ITMforum: Security Expert Center, jiná dimenze IT bezpečnosti

Jednou z prověřených cest jak dosáhnout funkčního, srozumitelného a z hlediska nákladů optimálního zabezpečení je využití služby Security Expert Center, kterou na českém trhu poskytuje O2 IT Services.

Časy se mění a s raketově rostoucí kybernetickou kriminalitou nabývá ohrožení bezpečnosti informačních technologií nových rozměrů. Nároky na vybavení i lidské zdroje začínají přesahovat možnosti podniků a organizací. Řešením může být přesun kompetencí na specializované poskytovatele bezpečnostních služeb.

Aktiva a bezpečnost IT

Aktivy podniku nebo organizace z hlediska informační, počítačové a síťové bezpečnosti mohou být jakákoli data, zařízení nebo jiné prvky prostředí, které se podílí na činnostech vztahujících se k podnikovým informacím. Mohou mít nejrůznější podobu a jejich ochrana je multidimenzionální disciplínou, do které vstupují kromě technologií také procesy, fyzická bezpečnost, dokumenty, legislativa nebo i lidé.

Pro ochranu aktiv je nezbytné především vědět, co je třeba chránit, jakou má každé aktivum hodnotu, jakou představuje potenciální ztrátu, jak jsou aktiva vzájemně provázána, jak pravděpodobný je výskyt útoku na ně a jaké investice je jejich ochraně nezbytné věnovat. Znalost aktiv umožní již v samém počátku náklady na zajištění informační bezpečnosti přesněji plánovat a optimalizovat. Problémem bývá, že společnosti a organizace svá aktiva neznají, nebo je nemají přesně popsána a ohodnocena.

Bezpečnost IT jako služba

Úlohou informační bezpečnosti je zajistit ochranu aktiv ve třech základních bezpečnostních dimenzích: utajení, celistvost a dostupnost. Často jsou označovány jako tzv. CIA triáda, zkratka vytvořená z anglických slov Confidentiality, Integrity a Availability.

Bezpečnost jako služba, Security as a Service (SECaaS), je model, při němž organizace nezajišťuje svoji informační bezpečnost nebo její části vlastními silami, ale nakupuje je jako službu od externího poskytovatele. Bezpečnost jako služba vytváří zcela nové prostředí pro kybernetickou obranu i ochranu firem a organizací bez ohledu na jejich velikost nebo obor činnosti.

Prostředí, které poskytuje nemodernější, nejvýkonnější, neustále aktuální a navíc předvídající bezpečnostní prostředky a nástroje obsluhované specialisty s dlouhodobými zkušenostmi v boji proti kybernetické zločinnosti doslova každému. Bez nevypočitatelných investic, bez nutnosti zaměstnávat těžko zaplatitelné špičkové odborníky a s nejvyšší možnou mírou jistoty, že aktiva, která mají být v bezpečí, v bezpečí skutečně jsou.

Security Expert Center

O2 IT Services i celá skupina O2 navazují na své historické zkušenosti s ochranou systémů a komunikační infrastruktury. Kybernetickou bezpečnost od samého počátku vnímají jako jednu z kritických povinností, které je třeba realizovat, a aktivity související se zákonem o kybernetické bezpečnosti naplňují.

Security Expert Center (SEC) sleduje, zaznamenává, analyzuje a hodnotí bezpečnostní chování IT infrastruktury klienta. Při jeho návrhu byly použity osvědčené principy používané v rámci celé skupiny O2 a nejlepší praktiky v oblasti bezpečnostních dohledů. Na definované IT infrastruktuře klienta SEC realizuje bezpečnostní dohled, který umožní identifikovat její zranitelnosti.

Na základě výsledků hodnocení poskytuje zákazníkovi podklady pro realizaci bezpečnostních opatření, popřípadě je pomůže i uskutečnit. SEC tím z managementu klientů snímá problém operativního řízení monitoringu a zajišťování IT bezpečnosti, poskytuje informace pro práci ve strategicko-taktické rovině a umožňuje vedení soustředit se více na vlastní předmět činnosti. Z pohledu klienta, který má častokrát vypracovány nejrůznější bezpečnostní politiky a zásady, ale třeba z časových důvodů není schopen provozovat procesní část, která by jejich realizaci a dodržování sledovala, je velmi důležité, že má k dispozici partnera, s nímž vzniklé situace nebo hrozby může rychle a efektivně konsultovat i řešit.

Službu úspěšně využijí organizace veřejné správy, velké korporace, ale i menší společnosti, jako jsou zdravotnická zařízení, právní kanceláře a mnohé další.

Identifikace aktiv

Získat kompletní data, která vyhovují požadavkům zadání zákazníka na bezpečnostní službu, nebývá zpočátku zcela jednoduché. Firmy a organizace často neznají nebo nemají exaktně popsána svá aktiva a nevědí, co vlastně je třeba chránit. Potřebné informace bývají roztroušeny po různých místech infrastruktury a přístup k nim může být omezen.

Implementaci služby proto předchází prvotní sken, který aktiva identifikuje. Poskytne zákazníkovi základní přehled o tom, co již chrání a co nikoli, jaká data shromažďuje či zda pracuje s nějakými kritickými informacemi.

Výsledkem je definice informací, které bude třeba sbírat, a způsobu jejich předávání. Na základě požadavků a potřeb zákazníka se poté vytvoří služba.

Modulární řešení

Modulární řešení SEC umožňuje zákazníkovi zvolit služby tak, aby naplnily jeho poptávku po IT bezpečnosti. V nejjednodušším případě může jít pouze o přebírání a důvěryhodnou archivaci určitých informací, např. obsahu bezpečnostních datových záznamů, třeba pro budoucí použití.

Na druhé straně spektra stojí komplexní služba, která má k dispozici velmi detailní informace o chování infrastruktury i zaměstnanců zákazníka v kybernetickém prostoru. Na jejich základě se vytvářejí bezpečnostní hlášení, předkládají návrhy na nápravná opatření, popřípadě vypracovávají návrhy na komplexní bezpečnostní řešení.

Bezpečnostní řešení lze realizovat různými způsoby. Buď lze bezpečnostní infrastrukturu optimalizovat s použitím prvků, které zákazník již provozuje, nebo připravit návrh komplexního řešení na klíč, či v rámci bezpečnostní služby navrhovaná nápravná opatření průběžně implementovat.

Implementace a provoz

Technologicky zavedení služeb SEC obvykle spočívá v instalaci určitého zařízení, tzv. kolektoru, do infrastruktury zákazníka, které shromažďuje potřebné informace. Jejich rozsah a množství závisí na požadavcích zákazníka. Má-li zákazník již implementován systém pro sběr záznamů o bezpečnostních událostech, může je například pouze předávat SEC k další analýze. Nad získanými informacemi, které se ukládají do důvěryhodného archivu, což je zásadní požadavek pro důvěryhodnost a spolehlivost poskytované služby, se provádí základní filtrování. Jeho úlohou je identifikovat podstatné údaje. Podmínky vyhodnocení se na základě předchozích údajů neustále zpřesňují a doplňují.

Následuje hodnocení bezpečnostních událostí, s jehož výsledky již pracují operátoři SEC. Ti spolu s analytiky identifikují bezpečnostní incidenty, hrozby, zranitelná místa a mnoho dalších bezpečnostních aspektů a na jejich základě připravují návrhy bezpečnostních řešení, která projednávají se zákazníkem. Nejčastěji jde o různá doporučení pro konfiguraci bezpečnostních systémů, jako jsou firewally, systémy IDS nebo IPS, může však jít i o návrhy velmi komplexních řešení a změn IT prostředí klienta včetně úprav procesů. Díky sofistikované a komplexní architektuře SEC je vyhodnocování nejen vysoce úspěšné, ale také velmi rychlé a ekonomické.

Přínosy nejen finanční

O2 IT Services disponuje výkonnými, spolehlivými, moderními a neustále aktualizovanými bezpečnostními nástroji, jejichž pořízení a provoz může přesahovat možnosti i relativně velkých firem nebo organizací, a zodpovídá za ně. Zaměstnává specialisty s dlouhodobými a rozsáhlými zkušenostmi, jimiž zejména menší organizace obvykle nedisponují.

Služby SEC lze velmi rychle nasadit, optimalizovat, rozšířit, modifikovat nebo redukovat. Ceny služeb se odvíjejí od jejich rozsahu a jsou optimalizovány a rozloženy v čase. Oproti realizaci vlastními silami jsou počáteční náklady na implementaci zanedbatelné.

SEC od O2 IT Services je nastaven tak, aby významně podpořil aktivity zákazníka při plnění podmínek zákona o kybernetické bezpečnosti a podmínek pro certifikaci ISO 27001 a ISO 22301. Efektivně chrání klíčové procesy a zájmy zákazníka a výrazně posiluje jeho IT bezpečnost, zvyšuje jeho konkurenceschopnost a důvěryhodnost.

Důvěra a partnerství

Implementace SEC se dotkne i bezpečnostního nastavení v samotné infrastruktuře zákazníka. Instaluje se kolektor pro sběr informací a dochází k nezbytným změnám v nastavení bezpečnostních prvků nebo systémů. Důležité proto je, že O2 IT Services je vybavena nejenom odbornými certifikacemi a oprávněními k provozování služeb bezpečnosti, ale je pro zákazníka i důvěryhodným a spolehlivým partnerem. Preferencí O2 IT Services je vytvořit mezi zákazníkem a poskytovatelem služby dlouhodobý a důvěryhodný vztah, případně navázat na již existující vztahy. Jako zkušený poskytovatel IT služeb má O2 IT Services vysokou míru důvěry většiny zákazníků, jimž poskytuje datovou konektivitu, provozuje klíčovou infrastrukturu nebo datová úložiště. Spolupráce vždy spočívá v diskusi o očekáváních a schopnosti jejich naplnění, ve vzájemné důvěře a především v lidech.

Stručný popis služeb SEC od O2 IT Services

Security Expert Center společnosti O2 IT Services nabízí kompletní sadu služeb pro zajištění ochrany aktiv podniku nebo organizace.

Plnění podmínek zákona o kybernetické bezpečnosti

SEC řešení plní podmínky předepsané zákonem podle vyhlášky č. 316/2014, podle § 28 odst. 2 zákona č. 181/2014 Sb., v paragrafech §10 (Řízení provozu a komunikací), §13 (Zvládání kybernetických bezpečnostních událostí a incidentů), §21 (Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů), §22 (Nástroj pro detekci kybernetických bezpečnostních událostí) a §23 (Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí).

Správa záznamů (Log Management)

Správa záznamů zahrnuje sběr, ukládání, zpracování a monitoring bezpečnostní záznamů z požadovaných síťových zařízení, serverů a počítačů. Záznamy se archivují na důvěryhodném a certifikovaném úložišti, které splňuje požadavky zákona o kybernetické bezpečnosti pro kritickou informační infrastrukturu dle vyhlášky č. 316/2014 a §21, po dobu nejméně tří měsíců.

Pravidelná hlášení

Klient získává pravidelná hlášení a výkazy o statistikách provozu správy záznamů, o změnách konfigurace infrastruktury pro správu záznamů a hlášení pro standardní zdroje.

Průběžná analýza

Analytik SEC průběžně hodnotí provoz bezpečnostního systému klienta, jako jsou systémové a bezpečnostní záznamy, události, provoz, identifikuje nesrovnalosti a anomálie a navrhuje mu postup jejich řešení.

Rate allerting

Klient získává informace o výrazných překročeních, jejich počtu a času vzniku, předem stanovených parametrů na úrovni správy záznamů.

Ticketovací systém

Klient má k dispozici webové rozhraní, které je hlavním komunikačním nástrojem pro správu bezpečnostních incidentů a událostí mezi zákazníkem a SEC.

Základní a pokročilý provozní dohled

Základní dohled zahrnuje monitorování dostupnosti a výpadků zařízení zákazníka pomocí standardních šablon (UNIX, WINDOWS, FW, SWITCH/ROUTER). Součástí pokročilého dohledu je monitorování dostupnosti, stavů a výpadků nejen standardních zařízení, ale i aplikací zákazníka pomocí na míru upravených šablon.

Základní a pokročilý bezpečnostní dohled

Základní bezpečnostní dohled označuje kontrolu a korelaci údajů v záznamech klienta podle „best practices“ a nastavení SEC profesionálů. K základnímu dohledu mohou být nad záznamy a událostmi podle požadavků klienta vytvářeny specifické bezpečnostní kontroly.

Základní sken zranitelnosti

Základní sken zranitelnosti je standardní sken bez přístupů do zařízení všech otevřených portů na vybraných koncových zařízeních v rámci lokální sítě.

Základní a rozšířená CMDB

Základní služba spočívá ve vytvoření základní databáze prvků použitých při tvorbě infrastruktury, identifikovaných pomocí IP adres, jako jsou síťová zařízení, hardware, operační systémy, databáze a další koncová zařízení, např. akční prvky, kamery, inteligentní zařízení aj. Pro každou IP adresu je evidována hodnota kritičnosti (CRITICALITY). Rozšířená CMDB je rozšířením základní databáze o logická propojení jednotlivých prvků do „informačních systémů“, tj. sady prvků a komponent tvořících informační systém, s propojením na vlastníka, gestora nebo uživatele a službu. Pro každou IP adresu je rovněž evidována hodnota kritičnosti.

Komunikace třetí strany (CERT, NBÚ)

V případě výskytu kybernetického bezpečnostního incidentu systém vygeneruje zprávu podle §32 vyhlášky 316/2014 a po konzultaci a udělení souhlasu zákazníkem ji odešle na kompetentní úřad. SEC organizuje následné kroky po vydání opatření NBÚ a podřízených orgánů podle §33 vyhlášky 316/2014.

Přístup k analýze událostí (Event Analysis)

Umožňuje zákaznický přístup k bezpečnostním událostem přes grafické webové rozhraní. Součástí je např. možnost podle potřeby spouštět jak vlastní dotazy nebo pohledy, tak připravené „best practice“ výkazy od profesionálů SEC. K dispozici je i možnost vytvářet vlastní pohledy.

Přizpůsobené výkazy (Customized Reports)

Umožňuje prostřednictvím grafického webového rozhraní vykonávat zákaznický přístup k reportingu. Podle potřeby lze spouštět jak vlastní, tak podle „best practice“ připravené výkazy od profesionálů SEC.

Auditní záznam a monitoring činností SEC

Obsahuje auditovaný záznam veškeré činnosti operátorů, administrátorů a analytiků SEC. Aktivity je možné v případě potřeby zobrazit a uskutečnit jejich audit.

Bezpečnostní dohled

SEC poskytuje kvalifikovaný bezpečnostní dohled v nepřetržitém režimu. Operátoři sledují a ve spolupráci s analytiky vyhodnocují probíhající bezpečnostní události a reagují na ně v režimu dohodnutém se zákazníkem.

Zdroj: ITMforum, http://www.itmforum.cz/rubriky/partnerske-prispevky/security-expert-center-jina-dimenze-it-bezpecnosti/

Ing. Jiří Sedlák je ředitelem Security Expert Center ve společnosti O2 IT Services. Jako krizový manažer má více než 15 let zkušeností z transformací společností a optimalizací modelů a systémů jejich řízení. Prošel významnými manažerskými pozicemi v prostředí telekomunikačních operátorů a energetických korporací – např. jako ředitel odboru Bezpečnosti ICT ve společnosti ČEZ ICT Services nebo bezpečnostní ředitel Telco Pro Services. Můžete ho kontaktovat na jiri.sedlak@o2its.cz