Bezpieczeństwo pracy zdalnej
Jak ułatwić sobie monitoring bezpieczeństwa sieci – problemy i rozwiązania dla sektora publicznego
(08.06.2020)

— Rafał Broda —
04:03 Na poprzednim webinarze przeprowadzonego w formie zadawania fundamentalnych pytań i udzielania na nie odpowiedzi, zbudowaliśmy system bezpiecznego dostępu, z uwzględnieniem uwarunkowań organizacyjnych i wieloskładnikowych uwierzytelnień.

— Paweł Wojciechowski —
Powstała nam taka oto architektura. Mówiliśmy o tym jak stworzyć bezpieczny zdalny dostęp. Głównym elementem tego rozwiązania jest FortiGate, czyli firewall z naszej oferty, na którym można zaimplementować bramę VPN. Żeby spiąć to po stronie klienta, potrzebny jest FortiClient, czyli klient VPN, który pozwoli spiąć ten tunel VPN i wtedy będą mieli Państwo bezpieczne zdalne połączenie. Mówiliśmy o tym, że mogą Państwo mieć darmowego klienta VPN i taki klient ma wyłącznie funkcjonalność VPN-a, ale z racji tego, że jest to zdalna praca i bezpieczeństwo końcówki jest krytyczne, warto rozważyć opcję pełnego klienta, czyli FortiClienta razem z zarządzaniem – FortiClient EMS. Jest to już opcja płatna, natomiast oprócz bramy VPN, dostarcza bezpieczeństwo końcówki, czyli antywirus i inne zaawansowane zabezpieczenia, skaner podatności, filtrowanie sieci, jak również integrację z Security Fabric i politykami bezpieczeństwa na FortiGate. Można do tego dołożyć jeszcze dwuskładnikowe uwierzytelnianie, żeby jeszcze bardziej wzmocnić bezpieczeństwo zdalnej pracy. To co jest do niego potrzebne, to FortiToken po stronie użytkownika, który może być dostępny w wersji aplikacyjnej albo sprzętowej i FortiAuthenticator, który będzie zarządzał centralnie tokenami, żeby wprowadzić te dwuskładnikowe uwierzytelnianie. Taki obraz w zeszłym tygodniu Państwu przedstawiliśmy, a dzisiaj to co będziemy chcieli Państwu pokazać, to jak przy większej firmie – która ma wiele oddziałów – efektywnie tym zarządzać.

— Rafał Broda —
06:40
Mamy już pewne składowe systemu bezpieczeństwa. Rozwiązanie działa i jest stabilne. Bezpieczeństwo to ciągły wyścig zbrojeń. Powraca cały czas pytanie, jak można zrobić coś bardziej efektywnie, gdy mamy ograniczenia budżetowe. Jak dobrać, adekwatnie do mojej obecnej sytuacji, komponenty, usługi, ludzi, tak aby panować nad tym bezpieczeństwem u nas w organizacji, ale na założonym, zdroworozsądkowym poziomie. — Paweł Wojciechowski — Na slajdzie widzą Państwo Security Operations Center i model dojrzałości, który jest do tego przyłożony. W zależności od wielkości organizacji, dojrzałości i posiadanych narzędzi, należy dobrać takie działania i narzędzia, które będą odpowiednie do naszych umiejętności organizacyjnych i stworzyć dla siebie taki SOC, który będziemy mogli efektywnie wykorzystać. To co warto brać pod uwagę i tak jak my patrzymy na ten model, to mamy trzy poziomy SOC-a. SOC 1, to organizacje, które mają wspólny zespół IT i bezpieczeństwa, gdzie reakcja na incydent jest najlepszym możliwym sposobem, a jeżeli chodzi o narzędzia, to mówimy o logowaniu, ale też wykrywaniu i reagowaniu na incydenty. Potem mówimy o organizacji, która jest już trochę większa i ma wydzielony dział bezpieczeństwa. Nie jest on duży, ale ma potencjalnie 3-5 pracowników. Ma już (jeżeli chodzi o procesy) plan reagowania na incydenty bezpieczeństwa, jeżeli nie na wszystkie obszary, to przynajmniej na część. Ma również narzędzia, które pozwalają zarządzać heterogenicznym środowiskiem. Trzeci poziom organizacji, to organizacja, która ma bardzo mocno rozwinięty dział bezpieczeństwa, ma również zorganizowany SOC, rozległe środowisko i dużą ilość infrastruktury do zarządzania. Ma również procesy zaawansowane, które wymagają automatyzacji i jeżeli chodzi o narzędzia, to ten typ organizacji ma już najwyższy poziom narzędzi i żeby również zapanować nad nieefektywnością wybranych procesów, potrzebujemy implementacji narzędzi, które uporządkują procesy i w sposób spójny, jednolity, będą reagowały na incydenty bezpieczeństwa. Każdy musi sobie odpowiedzieć na pytanie jakich narzędzi potrzebuje. To co my tu pokazujemy (jeżeli chodzi o model dojrzałości), to, że jeżeli mają Państwo homogeniczne środowisko bazujące na FortiNecie i nie jest to duża organizacja, to Fabric Management Center (na który składa się FortiAnalyzer i FortiManager), będzie zdecydowanie dobrym rozwiązanie. Jak idą Państwo wyżej, tzn. mają Państwo bardziej dojrzałą organizację, oddzielny dział bezpieczeństwa i heterogeniczne środowisko, to wtedy warto do tego dołożyć FortiSIEM, który będzie ściągał logi albo komunikaty z różnych rozwiązań, różnych producentów i będą mieli Państwo jedną centralną konsolę zarządzania na poziomie FortiSIEM-a. Trzeci poziom to największa organizacja, która potrzebuj spójności reakcji na incydent i automatyzacji procesów. Do tego służy FortiSOAR. To co widzą Państwo na tym slajdzie, to niezależnie od wielkości organizacji, jeżeli mają Państwo rozwiązania FortiNet, to zawsze warto mieć w swojej architekturze bezpieczeństwa FortiAnalyzera i FortiManagera, który tą częścią FortiNetową zarządzi i będzie to część większego rozwiązania, które będą Państwo implementowali. Skupimy się dzisiaj na organizacjach, które mają dział IT połączony z działem Security.

— Rafał Broda —
11:58
Rzeczywiście jest to pewien model najlepszych praktyk, ale chciałbym je przenieść na własny grunt. Sytuacja naszej sieci wyglądała tak. Na początku rzeczywiście istniał oddział centralny, głównie firewall, koncentrator VPN, a potem pojawiły się kolejne oddziały (terenowe, regionalne), które we własnym zakresie organizowały dostęp do Internetu, a jednocześnie potrzebowały dostępu do zasobów centralnych. Koncepcja hurtowo uruchamianych zdalnych pulpitów w centrali była ciekawa, ale okazała się nieskuteczna. Dodatkowo dochodziły rozwiązania firm trzecich, np. jakichś dostawców bazodanowych, dostawców systemów lokalnych, map geodezji itp. Trwało to niecały rok, nasza sieć się rozrosła, obecnie mamy pod swoim zarządzaniem kilkanaście UTM-ów i ten efekt skali, który w międzyczasie powstał, trochę nas przytłoczył. Staramy się utrzymać homogeniczność, spójność dostawców, bo nie możemy pozwolić sobie budżetowo na inżynierów, z których jeden opiekował by się brzegiem sieci, drugi warstwą w centrali dotyczącą switchingu, a kolejny siecią Wi-Fi. Mamy jedną kompletną technologię, ale jak tym wszystkim efektywnie zarządzać?

— Paweł Wojciechowski —
Na centralny system zarządzania składają się dwa rozwiązania. Pierwszym z nich jest FortiManager, który w dużym uproszczeniu jest centralnym systemem zarządzania konfiguracją rozwiązań FortiNetowych. Te rozwiązanie robi to, co powinien robić system zarządzania konfiguracją. FortiManager to umożliwia. W jednym miejscu mają Państwo zarządzanie konfiguracją FortiGate’ów, ale również Switchy, AP i Extenderów. W jednym miejscu mają Państwo także zarządzanie politykami bezpieczeństwa, więc jeżeli mają Państwo X urządzeń i chcieliby Państwo zachować spójność polityk bezpieczeństwa, to kreują je Państwo w jednym miejscu, a następnie dystrybuują na te urządzenia i kontrolują jakiego typu profile, polityki na tych urządzeniach działają. To jest pierwsza rzecz. Drugi ważny punkt, to centralny back-up konfiguracji urządzeń. FortiManager umożliwia centralny back-up konfiguracji urządzeń w momencie, kiedy coś się dzieje z urządzeniem, kiedy trzeba je wymienić, a można sobie konfigurację tego urządzenia odtworzyć z back-upu. Co za tym idzie, jak mamy centralny back-up konfiguracji urządzeń, to mamy też kontrolę nad procesem zmian, ale też audyt zmian. Mamy wersjonowanie konfiguracji, czyli mogą Państwo widzieć, którą wersję konfiguracji, jak to szło w czasie, co zostało zmienione, kiedy i przez kogo. To jest też bardzo ważna funkcjonalność, nie mówiąc już o czymś co my nazywamy Zero-touch provisioning. Sprawdza się to w momencie, kiedy mają Państwo kilkadziesiąt lub kilkaset urządzeń do konfiguracji za jednym razem albo są one bardzo rozproszone geograficznie. Mamy do tego procedurę i proces, żeby to urządzenie, gdy zostanie podłączone do Internetu w miejscu docelowym, podłączy się do chmury, to trzeba mieć wykupioną usługę FortiDeploy. W chmurze dowie się do jakiego FortiManagera ma się zameldować, on się zamelduje, FortiManager zaakceptuje i następnie dostanie automatycznie konfigurację z FortiManagera. Mamy więc taki proces automatyczny do tego by konfigurować dużą ilość rozsianych geograficznie urządzeń. Dzieje się to w ciągu kilku minut i po chwili urządzenie działa i mają Państwo bezpieczny oddział zdalny. Nie mówiąc już o RESTful API. Tak jak wspomniałem na początku, organicznie rozwijamy platformę Fortinet Security Fabric, mamy tę platformę otwartą, mamy dosyć szerokie API, więc jeżeli mają Państwo FortiManagera, a mają Państwo chęć np. pobierania informacji z FortiManagera, przekazywania do systemu raportowania i mają Państwo chęć zintegrowania informacji, które ma FortiManager z innym zewnętrznym systemem, to mogą to Państwo zrobić, bo API Państwu na tego typu rzeczy pozwala.

— Rafał Broda —
17.40
Centralizowane zarządzanie brzmi rzeczywiście zachęcająco, jednak nie przewidywaliśmy takich kosztów w naszej rozbudowie. Rzeczywiście jesteśmy w stanie wskazać jego mocne strony, takie jak odciążenie ludzi, szybsze reagowanie na zmianę. Ale działamy w pewnych ograniczeniach budżetowych. Mamy dyscyplinę finansów publicznych, mamy budżet, który jest do zrealizowania i dobrze, żeby nie był przekroczony, natomiast w związku z rozwojem, który ukazaliśmy na osi czasu, koszty rosną. Jak w takim przypadku podejść do implementacji takiego rozwiązania? Czy iść w model fizyczny czy w urządzenie wirtualne i gdzie mogę jeszcze nadziać się na jakieś dodatkowe koszty dodatkowych licencji funkcjonalności?

— Paweł Wojciechowski —
Mamy oczywiście rozwiązania w postaci urządzeń jak i w postaci maszyn wirtualnych. To co pokazaliśmy na tym slajdzie, to jest kawałek data sheetu, który pokazuje jakiego typu urządzenia mamy. To co warto wiedzieć, jeżeli chodzi o licencjonowanie FortiManagera, to, że jest on licencjonowany na ilość zarządzanych urządzeń. FortiManager 200F ma ich 30, 300F ma 100, a 1000F ma 1000. W przypadku maszyn wirtualnych jest to trochę inaczej – wersja bazowa ma w sobie 10 licencji, natomiast gdy Państwa środowisko się rozwinie, to mogą Państwo rozszerzać tę wersję bazową. Druga licencja, która ma napisane 10+ i nazywa się FortiManager-VM-10-UG, dodaje Państwu dziesięć kolejnych urządzeń, czyli kupując licencję bazową i licencję 10-UG, mają Państwo 20 urządzeń zarządzanych. Mogą Państwo oczywiście rozszerzyć ją do 1000 lub 5000. Jeżeli miałbym coś zarekomendować, to przy dynamicznie zmieniającym się środowisku, które potencjalnie ma się rozrosnąć, warto pójść w kierunku maszyny wirtualnej, bo jest ona rozwijalna, skalowalna. Jak ktoś ma stałe środowisko i wie, że ma np. 28 urządzeń i nie będzie się rozrastało, to może rozważyć maszynę fizyczną. To co warte jest również podkreślenia, to że licencjonujemy FortiGate’y. FortiSwitche i FortiAP, które również mogą być zarządzane z FortiManagera, nie wymają licencji i nie wchodzą do licznika. Czyli jak mają Państwo dziesięć FortiGate’ów, dwa FortiSwitche i trzy FortiAP, to jest potrzebnych dziesięć licencji, czyli wystarczy bazowa licencja maszyny wirtualnej, żeby zarządzić takim środowiskiem. I jeszcze jedna uwaga – jeżeli mają Państwo kilka FortiGate’ów, to bez FortiManagera muszą Państwo zarządzać FortiGate’ami oddzielnie, czyli logować się na FortiGate’y i tam te polityki bezpieczeństwa konfigurować. Mamy doświadczenie, że jak klienci mają 10 lub więcej urządzeń, to wtedy zdecydowanie chcą też mieć FortiManagera. Niektórzy klienci nawet przy mniejszej liczbie urządzeń również się na niego decydują.

— Rafał Broda —
22:04
Czyli tak, mogę już stabilnie zarządzać, jestem w stanie faktycznie oszacować budżet w jakichś widełkach. Część klientów kończy tutaj swoją drogę, natomiast część idzie trochę dalej. Żyję z tym rozwiązaniem centralnego zarządzania, płynie do mnie potok danych, zdarzeń, który jest dość spory. Świętym Graalem bezpieczeństwa jest false-positive’ów czyli tych zdarzeń, na które tracimy czas na ich analizę, a na koniec dnia okazuje się, że tak naprawdę były dobrymi działaniami, nie był to jakiś incydent czy próba włamania. Chcielibyśmy zajmować się faktycznymi incydentami naruszeń bezpieczeństwa. Na poprzednim webinarze była taka statystyka, że od momentu zaistnienia problemu w sieci (zainfekowania sieci), mija kilka miesięcy do momentu faktycznego podjęcia działań, więc czasu trochę mam, natomiast ten potok zdarzeń, który do mnie płynie, jest bardzo duży. Ilość zaraportowanych zdarzeń jest naprawdę bardzo duża. Jak, mówiąc metaforycznie, spróbować wyłuskać ziarna spośród plew? — Paweł Wojciechowski — I to jest drugi element Fortinet Management Center – FortiAnalyzer. W uproszczeniu FortiAnalyzer jest narzędziem analitycznym, które daje nam wgląd w infrastrukturę sieciową w czasie rzeczywistym. Narzędzie te spełnia wiele funkcji, natomiast skupimy się na najważniejszych. Pierwsza z nich to, że FortiAnalyzer jest narzędziem, które jest niezbędne do tego żeby stworzyć Fortinet Security Fabric, czyli jedną wspólną i centralną platformę do zarządzania cyberbezpieczeństwem. Jest to narzędzie, które umożliwia zbieranie logów praktycznie z większości rozwiązań FortiNetowych i jest takim centralnym repozytorium logów. Ikonki, które widzą Państwo na dole po prawej stronie, odzwierciedlają różne produkty z oferty FortiNeta, które logują zdarzenia do FortiAnalyzera. Te centralne repozytorium logów, jest niezbędne w niektórych regulowanych branżach, ale również, jeżeli mają Państwo audyt u siebie, to zazwyczaj jednym z pytań audytu, jeżeli chodzi o IT jest, czy mamy centralne repozytorium logów. W środowiskach homogenicznych z rozwiązaniami FortiNeta, FortiAnalyzer tę funkcjonalność zapewnia.

25:14
Drugą kluczową funkcjonalnością jest widoczność, wizualizacja. Dzięki zbieraniu logów, Security Fabric i połączeniu się z poszczególnymi rozwiązaniami z oferty FortiNet, FortiAnalyzer potrafi pokazać infrastrukturę sieciową. Tu mają Państwo obraz topologii fizycznej, ale możemy również zobaczyć topologię logiczną. W zależności z jakim incydentem mamy w danej chwili do czynienia, to różnej topologii możemy używać. Topologia logiczna jest ewidentnie bardzo pomocna w wyjaśnianiu incydentów i awarii, bo pokazuje w jaki sposób, co z czym w danej chwili jest połączone. Ale mamy też inną widoczność, bo mogą Państwo (dzięki Security Fabric i połączeniu z końcówkami, czyli FortiClientem) mieć widoczność podatności, które w danej chwili znajdują się na komputerach końcowych, np. pana Thomasa Knolla, który ma zarówno urządzenie końcowe z Windowsem, jak i z MacOS i widzą Państwo w tym podstawowym widoku IP, gdzie ono stoi, gdzie jest w danej chwili, ale również jakie podatności mają jego aplikacje. FortiAnalyzer umożliwia więc Państwu wizualizację infrastruktury sieciowej. FortiAnalyzer również, a może przede wszystkim jest narzędziem do centralnej analizy i zarządzania incydentami bezpieczeństwa. I to co Państwo tutaj widzą, to jest to widok zdarzeń bezpieczeństwa, które przeszły przez pewne polityki bezpieczeństwa, zostały wyłuskane z logów i być może nawet są już skorelowane. Są one w tym widoku pokazane w kontekście urządzeń końcowych. Na przykład przedstawiony na slajdzie laptop, ma 12 zdarzeń bezpieczeństwa, od medium przez high do critical. To jest pierwszy widok, ale jest ich więcej, żeby sposób zarządzania tymi zdarzeniami bezpieczeństwa był efektywny. Tu widoczna jest lista skompromitowanych hostów. Mogą Państwo wejść do tego widoku i bardzo szybko otrzymać informację, które komputery w Państwa firmie mają krytyczne zdarzenia bezpieczeństwa, a co za tym za tym idzie, którymi komputerami należy się zająć i podjąć właściwe akcje. Inny widok jest z punktu widzenia rodzaju ataku i tutaj posłużymy się przykładem komunikacji z command & control, czyli centrum zarządzania botnetami. W tym widoku widać, że mają Państwo u siebie w infrastrukturze komputery, które są częścią botnetów i komunikują się z centralą. Jak weźmiemy ten widok, to widzę, że mamy 14 sieci botnetowych do których komunikują się komputery lub urządzenia z Państwa infrastruktury. Mamy więc kilka rodzajów widoków zdarzeń bezpieczeństwa, które służą do tego, że jeżeli analityk bezpieczeństwa, albo osoba, która zajmuje się bezpieczeństwem w firmie, ma przeglądać te komunikaty, to powinna je przeglądać w sposób efektywny i następnie na podstawie tych widoków wyciągać wnioski którymi zdarzeniami albo obszarami bezpieczeństwa ma się zająć, żeby efektywnie wykorzystać swój czas. Jak już ta osoba przeanalizuje zdarzenia, to można zautomatyzować ten proces i przeprowadzić kolejne korelacje i stworzyć z tych zdarzeń incydenty. Czyli mamy zdarzenia bezpieczeństwa, potem incydenty bezpieczeństwa i to są sprawy, którymi ma się zająć analityk bezpieczeństwa lub człowiek od bezpieczeństwa, który ma je wyjaśnić i zamknąć. Z tych zdarzeń bezpieczeństwa, możemy manualnie ten incydent zrobić, ale możemy go również wywołać automatycznie. Gdy już mamy incydent bezpieczeństwa, to FortiAnalyzer dostarcza Państwu narzędzie, które zarządzi pełnym cyklem życia incydentu i da Państwu widok, w którym będą Państwo widzieli wszystko co jest związane z tym incydentem. Mało tego, mamy integrację z wybranymi systemami helpdeskowymi, w związku z czym, jeżeli Państwa organizacja ma system helpdesk i procesy w nim, które służą do zarządzania incydentami bezpieczeństwa organizacyjnie, to możliwa jest integracja, dzięki której incydent pójdzie do helpdesku i tam będzie procesowo obrabiany. FortiAnalyzer nadal będzie dostarczał narzędzie, które ma pomóc w analizie, ale i zamknięciu incydentu i potem jak helpdesk zamknie ten incydent, powinien on z automatu zostać również zamknięty w FortiAnalyzerze.

— Rafał Broda —
32:18
Rozwiązanie jest ciekawe. Mamy korelację zdarzeń, intuicyjne wizualizacje, mnóstwo widoków, ale wracam ponownie do pytania, które było stawiane przy scentralizowanym zarządzaniu – jak oszacować budżet takiego rozwiązania? Mieliśmy kilka prezentacji, może nie podobnych, ale analogicznych rozwiązań i nie chcielibyśmy wpaść w pułapkę niskiego kosztu wejścia, który rośnie w przypadku domawiania kolejnych funkcjonalności, widoków itd. Którą więc wersję rozwiązania wybrać – fizyczną czy wirtualną? Co więcej może tam być licencjonowane?

— Paweł Wojciechowski —
Ponownie pozwoliłem sobie wyciąć kawałki data sheetów dotyczące wydajności poszczególnych rozwiązań. Większość naszych klientów, korzysta z FortiAnalyzera w wersji wirtualnej, choć mamy oczywiście jego dwa rodzaje – zarówno maszynę wirtualną jak i fizyczną. Podobnie jak w przypadku FortiManagera różnica jest w skalowalności, tzn. FortiAnalyzer jako urządzenie fizyczne ma tę wydajność przypisaną do poszczególnych urządzeń i im większe urządzenie, tym większa wydajność. Jak ktoś ma więc środowisko w miarę stabilne, to jest w stanie określić jakiej to środowisko potrzebuje wydajności i wtedy FortiManager w wersji urządzenia może być dobrym rozwiązaniem. Natomiast większość klientów korzysta z FortiAnalyzera w wersji wirtualnej. Jednym z argumentów za tym jest to, że mogą startować z opcji bazowej i potem w miarę wzrostu zapotrzebowania na wydajność, dodawać pojemność do tej wersji bazowej, czyli skalować bazową wersję wirtualnej maszyny. Nie licencjonujemy urządzeń. W wersji wirtualnej jest praktycznie nielimitowana liczba urządzeń, a jak ktoś ma środowisko większe niż 10 tysięcy urządzeń, to trzeba stawiać więcej wirtualnych maszyn. To co licencjonujemy to wydajność, tzn. w tym przypadku ilość gigabajtów logów na dzień i pojemność rozwiązania (ilość logów, którą można w tym rozwiązaniu składować). W zależności od Państwa potrzeb, te dwa parametry są tak naprawdę najważniejsze przy wyborze rozwiązania, bo jeżeli chodzi o wydajność to wiedzą Państwo, ile mają urządzeń i ile logów tam spływa, a druga rzecz to należy sobie odpowiedzieć na pytanie jak długo te logi chcę trzymać – czy jest to 10, 30, 100 dni, czy pół roku – i wtedy dobrać odpowiednią wielkość maszyny wirtualnej albo licencji do niej. Jak widzą Państwo jest tutaj wersja bazowa, a każda kolejna licencja, która jest później pokazana, to jest wersja, która dokonuje zwiększenia pojemności, wydajności maszyny wirtualnej w wersji bazowej. Jest to podstawowa rzecz, natomiast są też dodatkowe licencje do FortiAnalyzera, które licencjonują zaawansowane funkcjonalności. Jeżeli chcieliby Państwo działać proaktywnie i szukać symptomów włamań, czyli tak naprawdę ściągać z zewnętrznej bazy FortiGuarda IOC (Indicator of Compromise) i szukać tych symptomów u Państwa w środowisku, to jest jedna licencja. Jeżeli chcą Państwo automatyzować pewne procesy i wprowadzić taką automatykę i orkiestrację na wzór SOAR’a, to też jest licencja, która to licencjonuje. Natomiast jeżeli chodzi o bazowe funkcjonalności, czyli zbieranie logów, wizualizacja i zarządzanie incydentami bezpieczeństwa, to potrzebują Państwo licencji bazowej i odpowiadają Państwo na dwa pytania: ilość logów na dzień i jak długo chcę te logi trzymać na naszym rozwiązaniu.

— Rafał Broda —
37:33
Tutaj chyba zatrzymałbym się w rozwoju swojego bezpieczeństwa, bo faktycznie dobrze mieć taki dostęp do globalnej bazy danych i dobrze mieć to skorelowane. Niestety budżet ulega wyczerpaniu na ten rok. Przedstawione rozwiązanie wydaje się być faktycznie kompletne. Mam korelację zdarzeń i przede wszystkim centralizowane zarządzanie. Co jakiś czas zdarzają się takie przypadki przy analizie zdarzeń i incydentów, że pewnego incydentu nie umiem odnaleźć w znanych bazach danych i nie wiem co z nim zrobić tak naprawdę. Czy EXATEL mógłby mnie tu jakoś ochronić? Mamy zespół certyfikowanych ekspertów. Skład osobowy SOC pozwala nam zarówno na pójście szeroko jak i głęboko, jeśli chodzi o analizę bezpieczeństwa m.in. incydentów. SOC to nie tylko zbiór technologii i procedur, ale to właśnie ludzie, którzy spotykając się z poszczególnymi incydentami, analizując je, uczą się i wydaje się, iż warto mieć do nich dostęp. To co chcemy zaproponować Państwu, to usługa EXATEL Assistance. Nie jest to usługa powiązana w jakiś sposób z pełnym SOC, nie jest to też pełny monitoring, reakcje na incydenty itd. Jest to takie pójście drogą po środku, czyli nie będziemy korzystać z tego maksymalnego skraju umiejętności naszych analityków dziedzinowych, lecz chcemy uzyskać coś, co jest w stanie nas zabezpieczyć w sytuacjach krytycznych, kiedy nie jesteśmy sobie w stanie poradzić. To co Państwu proponujemy w usłudze EXATEL Assistance, to pewnego rodzaju kontrakt ubezpieczeniowy. Jest to usługa dedykowana dla infrastruktury IT, gdzie klient w trakcie na ogół dwuletniego kontraktu, może nam zgłosić maksymalnie cztery incydenty miesięcznie. Ilość incydentów może nie jest o tyle istotna, ale tutaj wyznacznikiem tej usługi jest ilość roboczodni (MD), które jesteśmy w stanie poświęcić w ramach tego abonamentu. Sam zakres usługi wygląda tak, że 12MD jest przypisanych do tej usługi, natomiast jeśli zdarzyły się takie incydenty (a zdarzają się czasem), które wyczerpują limit roboczodni, to można dokupić następny pakiet i kolejne zgłoszenia będą dalej obsługiwane. Model tej usługi jest zawarty na tym slajdzie. Mówimy tutaj o doraźnym wykorzystaniu wsparcia doświadczonych ekspertów SOC. W praktyce wygląda to tak, że klient po wykryciu jakiegoś zdarzenia/incydentu, próbie analizy, jest w stanie po jakimś czasie stwierdzić, że jest ono poważne i nie jest sobie w stanie z nim poradzić i potrzebuje czegoś więcej. Działania są naprawdę różne, czasem może to być analiza wsteczna kodu, czasem zabezpieczenie danych, gdy już sami zdiagnozowaliśmy jakieś włamanie i chodzi o jakieś zabezpieczenie danych np. do działań prokuratorskich. W każdym z tych zdarzeń jesteśmy w stanie określić, ile czasu dana czynność zajmie. Powoływany jest zespół zadaniowy do obsługi tego konkretne go zdarzenia, który jest w stałym kontakcie mailowym, telefonicznym z klientem. Następnie przeprowadzana jest wstępna analiza i przechodzimy do działań. Na początku oczywiście jest bardzo szybka remediacja polegająca na działaniach, które mają uśmierzyć atak, który się wydarzył. Później natomiast przechodzimy do rozwiązania konkretnego problemu. Podsumowując: doszliśmy do takiego modelu, gdzie przypomnę, że startowaliśmy od kilkunastu urządzeń i kilkunastu oddziałów, scentralizowaliśmy zarządzanie, stworzyliśmy inteligentny kolektor logów, który może być wspierany przez globalną wiedzę grup zadaniowych. Na koniec mamy tę ostatnią deskę ratunku, którą jest kontakt z EXATEL, kontakt telefoniczny i mailowy, gdzie po ludzku możemy przedstawić nasz problem i ten problem będzie rozłożony na czynniki pierwsze. Wydaje się, że jest to pewien zdroworozsądkowy kompromis – z jednej strony mamy bardzo precyzyjnie oszacowany budżet, znamy nasze stałe opłaty, które się z nim wiążą, a z drugiej strony mamy tę gwarancję założonego poziomu bezpieczeństwa, który w przypadku tych modeli dojrzałości jest wypełniony.

— Paweł Wojciechowski —
44:15
Powstał bardzo spójny obraz zintegrowanego środowiska zarządzania bezpieczeństwem i ryzykiem. O tej bazie, czyli bezpiecznym połączeniu i dwuskładnikowym uwierzytelnianiu już mówiłem. To o czym dzisiaj mówiliśmy, to dołożyliśmy FortiAnalyzera Managera jako ten centralny system zarządzania. Czyli jak rozrasta się Państwu środowisko i mają Państwo kilka lub kilkanaście lokalizacji w których inwestują zarówno w FortiGate’y, jak i inne rozwiązania FortiNeta jak np. Switche, Access Pointy, i robi się tego dużo, to wtedy warto pójść w kierunku centralnego systemu zarządzania i zrobienia sobie własnego SOC-a na bazie tych dwóch rozwiązań jako część FortiNet Security Fabric.

— Pytania —
46:52
„Jakie gwarancje daje użycie usługi Assistance?”

— Rafał Broda —
Nie jest to ubezpieczenie cybernetyczne, gdzie mamy cały proces likwidacji szkody, wypłatę odszkodowania itd. Ta usługa jest tak naprawdę wplątana w cały proces oceny bezpieczeństwa, który mamy z klientami, gdzie poprzedzamy to analizą, rekonesansem u klienta. Usługa Assistance nie daje takiej gwarancji jak ubezpieczenie cybernetyczne, natomiast jest pewnego rodzaju „telefonem do przyjaciela”, który można wykonać w każdej chwili i wiemy, że ktoś nam pomoże i nie zostaniemy z problemem, którego nie jesteśmy w stanie sami obsłużyć.

48:18
„Jaka ilość logów generuje alerty bezpieczeństwa? Ile z nich przeistacza się w faktyczny incydent?”

— Rafał Broda —
Alert rozumiem tutaj jako potencjalny incydent bezpieczeństwa, natomiast nie same logi, ponieważ ilość logów może być gigantyczna. Mówimy tu już o alertach bezpieczeństwa. Dla małych organizacji, mniej więcej 8-10% tego rodzaju alertów jest klasyfikowanych jako temat do jakiegoś głębszego dochodzenia. Natomiast w przypadku większych firm to jest zdecydowanie mniej, jakieś 3-5%. Rafał Broda, Kierownik Projektu, EXATEL S.A. Paweł Wojciechowski, Business Development Manager, Fortinet