Monitorowanie i zarządzanie bezpieczeństwem

Proofpoint Threat Response organizuje kilka kluczowych faz procesu reagowania na incydenty. Może pobierać każdy alert z dowolnego źródła i automatycznie wzbogacać i grupować je w incydenty w ciągu kilku sekund. Zespoły ds. bezpieczeństwa otrzymują bogaty kontekst dzięki wykorzystaniu analizy zagrożeń Proofpoint oraz informacji o zagrożeniach innych firm, aby pomóc zrozumieć „kto, co i gdzie”, oraz ustalić priorytety i szybko segregować nadchodzące zdarzenia.

Gdy alert informuje, że system został zaatakowany przez złośliwe oprogramowanie, Threat Response automatycznie wdraża moduł pobierający  dane śledcze z systemu. Dane te są porównywane z bazą IOC (Indicators of Compromise – Wskaźników Ataku), aby szybko potwierdzać, czy system jest zaopatrzony w IOC związane z bieżącymi atakiem.

Threat Response przedstawia spojrzenie na zagrożenia w oparciu o zebrane i przeanalizowane dane kryminalistyczne. Ten widok umożliwia analitykom podejmowanie działań mitygujących, identyfikowanie obszarów do dodatkowych dochodzeń lub włączanie automatycznej odpowiedzi, takiej jak wycofywanie dostarczonych wiadomości e-mail ze skrzynek pocztowych użytkowników, dodawanie użytkowników do grup o niskich uprawnieniach, aktualizowanie list blokujących zapór sieciowych, filtrów sieciowych i wiele więcej.

Ogranicz zagrożenie, blokując/poddając kwarantannie zagrożenia e-mail w Exchange, zaporach ogniowych, EDR, bramach internetowych, usługach AD, NAC i innych.

Więcej informacji znajdą Państwo na stronie producenta

SOAR, czyli Security Orchestration, Automation & Response odnosi się do stosu rozwiązań, które umożliwiają organizowanie i automatyzację różnych części zarządzania bezpieczeństwem i operacji w celu poprawy dokładności, spójności i wydajności procesów bezpieczeństwa i przepływów pracy dzięki automatyzacji reakcji na zagrożenia.

SOAR składa się z 3 głównych komponentów:

• Orkiestracja bezpieczeństwa – automatycznie agreguje dane z wielu źródeł, dodaje do nich kontekst bezpieczeństwa i modeluje przepływy pracy na podstawie zintegrowanych scenariuszy.

• Automatyzacja zabezpieczeń – obejmuje automatyzację wielu powtarzalnych czynności związanych z procesem wykrywania zagrożeń. SOAR automatyzuje gromadzenie wzbogaconych danych dotyczących zdarzenia i może wykonywać typowe czynności dochodzeniowe w imieniu analityka.

• Reakcja na incydent – obejmuje segregację, powstrzymywanie i eliminację zagrożeń. Metody reagowania zależą od rodzaju i zakresu zagrożenia. Niektóre reakcje na zagrożenia można zautomatyzować w celu uzyskania szybszych wyników, takich jak kwarantanna i blokowanie skrótów plików w całej organizacji, izolowanie hosta lub wyłączanie dostępu do zagrożonych kont.

Niedobór umiejętności w zakresie cyberbezpieczeństwa, napięte budżety IT, dynamiczne zmiany zagrożeń i potrzeba optymalizacji operacji bezpieczeństwa – to główne powody dla, których organizacje stawiają na wdrożenia SOAR.

W zakresie SOAR współpracujemy z Palo Alto Cortex – najbardziej wszechstronną w branży platformę do orkiestracji, automatyzacji i reagowania na zagrożenia z natywnym zarządzaniem i analizą zagrożeń.

Zachęcamy do zapoznania się z raportem producenta

Wykrywanie i reagowanie w sieci (NDR) to nowa kategoria rozwiązań zabezpieczających, które uzupełniają i wykraczają poza możliwości narzędzi do analizy logów (SIEM) oraz produktów do wykrywania i reagowania na urządzenia końcowe (EDR).

NDR to narzędzie pozwalające Twoim administratorom na neutralizację ataków we wczesnych fazach Cyber Kill Chain, wprowadzenia procedur opartych na frameworku MITRE ATT&CK i szczegółowej informatyki śledczej.

Wraz z powszechnym przyjęciem Internetu – rzeczy, przetwarzanie w chmurze i w związku z transformacją cyfrową – sieci stają się coraz bardziej wartościowym celem dla wyrafinowanych przeciwników, co czyni rozwiązania NDR niezbędnym narzędziem do wykrywania zagrożeń. NDR to doskonały pierwszy krok w kierunku bardziej proaktywnej postawy zabezpieczeń, ponieważ przynosi natychmiastowe korzyści i jest dużo łatwiejszy do wdrożenia i konfiguracji niż SIEM i EDR.

Produkty NDR:

• monitorują ruch wschód-zachód i stosują zaawansowane analizy behawioralne i uczenie maszynowe, w celu szybkiego wykrycia, klasyfikacji i reakcji na zagrożenia,
  • automatyzują reakcje pozwalając zespołowi bezpieczeństwa skupić się na najistotniejszych zdarzeniach sieciowych.

Oprogramowanie do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) zapewnia specjalistom ds. bezpieczeństwa zarówno wgląd w działania w ich środowisku informatycznym, jak i zapis historii tych działań. SIEM to grupa złożonych technologii, które razem zapewniają scentralizowany wgląd w infrastrukturę sieci „z lotu ptaka”. SIEM zapewnia analizę danych, korelację zdarzeń, agregację i raportowanie, a także zarządzanie dziennikami. Chociaż technologia SIEM istnieje od ponad dekady, to dziś stała się krytycznym elementem strategii bezpieczeństwa. Dlaczego więc potrzebujesz SIEM?

Krótka odpowiedź: jeśli napotkasz naruszenie i zostaniesz zapytany „Co się stało?”, nie chcesz, aby Twoja odpowiedź brzmiała „Nie wiem”.

Dzięki SIEM nie zabrzmi, ponieważ uzyskasz:

• Wgląd w szczegóły incydentu bezpieczeństwa  – dzięki korelacjom i agregacji zyskasz pełen obraz aktywności powiązanych z atakiem na Twoją sieć.
  • Zgodność z regulacjami – zapewniając wgląd w zdarzenia i korelując je SIEM pomoże Ci uzyskać pozytywny wynik dla audytów IT.
    • Efektywny proces zarządzania incydentami  – skoro widzisz co się dzieje, możesz tym zarządzać. SIEM pozwoli Ci zautomatyzować procesy i zaangażować odpowiednie osoby.

Zaawansowana analiza ruchu sieciowego wraz z jego przechowywaniem to wariant strategii cyberbezpieczeństwa adaptowany przez najbardziej świadome przedsiębiorstwa. Informacje pozyskane z tych systemów pomagają szybko odpowiedzieć na krytyczne pytania, takie jak: w jaki sposób doszło do naruszenia, jakie dane zostały poddane filtracji, co zostało narażone na szwank, kogo to dotyczyło i jakie działania naprawcze należy podjąć.

Rozpoznawanie aplikacji, rekonstrukcja sesji, analizy kontekstowe i zautomatyzowane reakcje na incydenty – to wszystko przy zdolności do przetwarzania terabajtów danych pozwala odpowiedzieć na ataki.

W naszych instalacjach wykorzystujemy rozwiązania NIKSUN NetDetector i Full-Packet Capture – zarządzanych za pomocą centralnej konsoli Omnia.

Rozwiązania NIKSUN charakteryzują się między innymi funkcjonalnościami takimi jak:

• Przechowywanie pełnej kopii ruchu sieciowego w celu analizy śledczej
  • Odtwarzanie sesji aplikacji z zapisanych danych
    • Możliwość klasyfikowania i analizowania szerokiego spektrum protokołów
      • Przechwytywanie ruchu i analiza w architekturze rozproszonej umożliwiającej pokrycie całej sieci i dowolnej liczby interfejsów
        • Przepustowość systemu przekraczająca 100Gbps
          • Rekonstrukcja aplikacji i sesji TCP do analizy śledczej i zabezpieczenia dowodów poprzez zachowanie kontekstu interfejsu użytkownika danej aplikacji
            • Ustandaryzowane urządzanie podłączane do sieci w trybie „plug and play”Wszystko celem pełnego wglądu w ruch sieciowy firmy.