dystrybutor Alcatel
tel. +48 61 628 43 70 info@versim.pl PL | EN

Systemy SIEM

Sieci komputerowe złożone z wielu przełączników, routerów, systemów bezpieczeństwa, serwerów, baz danych i aplikacji potrafią każdego dnia generować niewyobrażalne ilości danych w postaci logów systemowych. Niekiedy dobra praktyka, a niekiedy wymogi formalne wymagają wyposażenia organizacji w systemy, które będą agregować, choćby w celach dochodzeniowych. Dlaczego jednak nie korzystać z nich dla zwiększenia bezpieczeństwa? Tu wkraczają do akcji systemy zarządzania informacją i zdarzeniami bezpieczeństwa (SIEM). Systemy klasy SIEM są w stanie nie tylko gromadzić miliony logów dziennie, ale także dokonywać ich korelacji, celem wykrycia incydentów bezpieczeństwa i potencjalnie niebezpiecznych zbiorów zdarzeń. Dzięki temu dział IT może swobodnie wpleść w codzienne zadania zerknięcie w panel administracyjny, w którym z dziesiątek milionów zdarzeń systemy SIEM wnioskują o kilkunastu, kilkudziesięciu incydentach i potencjalnie niebezpiecznych, powiązanych ze sobą zdarzeniach. Ułatwia to znacząco życie administratora i podnosi stopień wiedzy o stanie zabezpieczeń infrastruktury wraz z gromadzonymi w niej danymi wrażliwymi. VERSIM w swoim portfolio oferuje rozwiązanie klasy SIEM firmy STM Solutions – ADS: Attack Deception System.

ADS (Attack Deception System) jest autorskim produktem polskiej firmy STM Solutions, stworzonym od podstaw, zaprojektowanym w oparciu o wieloletnie doświadczenia w przeprowadzaniu autoryzowanych ataków hakerskich w wielu polskich firmach. Dzięki temu rozwiązanie jest dostosowane do specyfiki polskich organizacji, zapewniając wysoką skuteczność. ADS jest implementacją nowego podejścia do bezpieczeństwa cybernetycznego, wywodzącego się ze znanego mechanizmu „honeypot”, którego celem jest zwabienie intruza do wydzielonego miejsca w infrastrukturze – pułapki – a tym samym odciągnięcie go od strategicznych elementów infrastruktury o krytycznym znaczeniu dla funkcjonowania organizacji.

System ADS pozwala na detekcję anomalii i nieautoryzowanych działań w systemach IT, automatyki przemysłowej oraz z użyciem danych z systemów kontroli dostępu fizycznego i telewizji przemysłowej CCTV, łącząc w sobie:

  • ochronę reaktywną – podstawą rozwiązania jest wykrywanie ataków na podstawie logów z działających w organizacji systemów bezpieczeństwa

oraz

  • ochronę proaktywną – integralną częścią rozwiązania są tzw. honeypoty w postaci trzech typów modułów: Wi-Fi, SCADA i DMZ. Honeypoty to ‘pułapki’ wyizolowane z właściwego środowiska produkcyjnego. Komponenty te imitują chronioną infrastrukturę i skonfigurowane są w taki sposób, aby przełamanie ich zabezpieczeń było umiarkowanie skomplikowane dla doświadczonego hackera. Po spenetrowaniu przez atakującego uruchamiane są mechanizmy identyfikacji oraz rejestracji metod i narzędzi użytych przez przestępcę. Osoby odpowiedzialne za utrzymanie bezpieczeństwa w przedsiębiorstwie klienta obserwują atak i są w stanie kontrolować działania hackera, by przeanalizować, określić i wdrożyć sposób mitygacji ryzyka i ograniczenia skutków ataku, takich jak kradzież kluczowych danych, degradacja usługi czy zatrzymanie ciągłości działania.

 

Na czym polega wyjątkowość rozwiązania ADS?

  • Rozwiązanie stworzone przez polską firmę, w oparciu o nakłady wewnętrzne firmy, dzięki czemu kod źródłowy oprogramowania znajduje się na terytorium Polski i jest niedostępny dla podmiotów zagranicznych.
  • Produkt powstał w oparciu o wieloletnie doświadczenia w przeprowadzaniu autoryzowanych ataków hakerskich w wielu polskich firmach (producent świadczy usługi z zakresu bezpieczeństwa teleinformatycznego – w tym również testy penetracyjne).
  • Rozwiązanie posiada polskojęzyczny interfejs użytkownika.
  • System ADS implementowany jest w infrastrukturę Klienta przy udziale polskich inżynierów, którzy mogą udzielać bezpośredniego wsparcia technicznego zarówno podczas stabilizacji systemu, jak i w przypadku zaistnienia potrzeby jego modyfikacji czy rozbudowy.
  • Istotną częścią rozwiązania są tzw. honeypoty w postaci modułów bezpieczeństwa: DMZ, Wi-Fi, SCADA, zapewniające proaktywną ochronę przed atakami różnego typu, uzupełniającą do ochrony reaktywnej polegającej na wykrywaniu ataków poprzez zbieranie i korelowanie logów.
  • Produkt może zostać opcjonalnie wyposażony w niewystępujące w dostępnych obecnie produktach tej kategorii moduły umożliwiające: wykrywanie skanowań portów chronionej infrastruktury, poszukiwanie źle skonfigurowanych klientów korporacyjnych sieci Wi-Fi czy wykrywanie potencjalnie złośliwych stacji bazowych.
  • ADS posiada wbudowane alarmy związane z najważniejszymi zdarzeniami, odzwierciedlającymi typowe działania nieautoryzowane, a dla zachowania wysokiego poziomu natychmiastowej responsywności, spośród licznych możliwości i reguł korelacji klient może wybrać te dla niego najistotniejsze.
  • ADS pozwala na wykrywanie ataków, rekonesansu i obcej infrastruktury oraz błędnej konfiguracji urządzeń końcowych użytkownika.
  • Daje możliwość „sterowania” atakującym w celu ograniczenia zakresu, opóźnienia osiągnięcia celu ataku, zdobycia lepszych danych do analizy ataku i materiałów dowodowych.
  • Zapewnia wykrywanie nowych, nieznanych metod ataku.
  • Kompleksowo ochrania środowiska pracy, obejmując IT, OT oraz systemy kontroli dostępu fizycznego i telewizji przemysłowej CCTV.
  • Elastyczne licencjonowanie niezależne od wolumenu zbieranych danych i liczby zdarzeń na sekundę.
  • Wiele pomysłów na dalszy rozwój systemu i dodatkowe moduły, przede wszystkim uwzględniające oczekiwania i potrzeby organizacji działających na rynku polskim.

 

Chcesz wiedzieć więcej – Skontaktuj się z Nami.
Skorzystaj z naszego Kwestionariusza Bezpieczeństwa!