Loading...
Artykuły

Technologie w ramach modelu Managed Security Service

Praktyka pokazuje, że w firmach rosną potrzeby funkcjonalne i jakościowe, wynikające niejednokrotnie z różnego rodzaju regulacji i rozporządzeń. To jest punkt, w którym coraz większego znaczenia nabierają specjalizowane usługi, dostarczane w formie precyzyjnie dopasowanej do potrzeb odbiorcy.

Wiele usług dostarczanych w   modelu MSS może występować jako  indywidualny produkt. Jednak ich wartość będzie zdecydowanie większa, jeśli implementowane rozwiązania będą ze sobą współpracowały. Te aspekty bierzemy pod uwagę w projektach, w których współtworzymy usługę – wyjaśnia Grzegorz Szmigiel – dyrektor techniczny Veracomp i prezentuje konkretne technologie, charakterystyczne dla zarządzanych usług bezpieczeństwa.

Mechanizm SD-WAN – cenne z punktu widzenia każdej firmy wielooddziałowej oraz takiej, która wykorzystuje łącza od wielu operatorów. Monitoruje jakość dostępnych łączy i w oparciu o polityki kieruje i dystrybuuje ruch w taki sposób, aby zapewnić jak najlepszą jakość usług. Odpowiada również za kreowanie szyfrowanych kanałów komunikacyjnych pomiędzy lokalizacjami, zapewniając redundancję i optymalizując przepustowość. SD-WAN może stanowić naturalną rozbudowę usług świadczonych na systemach zintegrowanych ponieważ na ogół posiadają one te mechanizmy.

Uwierzytelniania wieloskładnikowe – czyli wykorzystywanie dodatkowych poświadczeń w procesie uwierzytelniania (np. kodów jednorazowych). W tym przypadku bardzo ważne jest, by bazowało na standardach, umożliwiających elastyczną integrację z szeroką gamą produktów, systemów i aplikacji. W takim scenariuszu operator usługi definiuje konta dla administratorów, którzy lokalnie decydują – dla których grup użytkowników oraz dla jakich systemów i aplikacji usługa ma być stosowana. Implementacja wiąże się z zainstalowaniem lokalnie aplikacji typu proxy, która nadzoruje procesy uwierzytelniania i współpracuje z lokalnymi bazami użytkowników w celu weryfikacji procesu uwierzytelnienia.

Ochrona i kontrola poczty elektronicznej – zarówno w sytuacji, kiedy serwer poczty utrzymywany jest lokalnie, jak również wtedy kiedy jest zlokalizowany w chmurze (np. Office 365). W obu scenariuszach dla użytkowników usługi przygotowane są podstawowe polityki bazujące na dobrych praktykach, chroniące przed spamem i niebezpiecznymi załącznikami. Analizują również pocztę wychodzącą z domeny klienta tak,  aby nie była ona postrzegana jako źródło niechcianego spamu i zagrożeń.

Na tak przygotowanej podstawie można rozbudowywać usługę o szereg dodatkowych funkcji, które będą ją wyróżniały spośród tego typu produktów dostępnych na rynku. Wśród najważniejszych można wymienić: archiwizację wiadomości, analizę w oparciu o dedykowane polityki, virus outbrake, ochronę informacji poufnych czy szyfrowanie poczty w oparciu o polityki.

Ochrona portali i aplikacji  –  usługa dedykowana dla klientów, którzy udostępniają portale i aplikacje za pośrednictwem serwera www – niezależnie czy są zlokalizowane lokalnie czy utrzymywane w datacenter. Zasadniczym elementem są mechanizmy związane z dostępem do aplikacji oraz jej dystrybucją, takie jak: weryfikacja dostępności serwisów, mechanizmy podziału obciążenia, optymalizacja komunikacji, terminowanie szyfrowanych połączeń oraz uwierzytelnienie.

Również w tym przypadku stosowane są dwa scenariusze. Pierwszy bazujący na modelu negatywnym polityk, w którym cała komunikacja analizowana jest metodami statycznymi, chroniąc przed zagrożeniami opisanymi poprzez wzorce, bazy reputacyjne czy elementy analizy protokołów. Ten uniwersalny  zestaw polityk może być następnie – w drugim scenariuszu – dopasowywany do indywidualnych potrzeb klientów i rozbudowywany o: elementy autolearningu lub machine learningu, niestandardowe zestawy polityk, ochronę informacji poufnych czy mechanizmy zapobiegające próbom logowania w oparciu o skradzione poświadczenia.

Analiza i zarządzanie podatnościami – usługa, która może być świadczona dla standardowego środowiska teleinformatycznego przedsiębiorstwa, jak również dla środowisk OT. Implementacja różni się w zależności od wielkości i typu środowiska. Na bazie dostępnych mechanizmów mogą być świadczone różne poziomy usług. Mogą one obejmować podstawowe elementy, jak skanowanie i raportowanie podatności na systemach zlokalizowanych w środowisku klienta, zestawianie zebranych informacji z różnymi normami  – do przestrzegania których dany podmiot jest zobligowany, poprzez analizę trendów i ciągły nadzór nad procesem wykonania i egzekwowania polityki zarządzania podatnościami.

Rozbudowana forma usługi dla środowisk przemysłowych może dodatkowo monitorować stan i wykorzystanie elementów OT, ich konfigurację oraz przepływy, które mają miejsce pomiędzy elementami infrastruktury.

Wszystkie te informacje opatrzone analityką centrum kompetencyjnego operatora usługi są źródłem wiedzy na temat kondycji bezpieczeństwa oraz stanowią solidną podstawę, w oparciu o którą można długofalowo planować jak infrastruktura teleinformatyczna może być rozbudowywana i modernizowana w przyszłości.

Analiza zachowań w sieci – Analiza zachowań w sieci umożliwia realizację dwóch podstawowych zadań: planowanie zasobów (przewidywanie wąskich gardeł) oraz wykrywanie anomalii w komunikacji (np. wykrycie intruza w sieci). W obu przypadkach wykorzystywane są istniejące elementy infrastruktury lub dedykowane urządzenia, które pozwalają gromadzić dane statystyczne na temat komunikacji sieciowej. Na tej podstawie budowane są trendy pracy sieci. Kolejnym elementem jest określenie standardowego zachowania sieci – czyli zbudowania pewnej bazy „baseline”, która będzie podstawą wnioskowania o nieprawidłowościach. Nieprawidłowością może być: komunikacja z nowych adresów, zapytania DNS, nowe porty komunikacyjne, nowa szyfrowana komunikacja. Tego typu zmiany w zachowaniu sieci powinny alarmować administratora, by ten mógł zweryfikować z czego wynikają zmiany zachowania i potencjalnie wyeliminować zagrożenie na posiadanych systemach zabezpieczeń.

Audyt polityk bezpieczeństwa i zarządzanie politykami w środowisku heterogenicznym – zadanie szczególnie ważne dla środowisk rozbudowanych, rozproszonych, w których występują różne typy systemów pochodzące od różnych producentów. Zasadniczym problemem w tego typu implementacjach jest weryfikacja spójności polityki  w obrębie całej infrastruktury oraz definiowanie nowych kanałów komunikacyjnych, które wynikają z procesów biznesowych, a muszą być zaimplementowane na różnych systemach zarządzanych przez niezależne zespoły. Zlokalizowanie nadzoru nad tymi procesami w centrum kompetencyjnym operatora usługi pozwala – oprócz części utrzymaniowej – świadczyć usługi doradztwa, raportowania i zestawiania zebranych informacji w zgodności z normami.

Koleją wartością, która może być dostarczana w tym obszarze jest automatyzacja procesu backupu systemów, wersjonowanie ich konfiguracji, weryfikacja jakości konfiguracji urządzeń, aby same w sobie były bezpieczne i pracowały optymalnie (hardening).

Security awarness czyli kamapanie szkoleniowe – wnioski wynikające z przeprowadzanych audytów bardzo często podkreślają jak ważna jest wiedza pracowników w zakresie bezpieczeństwa, ochrony danych, norm, regulacji, realizowanych procesów. Aktualizowana i weryfikowana – usprawnia funkcjonowanie wielu obszarów. Problemem jest jednak jej utrzymywanie, a przede wszystkim dostarczanie  – zarówno w kwestii przekazu merytorycznego,. jak i czasochłonności.  Te problemy są adresowane w postaci platform wyposażonych w przygotowane kampanie szkoleniowe uwzględniające szereg zagadnień np. antiphishing, RODO i inne. Cały proces kampanii jest rozłożony w czasie i  realizowany w postaci cyklu: weryfikacja wiedzy, moduły szkoleniowe, uzupełnianie wiedzy – który może być powtarzany do czasu osiągnięcia zakładanego poziomu kompetencji w danym zakresie. Implementacja tych produktów w modelu usługowym pozwala rozszerzać rolę doradczą o elementy szkoleniowe dla większego grona klientów. Jej wartość może być tym większa, że oprócz gotowych kampanii, operator usługi może przygotowywać własne cykle szkoleniowe – spersonalizowane z punktu widzenia procesów oraz obszarów wiedzy indywidualnego klienta.

Raportowanie oraz zarządzanie incydentami – element, który spina w jedną całość różne typy systemów i usług, kolekcjonuje informacje logowane z różnych systemów i koreluje je aby na tej podstawie raportować, informować o incydentach, reagować na nie, badać trendy i wyciągać wnioski. Mówimy o systemach klasy SIEM, które są podstawą funkcjonowania Security Operation Center. Duże znaczenie tego typu usług jest bezdyskusyjne. Na rynku brakuje specjalistów a potrzeby firm i przedsiębiorstw w zakresie bezpieczeństwa nieustannie rosną. Jest kilka elementów, które są kluczowe do zbudowania dobrej usługi tego typu: wiedza i doświadczenie specjalistów – analityków, dobre narzędzia, elastyczna możliwość integracji z szeroką gamą zewnętrznych produktów i systemów, zasilanie własnymi i zewnętrznymi informacjami o zagrożeniach, ale przede wszystkim jakość mechanizmów korelujących i wnioskujących – dopasowanych do realiów klienta.

Więcej informacji na temat MSS:

Model MSS przyszłością nowoczesnych usług bezpieczeństwa

Inne artykuły: