého provozu základních síťových služeb a řízení přístupu do sítě. Rozsahem funkcí přesahuje hned do několika jinak samostatných tříd produktů (síťový monitoring, DDI, NAC) a umožnuje výrazně zefektivnit a zjednodušit síťovou správu. Síťová visibilita Pokud chci něco chránit, nejdříve musím vědět, co mám chránit. Proto má AddNet k dispozici výkonný L2 monitoring pro lokalizaci zařízení v síti a další nástroje monitoringu pro stanovení komunikačních toků zařízení. Tyto informace mohou sloužit k udržování reálného „skladiště“ síťových zařízení a k podpoře správy IT aktiv. Velmi zajímavá je možnost sledování vztahů mezi IT aktivy a provozovanými business službami. To je velmi žádané při potřebě stanovit např. důsledky odpojení zařízení při řešení bezpečnostního incidentu nebo přemisťování provozovaných informačních systémů do externího cloudu. Zabezpečení interní sítě Řízení přístupu do sítě (NAC) je nezbytné pro zajištění síťové bezpečnosti. AddNet vedle zavádění plného 802.1x, které se opírá o klientské supplikanty, nabízí možnost bezagentské MAC autentizace s ochranou. AddNet se díky kombinaci pokročilých metod monitoringu snaží odhalovat možné duplicity a podvržení MAC adres. Velkou výhodou je možnost zavádět MAC autentizaci společně s L2 monitoringem a DDI službami, bez nutnosti dlouhé a náročné implementace plného 802.1x. AddNet samozřejmě podporuje i autorizaci, tedy provádí segmentaci sítí pomocí VLAN a řídí zařazení síťových zařízení do příslušných VLAN. Efektivní správa sítě AddNet byl vytvořen proto, aby výrazně zjednodušil síťovou správu.
NOVICOM Spojuje všechny dílčí činnosti síťové správy (správa IPAM, nastavení DHCP, DNS, NAC) do jednoho homogenního produktu. Na jedné obrazovce je tak možné provést lokalizaci zařízení v síti a současně jeho snadné komplexní zasíťování. Samozřejmostí jsou i integrace na další síťové technologie, jako je MS Active Directory a další DNS technologie. Díky této vlastnosti dokáže AddNet zvýšit efektivitu síťové správy, a zajistit tak nedostatečnou kapacitu lidských zdrojů i pro další činnosti, např. pro vyhodnocování síťového provozu. Spolupráce s nástroji pokročilé detekce a SOC AddNet je postaven na vlastních technologiích, které mimo jiné přinášejí i možnost zajištění provozu ve vzdálené lokalitě i v případě přerušení síťového spojení s centrálou. Právě cenově dostupný distribuovaný model přináší další zajímavé možnosti při spolupráci s Aktivním SOCem nebo s nástroji behaviorální analýzy (NBA), jako je Flowmon ADS. Aktivní sondy AddNetu (tzv. Workservery) je možné doplnit o doplňkové moduly umožňující ve vzdálených lokalitách rovněž sběr dat o síťovém provozu (Flow data) nebo dat o provozu místní infrastruktury pomocí syslogů. Tato data jsou zabezpečeným způsobem odesílána do spolupracujících aplikací (NBA, SIEM). Po jejich vyhodnocení můžou operátoři těchto systémů využít aplikační integrace a přímo si zjistit detaily o zařízení v AddNetu, provést okamžité odpojení zařízení nebo jeho izolaci (přesunutí do karanténní VLAN s možností změnit IP adresu pro funkci vzdálené správy zařízení).
Ochrana před ransomwarem? Lepší je prevence! Kombinace funkcí AddNetu umožňuje aplikovat pokročilé síťové politiky. Je tak možné vytvořit politiku pro tzv. Trusted zařízení, jimž je umožněn přístup do sítě a automatizované přidělení IP adresy v kterékoliv vzdálené lokalitě (síti) bez nutnosti nastavování přístupu a adresní politiky. Možná ještě zajímavější je usnadnění aplikace pokročilých síťových politik na L2 vrstvě. Tím lze dosáhnout nastavení globálních pravidel pro komunikaci síťových zařízení na přístupových switchích, včetně možnosti zakázání komunikace mezi zařízeními v jedné VLAN. Proč se věnovat pokročilým detekcím ransomwaru s následnou nutností okamžité reakce, když můžete jeho šíření v síti přímo zamezit? Flexibilita, jakou potřebuje zákazník AddNet není jenom spolehlivý nástroj pro zabezpečení a správu sítě. AddNet je taktéž ucelené know-how, jež na zákazníky přechází prostřednictvím standardizovaných implementačních postupů, vycházejících z produktových best practices a implementační metodiky NIM. Na tu jsou trénováni a certifikováni partneři Novicomu zajišťující dodávky a implementace AddNetu. To, jestli si zákazník vybere standardní dodávku AddNetu a jeho provoz si zabezpečí sám, nebo bude využívat AddNet formou služby od některého z partnerů, závisí pouze na jeho přání.
9
Stinné, ale i světlé stránky GDPR
BDO IT
O tématu GDPR, tedy o nové evropské regulaci v oblasti ochrany osobních údajů fyzických osob, již bylo mnohé napsáno, mnohé řečeno na desítkách konferencí a seminářů. Firmy jsou strašeny drakonickými sankcemi za porušení povinností chránit osobní údaje, celá řada lidí i firem se pohoršuje nad další administrativní „buzerací“ Bruselu.
10
Na jednu stranu jsou stesky firem zcela pochopitelné, zejména těch malých a středních, které nemají rozsáhlé korporátní týmy zvyklé řešit obdobné regulatorní požadavky. Vždyť také samo GDPR primárně vzniklo k ochraně fyzických osob a jejich údajů před velkými, nadnárodními korporacemi (zejména před aktivitami v digitálním světě). Ty využívaly své faktické převahy nad jedinci a téměř bez omezení obchodovaly s osobními daty a pracovaly s nimi ve svůj prospěch, mnohdy navzdory přání jednotlivce. A koho z nás občas nepřekvapilo nebo nenaštvalo nevyžádané reklamní sdělení nebo nabídka od firmy, se kterou jsme nikdy nebyli v kontaktu? I dnes není někdy zcela snadné odhlásit se z nevyžádaného newsletteru, jenž nám pravidelně chodí do emailové schránky. A to se k nám ještě nedostaly některé sofistikované agresivní marketingové metody běžné v západní Evropě, atakující např. náš mobilní telefon reklamou. Že jsou dnes data cennou a ceněnou komoditou, o tom není třeba pochybovat. Většina velkých hráčů v digitálním světě dnes generuje nemalou část svých zisků právě z práce s daty, z cílené reklamy, z propojování či prodeje dat, včetně osobních údajů. Sociální sítě, internetový a mobilní prodej, cílená reklama v digitálním světě, ale i zapojení softwarových robotů a prvků umělé inteligence do procesů firem i do komunikace se zákazníky, to vše zvyšuje význam i hodnotu dat, včetně těch osobních. Zároveň se ale stupňuje množství, cílenost a personalizace komunikace a marketingu vůči spotřebitelům a zákazníkům. A na rozdíl od lidské paměti, data o lidech se z digitálního světa neztrácejí a mohou být kdykoli použita v náš prospěch i neprospěch nebo být dokonce zneužita k nelegálním účelům. A tady, z pohledu fyzické osoby, je třeba vidět v GDPR i jisté pozitivum – přeci jen dává nám, jednotlivcům, jistá práva bránit se „komerční lavině“ a v případě potřeby se domáhat svých práv při ochraně a rozumném nakládání s našimi osobními údaji. Firmy si tak již nebudou moci dělat s osobními údaji, co chtějí, a budou muset dodržovat jistá pravidla hry a v případě jejich porušení nést sankce, jejichž možná výše bude působit zcela jistě preventivně i represivně. Z dosavadních zkušeností z realizovaných projektů víme, že většina firem nemá jasnou představu, jaké osobní údaje vůbec zpracovávají, kde je mají uložené a kdo k nim má přístup. Firmy tuší, jaká data mají uložená v informačních systémech a jaké procesy nad nimi probíhají, méně již tuší o oběhu papírových dokumentů obsahujících osobní údaje (o jejich nekontrolovatelném válení se po stolech kanceláří nebo u tiskáren nemluvě).
Zcela šedou zónou jsou pak data digitální mimo informační systémy, dokumenty obsahující osobní údaje uložené ve wordu, excelu, pdf apod. zapomenuté na ploše počítačů, na projektových discích či na cloudových úložištích. Tato data jsou z hlediska GDPR noční můrou firem, neboť kontrolovat a regulovat jejich výskyt je téměř nemožné, interní směrnice jsou málo účinné. Je zřejmé, že kontrolovat tato data bez moderních bezpečnostních technologií (např. DLP), a vynucovat si tak určité chování zaměstnanců, je téměř nemožné. Není se tak čemu divit, že projekty GDPR ve firmách často končí právě na lidech v ICT (i když GDPR je multidisciplinární téma a zahrnuje oblast právní, bezpečnostní, ICT i procesní). Elektronizace již prostoupila procesy firem natolik, že IT ve firemních činnostech hraje zcela jistě zásadní roli. V GDPR hraje ICT zásadní roli nejen z hlediska zabezpečení dat, ale i z hlediska připravenosti aplikací a systémů na nová práva fyzických osob (právo výmazu, přenositelnosti dat apod.). A tady nastává další oblast, v níž lze u GDPR najít jisté pozitivum pro firmy. Protože si GDPR žádá k ochraně osobních údajů „technická a organizační opatření“, nutí firmy skutečně sledovat, jak mají svoje data, aplikace i infrastrukturu zabezpečenou z hlediska možných útoků, zneužití dat nebo třeba i nekalých konkurenčních aktivit. Je evidentní, že kybernetická bezpečnost je již dnes základní potřebou každé firmy pro ochranu nejen osobních údajů, ale i obchodních dat a informací o businessu firmy obecně. Bez ohledu na požadavky GDPR by tedy firmy měly této oblasti věnovat patřičnou pozornost (viz např. nedávné incidenty jednoho mobilního operátora nebo třeba internetového obchodu, kdy jim unikly rozsáhlé soubory osobních údajů). Přesto je v řadě firem stále bezpečnost, zejména ta kybernetická, na druhé koleji a IT ředitelé mají často problémy obhájit před vedením firem investice do složitých, nákladných technologií, jimž laik jen stěží rozumí. A v tom je třeba vidět v GDPR příležitost, jak i pomocí této regulace přesvědčit management k účelnému zabezpečení a vyztužení aplikací i infrastruktury firmy (byť GDPR přímo nic nenařizuje). Dnes by již firmy měly reálně zvažovat technologie jako: řízení přístupů do sítě (NAC), prevence před únikem dat (DLP), technologie SIEM/SOC, technologie pro obnovu dat, zálohování, vzdálená správa mobilních přístrojů (MDM), šifrování dat na všech zařízeních s citlivými daty, šifrování firemní komunikace dovnitř i mimo firmu, ochrana vnějšího perimetru (firewally), využívání antivirových programů, sandboxů, ale i pravidelné penetrační testy a vzdělávání zaměstnanců.
BDO IT Podobné nástroje dnes doporučuje i zákon o kybernetické bezpečnosti a související legislativa. Požadavek na zabezpečení dat pak samozřejmě řadu firem přinutí zamyslet se nad tím, jestli není lepší eliminovat procesy „papírové“. Vždy je snazší efektivně řídit tvorbu, přístup, ochranu, ale i ukládání, mazání, vyhledávání v „digitálních“ dokumentech než interními postupy řešit a zabezpečit dokumenty s osobními údaji v papírové formě. Pochopitelně s sebou GDPR nese i celou řadu méně příjemných povinností – potřebu vytvořit rozsáhlou dokumentační základnu k řízení procesů ochrany osobních údajů, procesů na řízení incidentů, procesů k naplnění práv a svobod fyzických osob, potřebu zmapovat a zdokumentovat všechna zpracování osobních údajů, vytvořit v organizaci patřičné role, proškolit zaměstnance, předělat zpracovatelské smlouvy nebo třeba kontrolovat souhlasy se zpracováním osobních údajů, doplnit informace o zpracováních osobních údajů na řadu dokumentů apod. Náklady na tyto změny (organizační i technické) přijdou malé firmy na desítky tisíc korun, střední na stovky tisíc až jednotky milionů a velké firmy na desítky, výjimečně i stovky milionů korun. Nemůžeme se tak divit, že firmy z toho nadšené nejsou. Dodavatelský trh pomáhající
firmám s přípravami naopak významně ožil (právní, poradenský i ICT) a přes noc vznikla celá řada ad-hoc firem a nových GDPR „expertů“. Z výše uvedeného je zřejmé, že rozhodne-li se firma pro najmutí poradce v oblasti zajištění souladu s GDPR, měla by zvážit partnera s historií delší než rok (kdy se o GDPR začalo mluvit), partnera s kompetencí v systému řízení bezpečnosti informací, kybernetické bezpečnosti, schopností pochopit základní principy fungování businessu firmy, jejího celkového regulačního prostředí. Zároveň partnera schopného zohlednit GDPR z právního hlediska (smlouvy, souhlasy se zpracováním), jakož i partnera schopného posoudit připravenost aplikací na nová práva fyzických osob. Vzhledem k tomu, že se dosud vyvíjí výkladová praxe GDPR, ještě neexistuje jednotně akceptovaná metodika zavádění této regulace ani žádná ISO či obdobná norma. Úspěch GDPR projektu je velmi ovlivněn zkušeností poradce. Ten by měl být schopen nejen připravit firmu na GDPR ke květnu 2018 ve všech oblastech, ale měl by pomoci nastavit celý systém opatření tak, aby byl praktický pro jeho následné udržování a rozvíjení. Letos v květnu totiž téma GDPR nekončí, ale naopak začíná.
11
FLOWMON NETWORKS
Proč zahrnout síť do GDPR strategie
12
Nařízení o ochraně osobních údajů GDPR je především o procesech. Část z nich bude vyžadovat podporu technologií. Jednou z potřebných technologií je monitoring datových toků v síti poskytující včasnou detekci průniků a data pro analýzu incidentů.
Nástroj nebo platforma, které by GDPR vyřešily jako celek, momentálně neexistují. Organizace tak budou muset pro zajištění souladu správně a efektivně kombinovat dostupné technologie. V takové infrastruktuře má své místo i pokročilý monitoring datových toků. Ten představuje chytrou a úspornou cestu, jak detekovat úniky dat, zranitelnosti nultého dne, získat detailní data pro forenzní analýzu a celkově uspíšit obnovu po incidentu. Nové kompetence: bezpečnost a viditelnost Nařízení GDPR pro organizace znamená vybudování kompetencí ve dvou oblastech – bezpečnost a viditelnost. Pokud dojde k porušení zabezpečení osobních údajů občanů EU, ať už při jejich zpracování, předávání či jinde, bude mít dotčený subjekt pouze 72 hodin na ohlášení incidentu dozorovému úřadu. Povinnost velmi rychle poskytnout záznamy pro vyšetřování podporuje nasazování technologií pro síťovou viditelnost / monitorování datových toků, které taková data umožňují efektivně získat. Tyto technologie byly vyvinuty s cílem poskytnout administrátorům přehled o tom, co se v síťovém prostředí děje, a vložit jim do rukou kontrolu nad tímto děním. Na denní bázi je využívají síťoví administrátoři, bezpečnostní inženýři, správci aplikací i manažeři. Mohou tak efektivně řešit problémy na síti, optimalizovat výkon IT prostředí a získávat detaily k řešení provozních a bezpečnostních incidentů. Zajistit soulad s GDPR přitom není primárním cílem těchto nástrojů. Jejich vlastnosti to ale do značné míry umožňují, a to velmi efektivně. Pro zajištění souladu s GDPR jsou užitečné kvůli svým schopnostem včas detekovat incident, poskytnout detailní data pro analýzu a vyšetřování a také pro reportování úniků dat. České řešení Flowmon na rozdíl od běžných monitorovacích nástrojů na bázi datových toků poskytuje kromě monitorování vrstev L3/L4 také viditelnost do L7 protokolů, jako je HTTP, sdílení souborů přes protokol SMB, odstraňování problémů s DHCP a DNS a další. Kromě monitorování jsou informace o datových tocích použity pro aktivní ochranu sítě: informace o datových tocích – záznamy o veškeré komunikaci napříč sítí obohacené o informace z aplikační vrstvy; umělá inteligence – analýza chování sítě odhalí odchylky od standardního chování; záznam provozu na vyžádání – spouštěn manuálně nebo automaticky, poskytuje neprůstřelné důkazy pro vyšetřování bezpečnostních incidentů a následující reportování.
Datové toky a bezpečnost Datové toky poskytují informace z 3. a 4. vrstvy, tzn. IP adresy, porty, protokol, časové značky, počet bytů, pakety, příznaky a další detaily. V rukou tak máme něco jako seznam telefonních hovorů pro každou komunikaci v síti. Víme, kdo komunikuje s kým, kdy, jak dlouho, přes jaký protokol, port, apod. Sběr, uchovávání a analýza těchto agregovaných dat ulehčuje práci správcům sítě, bezpečnostním specialistům nebo manažerům provozu svou efektivitou a tím, že není třeba ukládat obsah komunikace (payload), který je dnes často zašifrovaný, a tím pádem nepoužitelný. Kromě standardních informací mohou Flowmon sondy rozšířit viditelnost o aplikační (L7) protokoly (například HTTP, DNS, DHCP, SMB, VoIP, …). Lze proto vidět větší množství detailů. Je-li detekována bezpečnostní událost, může Flowmon sonda v případě potřeby také na vyžádání nebo automaticky zaznamenat provoz v plném rozsahu. Příklad z praxe V praxi bezpečnostních specialistů hrají flow data důležitou roli. Technologie pro detekci anomálií a analýzy chování sítě, která flow data využívá, jim otevírá nové možnosti při detekci podezřelých aktivit, útoků a pokročilých hrozeb, jež běžná řešení nezachytí.
FLOWMON NETWORKS Flowmon pomáhá s detekcí a analýzou bezpečnostních incidentů stovkám firem a organizací. Často přitom jde o události s potenciálně velmi vážnými následky. Například jedna nejmenovaná evropská nemocnice s více než 1 500 zaměstnanci se potýkala s ransomwarem, jenž prostřednictvím e-mailu obešel všechny nástroje pro prevenci. Nemocnice vynaložila značné úsilí k ochraně svých systémů a dat, investovala do firewallu nové generace, různých emailových a webových filtrů, systémů určených k prevenci proti ztrátě dat a antivirových programů na koncových bodech, systémů řízení přístupu k síti (NAC) a Active Directory pro autentizaci. Část mezi perimetrem a koncovými zařízeními přitom zůstala bez ochrany. Škodlivý kód se rozšířil po síti, včetně stanic s přístupem do úložiště obrazové dokumentace (CT a rentgenové snímky tisíců pacientů), kde zašifroval téměř polovinu dat. Prakticky tím zabránil doktorům v činnosti, protože ti najednou neměli informace o stavu pacientů. Flowmon vyplnil prázdné místo operováním v prostoru mezi hranicemi sítě a koncovými body a díky tomu byl schopen odhalit zákeřné aktivity „uvnitř“. Síla jeho systému na detekci anomálií tkví v tom, že se nespoléhá na signatury a díky tomu je schopen odhalit dosud neznámé útoky. Upozorní například: „Tato stanice se chová neobvykle. Posílá příliš mnoho dat, komunikuje s jinými systémy, navazuje spojení s vnějšími IP apod.“
Právě tímto způsobem odhalil náš zákazník tento útok. Díky schopnosti Flowmon identifikovat neznámý útok na základě heuristik a pokročilému mechanismu pro detekci anomálií mohl zákazník reagovat v řádu minut. Tento systém včasného varování pracující téměř v reálném čase ušetřil čas inženýrům při detekci zdroje problému. Bez něj by náprava mohla trvat od hodiny až po celý den. Flowmon a zajištění souladu s GDPR Přibližně polovina ze 700 zákazníků z celého světa používá Flowmon pro monitoring sítě, automatickou detekci kybernetických hrozeb a forenzní analýzu bezpečnostních incidentů. To jsou kritické kompetence pro zajištění souladu s GDPR, a to před incidentem i po něm. Umožňuje ověřit, že organizace podnikla dostatečné kroky k zaručení nezbytné síťové viditelnosti pro vyšetřování a reportování bezpečnostních incidentů včetně podrobností. Vše během 72 hodin, dle očekávání. Subjekt má také nástroj pro vyšetřování incidentu. Může tedy za pomoci zachycených dat dokázat, že žádný záznam nebyl kompromitován, případně identifikovat, která data byla postižena, jak k nim bylo přistoupeno, a zda-li bylo ohroženo duševní vlastnictví.
13
14
Dnes můžeme vnímat v oblasti kybernetické bezpečnosti celkem logický trend, že organizace začínají s budováním proaktivních dohledových bezpečnostních služeb. Spouštěcím impulsem pro aktivity tohoto typu může být jednak zákon o kybernetické bezpečnosti, dále pak nařízení GDPR, které přikazuje společnostem chránit udržované citlivé osobní údaje, případně zcela přirozená vývojová potřeba zákazníků chránit svá klíčová aktiva proaktivním způsobem jako reakce na existující vývoj hrozeb v kybernetickém prostoru.
Kdo má již nějaké zkušenosti s budováním takovýchto typů služeb, určitě mi dá za pravdu, že to není cesta zdaleka jednoduchá. Proto bychom se rádi podělili o naše praktické zkušenosti s budováním těchto služeb proaktivního bezpečnostního dohledu a sdíleli určitá doporučení, která mohou pomoci překlenout alespoň nejzásadnější úskalí. Pokud se podíváme na jednotlivé vývojové stupně, které definují úroveň vyspělosti proti kybernetickým hrozbám na straně jedné, a zároveň rychlost obnovy business operací při kybernetickém incidentu na straně druhé, zjistíme, že je posun organizace na cestě k vyšší odolnosti proti kybernetickým hrozbám poměrně náročný (viz obr. č. 1). Výchozím bodem většiny zákazníků je bod 2 na níže uvedeném schématu, kdy se o bezpečnost zákazníka „starají“ nakoupené technologie. Tento stupeň stále ještě představuje nízkou úroveň odolnosti proti kybernetickým hrozbám, neboť detekce kybernetických incidentů a související response na kybernetický incident je čistě v moci daných technologií. Pokud dané bezpečnostní zařízení nemá schopnost útok detekovat (například kvůli vyspělosti kybernetické hrozby nebo špatné konfiguraci technologie), pak takovýto útok není technologiemi zastaven a dochází k nekontrolované kompromitaci zákazníka. S nástupem tzv. Advanced Persistent Threats (APT), neboli pokročilých kybernetických hrozeb využívajících aktuálních zranitelností IT technologií a aplikací, roste význam potřeby posunu zákazníků na vyšší úroveň odolnosti, danou body 3 a vyššími v daném maturity modelu. Je nutno si připomenout, že jakýkoliv posun ve vývojových stupních pro Incident Response je postupný, a nelze žádný vývojový stupeň přeskočit. Sklon křivky na daném obrázku určující příslušný progres v oblasti vývoje odolnosti proti hrozbám je zachycen jako optimální možný. Praxe bohužel ukazuje, že se ve skutečnosti nerespektováním určitých principů může sklon významně snížit. To se týká zejména přechodu zákazníka mezi stavem 2 a 3, tedy právě v situaci, kdy se rozhodl zvýšit připravenost na kybernetické hrozby implementováním služeb proaktivního bezpečnostního dohledu (SOC). Výsledek pak může být paradoxně i ten, že svojí Risk Awareness nezvýší. S posunem spojené snížení flexibility obnovy business operací díky definovanému SLA pro řešení incidentů naopak opticky zhorší přínos takové služby pro zákazníka.
Jedním z typických viditelných projevů takovéto nezvládnuté služby je zahlcení SOC týmu řešením false positive incidentů s minimální schopností reálně detekovat a zvládat pokročilé hrozby, které byly jednou z motivací pro jeho vybudování. Problémy při budování SOC týmů Každý SOC potřebuje mít jasně vymezené prostředí, které bude chránit. Toto prostředí musí mít pod kontrolou, tj. musí znát všechna reálně komunikující ICT aktiva, mít k dispozici informace o jejich komunikačním chování, znát jejich technické či business vlastníky a v neposlední řadě i vazby těchto ICT aktiv na příslušné poskytované business služby. Jakýkoliv deficit v této oblasti může znamenat neefektivitu týmu SOC projevující se falešnými incidenty, délkou šetření incidentů, případně neschopností prioritizovat incidenty v kontextu jejich business kritičnosti. V této oblasti bohužel hodně firem havaruje, protože jejich stávající Asset managementy a konfigurační databáze neobsahují aktuální či pro SOC využitelné informace. Mezi další problematické oblasti, které doprovázejí budování SOC v organizacích, patří: návaznost procesů SOC (zejména Incident Management procesu) na ostatní související procesy v organizaci (patch management, související IT procesy); (obr. č. 1)
INCIDENT RESPONSE MATURITY MODEL (5) Predictive Defense Detection: Internal (Hunt, Waylay) + External Response Process: Highly Proactive Risk Reduction: Very High (4) Intelligence Driven Detection: Internal (Hunt) + External Response Process: Threat/Adversary Driven Risk Awareness: High
Threat Awareness
CORPUS SOLUTIONS
Budování proaktivního bezpečnostního dohledu v organizacích
(3) Process Driven Detection: Internal (Hunt) + External Response Process: Service Driven (SLAs) Risk Awareness: Medium (2) Tool Driven/Signature Based Typical Datection: External Response Process: Tool Driven Risk Awareness: Low
Agility
(1) Reactive/Adhoc Typical Detection: External or User Report Typical Response: Reformat, Reinstall, Restore Risk Awareness: Very Low
Threat Awareness – Knowledge of threat presence, intent, and activities in your environments. Agility – The rapidity by which identified intrusions are successfully contained, eradicated, and normative business operations restored.
vytvoření znalostní báze pro eliminaci false positive incidentů; implementace SIEM nástrojů pro jejich využitelnost SOC týmem (vytvoření tzv. playbooks - souboru činností SOC týmu jako reakcí na určité scénáře, vytvoření detekčních mechanismů pro pokročilé hrozby, šetření útoků v rámci celého jejich životního cyklu …); schopnost rychlé identifikace a izolace nakaženého zařízení; automatizace detekčních a remediačních schopností s využitím pokročilých – tzv. Next Generation řešení a jejich integrace s nástroji SIEM (zejména s podporou vyšetřování na koncových zařízeních). Výčet problematických oblastí není zdaleka úplný. Významnou oblastí, která nesmí být podceněna při zavádění SOC do organizace, je lidský faktor. Kompetence SOC týmu zásadním způsobem ovlivňují jeho roli v prevenci, detekci a při zvládání kybernetických incidentů. Zkušenost z praxe ukazuje, že bez reálných zkušeností s kybernetickými útoky a jejich projevy na infrastruktuře trpí SOC týmy tzv. provozní slepotou, tj. tyto útoky (či jejich symptomy) na pozadí ostatních událostí nezachytí. Souvisejícím problémem je připravenost IT specialistů, pověřených správou konkrétních IT aktiv, k nezbytným součinnostem se SOC týmem. Právě jejich schopnost rozlišit na jimi spravovaných systémech provozní incident od bezpečnostního, případně dle pokynů týmu SOC realizovat příslušná nápravná opatření, je pro prevenci, zachycení a zvládnutí kybernetického útoku klíčová. Obecně lze říci, že každá implementace SOC do organizace vyžaduje určitou harmonizaci vzájemných vazeb a komunikací mezi týmem SOC a ostatními organizačními složkami u zákazníka. Úspěšnost zavedení SOC má přímou souvislost s odpovídající firemní kulturou, proto je nutné, aby určitou mírou edukace prošly všechny složky na straně organizace. Takovouto harmonizaci vztahů a vazeb je nutno pravidelně prověřovat pod zátěží a tlakem reálných kybernetických útoků, protože pod tlakem a stresem je chování zainteresovaných stran jiné než v dobách klidových.
Naše společnost je připravena pomoci Vám vypořádat se s výše uvedenými problémy při etablování SOC v organizaci. Úvodním krokem naší práce je na základě aktuálního poznání situace u zákazníka vytvoření tzv. strategické Roadmapy. Roadmapa, jíž předchází tzv. Security Assessment, je obvykle prvním krokem v našem přístupu (viz obr. č. 2) k budování proaktivní bezpečnosti a definuje posloupnost nezbytných kroků a součinností pro zavedení SOC v organizaci. Z nabízených řešení bychom rádi zdůraznili nástroj CSx, který pomáhá s visibilitou chráněného prostředí a poskytuje reálný obraz stavu ICT aktiv a souvisejících uskutečněných komunikačních vazeb s potřebnou historií. Součástí naší nabídky je i ucelený program Cyber Defense Academy, tedy ucelený soubor tréninků pro specialisty SOC, pracovníky spravující IT, IT security technologie, pro specialisty z oblasti průmyslových (OT) sítí a pro koncové uživatele.
CORPUS SOLUTIONS
(obr. č. 2)
15
16
FOTO & VIDEO
17
FOTO & VIDEO
PARTNEŘI SEMINÁŘE
MEDIÁLNÍ PARTNER SEMINÁŘE
POŘADATEL SEMINÁŘE
NETWORK MANAGEMENT HAS NEVER BEEN EASIER
18