Przedstawiamy Symmetry SOC Lite

Wyzwania nowej rzeczywistości

W związku z systematycznym wzrostem liczby usług cyfrowych każda organizacja stoi obecnie przed wyzwaniem związanym z zapewnieniem bezpieczeństwa dostępu do swoich zasobów oraz stabilności świadczonych usług. Obecnie wiele firm jest w trakcie modernizacji i rozbudowy systemów chroniących przed cyber-zagrożeniami. Efektem końcowym tego przedsięwzięcia ma być zbudowanie i uruchomienie Centrum Bezpieczeństwa Operacji (SOC).

Jest to skomplikowany i wieloetapowy proces, który wymaga nakładów kapitałowych, potrzebnych zarówno do pozyskania odpowiednich narzędzi, jak i systemów bezpieczeństwa, a także zbudowania i wyszkolenia personelu, który będzie funkcjonował w oparciu o odpowiednie procedury. Jest to proces czasochłonny, szczególnie w przypadku dużych organizacji, który przy obecnych uwarunkowaniach mógłby zająć nawet 24 miesiące.

Symmetry SOC Lite – bezpieczne podejście w „sytuacji nadzwyczajnej”

Mając na uwadze obecne realia, stworzyliśmy usługę Symmetry SOC Lite. Jest to pakiet zapewniający odpowiedni poziom bezpieczeństwa organizacji w okresie przejściowym, czyli do momentu osiągnięcie pełnej funkcjonalności SOC.

W oparciu o platformę Cynet 360 i dedykowany zespół inżynierski proponujemy usługę umożliwiającą zdalne monitorowanie, przeciwdziałanie i reagowanie na incydenty bezpieczeństwa. Na czas wdrożenia pełnego SOC proponujemy skorzystanie z naszych usług, które pozwolą znacząco podnieść poziom bezpieczeństwa infrastruktury i systemów. Usługa Symmetry SOC Lite może zostać przez nas uruchomiona w ciągu 1 do 2 tygodni bez względu na obecną sytuację związaną z koronawirusem. Cały proces możemy przeprowadzić zdalnie.

Jak wygląda modelowe podejście do budowy SOC?

Operacyjne Centrum Bezpieczeństwa zbiera zdarzenia ze wszystkich systemów IT i monitoruje ich pracę, wykrywa anomalie, potencjalne ataki czy też ich próby. System tej klasy w celu właściwej oceny sytuacji będzie agregował dane z wewnętrznych zasobów (SIEM, IPS/IDS, EDR, etc.), jak i zewnętrzne zbiory informacji. Innymi słowy jest to centralny system monitorujący, który daje operatorom scentralizowaną możliwość monitorowania incydentów oraz wsparcie w sytuacjach krytycznych.

Koncepcja Operacyjnego Centrum Bezpieczeństwa w uproszczeniu, sprowadza się do powiązania ze sobą różnych systemów w celu „zbudowania wiedzy”. Agregowanie dostępnych informacji w jednym miejscu i ich korelacja pozwoli odnaleźć szereg problemów związanych z bezpieczeństwem, które do tej pory były niezauważalne. Powiązanie ruchu sieciowego z tym, co dzieje się na stacji może np. ujawnić szkodliwe oprogramowanie, które ukrywa się w systemie.

Wzorcowy model systemowy budowy SOC składa się z poszczególnych warstw i systemów, jakie muszą być ze sobą zintegrowane, aby osiągnąć pełną funkcjonalności SOC.

Przykładowo, aby wdrożyć rozwiązanie klasy SIEM, wymagana jest implementacja sensorów, na bazie których uruchomiony zostanie silnik reguł. Dopiero w kolejnym kroku można przystąpić do automatyzacji procesów, a następnie do implementacji zaawansowanych narzędzi analitycznych i śledczych oraz systemów predykcyjnych.

Ponadto każda faza wdrożenia SOC musi zostać poprzedzona analizą możliwości technologiczno-organizacyjnych oraz przygotowaniem procesów i procedur. W trakcie implementacji kolejnych etapów trzeba również wyszkolić i przygotować personel.

W modelowym podejściu do budowy SOC można wyodrębnić 5 kluczowych poziomów.

Poziomy 1 i 2: Podstawowy

Poziom 1 związany jest z wdrożeniem wymaganych narzędzi (sensorów), które będą zapewniać niezbędny poziom bezpieczeństwa poszczególnym obszarom. Łączy się to z implementacją wielu narzędzi, są to m.in. systemy antywirusowe, rozwiązania typu Firewall, infrastruktura PKI, systemy IPS/IDS, mechanizmy bezpiecznego logowania (SSO) i wiele innych.

Poziom 2 to wdrożenie dalszych zabezpieczeń chroniących stacje i serwery w oparciu o narzędzia umożliwiające detekcję i reakcję na incydent, oraz zaawansowany silnik korelacji zdarzeń: system klasy EDR i SIEM. Wdrożenie poziomu 2 nie może zostać rozpoczęte, dopóki nie zostaną zainstalowane podstawowe komponenty poziomu 1.

Poziom 3: Automatyzacja

Po osiągnięciu funkcjonalności SOC na poziomie 2, kolejnym logicznym krokiem będzie automatyzacja bezpieczeństwa - implementacja narzędzi SOAR (ang. Security Orchestration, Automation & Response). Jest to naturalna ewolucja od poziomu 2, gdzie różne narzędzia bezpieczeństwa raportują informacje logiczne do wspólnego SIEM lub kolektora logów.

Poziom 4: Analiza

Technologia SOAR zapewni pracownikom SOC szybką reakcję na incydent. Jednakże w wielu przypadkach właściwa reakcja nie jest możliwa bez stwierdzenia faktycznej przyczyny problemu. Narzędzia analityki zaawansowanej z poziomu 4, które na bazie informacji zebranych z systemów poziomu 1-3 pozwolą m. in. na odpowiednie zabezpieczenie materiału dowodowego do dalszej analizy np. dla celów postępowań sądowych.

Poziom 5: Przewidywanie

Dalsze poszerzanie swoich możliwości oznacza wyprzedzanie przeciwnika. SOC powinien móc przewidzieć ewentualny incydent, na przykład za pomocą wykresów potencjalnych ataków (KillChain). Oprzyrządowanie tych ścieżek i proaktywne blokowanie ruchu napastników to praca SOC na poziomie eksperckim. Równolegle można korzystać z zaawansowanych technologii klasy Deception. Ich zadaniem jest pozyskanie uwagi potencjalnych atakujących, skłaniając ich jednocześnie do poświęcenia dodatkowego czasu i zasobów, aby w ten sposób zakłócić ich plany.

Czym jest Symmetry SOC Lite?

Jest to usługa stworzona w oparciu o platformę Cynet 360 i dedykowany zespół inżynierski umożliwiająca zdalne monitorowanie, przeciwdziałanie i reagowanie na incydenty bezpieczeństwa. To idealne rozwiązanie na czas wdrożenia pełnego SOC. Możliwe uruchomienie już w ciągu 1 do 2 tygodni, bez względu na obecną sytuację związaną z koronawirusem. Cały proces odbywa się w sposób zdalny.

W ramach oferty interwencyjnej przedstawiamy specjalne warunki współpracy:

• Czas korzystania z usługi - min. 3 miesiące
• Wsparcie inżynierów Symmetry na miejscu lub zdalnie w trakcie trwania usługi
• SOC 24/7/365 (Inżynierowie Symmetry i Cynet CyOPS)
• Infrastruktura zlokalizowana w polskim Data Center

Unikalne i elastyczne podejście

Oferta SOC Lite skierowana jest do Klientów z każdego sektora biznesu. Wykorzystywane przez nas narzędzie przeznaczone jest dla firm średniej wielkości, jak i międzynarodowych korporacji, mających setki tysięcy użytkowników. Symmetry SOC Lite sprawdza się wszędzie, niezależnie od stopnia zaawansowania stosu technologicznego i posiadanych przez Klientów systemów bezpieczeństwa. Proponowana usługa może funkcjonować jako „zewnętrzny SOC” lub jako element większego systemu, będąc jego integralną częścią – kolejnym sensorem zintegrowanym z SIEM.

Bazujemy na oprogramowaniu. To oznacza, że uruchomienie naszych usług nie wymaga bezpośredniej interakcji z Klientem. Całość prac implementacyjnych możemy przeprowadzić zdalnie z wykorzystaniem dostępnych kanałów komunikacyjnych i systemu VPN.

Zarządzanie systemem możemy przekazać zespołowi ds. bezpieczeństwa, świadcząc wsparcie w przypadku skomplikowanych incydentów. Możemy również przejąć zarządzanie bezpieczeństwem, proponując pomoc naszych lokalnych specjalistów oraz inżynierów Cynet, z gwarancją dostępności 24/7/365.

Korzystając z technologii Cynet 360 bazujemy na informacjach otrzymywanych z agentów zainstalowanych na stacjach roboczych i serwerach (nie na sensorach). Oprogramowanie zawiera bogaty zbiór wielu narzędzi w ramach jednej platformy.

Wykorzystujemy technologię Sensor Fusion, oferując autonomiczną platformę ochrony przed incydentami. Wykraczamy tym samym poza standardowe rozwiązania silosowe, które są obsługiwane manualnie. Dzięki temu nasza usługa zapewnia pełną automatyzację:

• monitorowania i kontroli,
• zapobiegania atakom i wykrywania oraz
• orkiestrację odpowiedzi na incydenty w całym środowisku.

Gwarantuje ona kompleksowe bezpieczeństwo poprzez natywną integrację wszystkich możliwości ochrony i automatyzację całego procesu ochrony przed incydentami, od wstępnego monitorowania po reakcję na incydent. Jej fenomen polega na tym, że chroni ona całe środowisko wewnętrzne w dowolnej wielkości organizacji, w tym: hosty, pliki, użytkowników, sieć.

Platforma „rozumie” dużą liczbę działań, które mają miejsce każdego dnia i koreluje je w celu określenia wewnętrznego ryzyka firmy – bez kosztów ogólnych związanych z integracją, wdrażaniem i utrzymaniem. Ponadto zapewnia ona solidny pakiet kontroli bezpieczeństwa, a także dodatkową opcję wsparcia zespołu ekspertów ds. bezpieczeństwa w trybie gotowości 24/7 w zakresie:

• malware re-verse engineering
• forensics
• threat hunting
• incident response

Ta specjalistyczna wiedza ma kluczowe znaczenie w najbardziej krytycznych momentach związanych z incydentami, a także w sytuacjach ekstremalnych, kiedy wymagane jest przeprowadzenie dochodzenia sądowego.

System Cynet 360 nie wymaga od Klientów posiadania złożonych stosów zabezpieczeń obejmujących wiele produktów, dzięki czemu jest w zasięgu większości organizacji. Platforma oferuje unikalne podejście do bezpieczeństwa ofensywnego oraz defensywnego. Jest ona bowiem połączeniem wielu technologii, takich jak Next Gen Anti Virus (NGAV), End Point Detection & Response (EDR) czy Sandbox. Wykorzystując zróżnicowane narzędzia, Cynet oferuje zaawansowane możliwości głębokiej analizy śledczej, zarówno statycznej, jak i dynamicznej, z wykorzystaniem wbudowanego lub chmurowego kontekstowego Sandboxa.

Nasza usługa zapewnia szeroką widoczność na poziomie sieci, punktów końcowych, plików i użytkowników. Co więcej, chroni przed szeroką gamą incydentów, w tym powszechnymi, jak również zaawansowanymi, wielowarstwowymi atakami. Platforma jest w pełni elastyczna – idealnie dostosowuje się do ewoluującej infrastruktury i wachlarza zagrożeń.

Usługa Symmetry SOC Lite w oparciu o technologię Cynet 360 to między innymi:

• Antivirus           
• Zestaw predefiniowanych remediacji (Remediation)
• Next-Gen-Antivirus (NGAV)      
• Indywidualne remediacje (Playbooks)
• Analityka ruchu sieciowego (NA)           
• Monitorowanie integralności plików
• Endpoint Detection & Response (EDR) 
• Zbieranie wszystkich logów z monitorowanych zasobów
• Pułapki na atakujących (Deception)      
• Zarządzanie podatnościami (Sandbox)
• Analityka Behawioralna Użytkowników (UBA)  
• Analiza (Forensic)
• Inwentaryzacja

Potęga Sensor Fusion

Jest to technologia, której działanie polega na nieustannym zbieraniu i analizowaniu danych w całym środowisku, w tym memory-based execution, obserwacji ruchu sieciowego, aktywności konta użytkownika i dostępu do plików. Dane te zapewniają wgląd w całe środowisko, umożliwiając proaktywne wykrywanie, monitorowanie i kontrolę nad każdą warstwą narażoną na atak.

Cynet 360 jest pionierem w wykorzystaniu czujnika Sensor Fusion do ciągłej analizy wszystkich sygnałów z aktywności chronionego środowiska - działania użytkownika czy ruchu sieciowego - zapewniając precyzyjną ochronę przed zagrożeniami. Ponadto analizuje on niejako „wagę” każdego zdarzenia i zapewnia ocenę ryzyka, co umożliwia zespołowi ds. bezpieczeństwa określenie priorytetów podejmowanych zadań.

Nieograniczony dostęp dla Działu Bezpieczeństwa SOC

Aplikacja Cynet Dashboard App umożliwia dostęp dla CISO z każdego miejsca, i o każdej porze za pośrednictwem iPhone'a, iPada i Apple Watch. Ponadto generuje alarmy w czasie rzeczywistym i daje możliwość dotarcia do zespołu Symmetry CyOPS za pomocą jednego kliknięcia, w sytuacjach oraz w czasie, kiedy jest to wymagane.

Symmetry SOC Lite w modelowym podejściu do SOC

Biorąc pod uwagę wzorcowy model budowy SOC, jego przewidywany harmonogram oraz obecną sytuację związaną z koronawirusem proponujemy nasze usługi, które na czas wdrożenia pełnego SOC mogą być doskonałym sposobem na znaczące podwyższenie poziomu bezpieczeństwa. Oferujemy usługę Symmetry SOC Lite pokrywającą poziomy 1-5 w 60-70% na okres przejściowy, dopóki SOC nie osiągnie pełnej funkcjonalności.

Symmetry SOC Lite w warstwie 1-5

W ramach usługi w warstwie 1 dostarczamy między innymi poniższe narzędzia:

• AV & NGAV (AI)
• Breach Detection
• Threat Intelligence
• Critical Assets Protection
• Exploit Pattern Detection 
• Critical Process Protection
• Exploit Surface Reduction         

W warstwie 2 wzorcowego modelu budowy SOC udostępniamy narzędzia klasy EDR, analizujemy zachowanie wszystkich plików, użytkowników, maszyn (stacji roboczych i serwerów) oraz ruchu sieciowego. Na podstawie korelacji danych prezentowana jest zagregowana lista zagrożeń.

W warstwie 3 nasza usługa daje możliwość automatycznego nadawania priorytetów oraz automatycznego przeciwdziałania zaobserwowanym incydentom. Do dyspozycji mamy pełną paletę predefiniowanych narzędzi remediacyjnych (powyżej 40) oraz możliwość kreowania własnych akcji remediacyjnych. Ponadto przy bardziej wyrafinowanych incydentach wykorzystujących wiele wektorów ataku, zastosowanie ma moduł tworzenia tzw. „playbook’ów”.

W warstwie 4 oprócz wykrywania i zapobiegania zaawansowanym i nieznanym zagrożeniom zbieramy również wszystkie logi dotyczące 4 potencjalnych wektorów ataku, które obejmują: zachowanie użytkownika, plików, hostów i sieci. Wszystkie dane są wysyłane do serwera, gdzie następuje ich indeksowanie w bazie danych do analizy retrospektywnej. Każdy z 4 wektorów ataku jest uważany za obiekt w funkcji kryminalistycznej, dzięki czemu wykorzystywane narzędzie Cynet może automatycznie korelować relacje między różnymi obiektami, tworząc jednocześnie oś czasu dla każdego zdarzenia.

Zapewniamy też możliwość wykonania zapytania do dowolnego obiektu w systemie poprzez identyfikację parametrów.

W warstwie 5 oferujemy zaawansowane techniki „Deception” oraz „UBA”. Model „Deception” pozwala na symulowanie oraz ulokowania fałszywych plików, użytkowników oraz hostów, jako pułapek na atakujących, co służy zmyleniu potencjalnych napastników. Model UBA obejmuje funkcję monitorowanie zachowania użytkowników pozwalającą na wyłapanie anomalii – nietypowych działań. Ze względu na sposób funkcjonowania UBA, które na ogół generuje dużą liczbę false/positive, wykorzystywane narzędzie Cynet uruchamia alert tylko wtedy, gdy użytkownik został już odpytany (przez funkcję weryfikacji UBA) i nie potwierdził swojej aktywności. 

Symmetry HelpDesk dla SOC Lite

W ramach usługi zespół Symmetry SOC Lite proaktywnie monitoruje (24/7/365) dashboardy naszych Klientów oraz podejmuje wszelkie niezbędne działania przeciwdziałające cyber-incydentom.

W przypadku, gdy pracownicy SOC danej firmy mają jakiekolwiek pytania lub zgłoszenia dotyczące incydentów, zapewniamy kompleksowe usługi HelpDesk w zakresie analizy malware oraz przebiegu ataków. Posiadamy wieloletnie doświadczenie w dziedzinie wsparcia IT, z uwzględnieniem specyficznych potrzeb technologicznych naszych Klientów. Oferujemy zakres wsparcia technicznego, począwszy od pierwszej linii helpdesk przez kompleksowy troubleshooting w trzypoziomowym modelu wsparcia (2ga i 3cia linia wsparcia, SME, R&D), realizowanym w ramach zaawansowanych poziomów eksperckich.

Więcej informacji na temat Symmetry SOC Lite: +48 785 500 068.