Cieľom projektu bolo implementovať SIEM systém, ktorý poskytuje nepretržitý bezpečnostný monitoring nad kritickou infraštruktúrou vládneho CLOUD-u a datacentra MV SR. Vďaka čomu bolo umožnené získať ucelený obraz o infraštruktúre z pohľadu bezpečnosti a tým zaistiť bezpečnosť a odhaľovať potenciálne riziká a hrozby. Tým pádom vieme včas reagovať na kyber-útoky, zabrániť úniku dát, predísť škodám a poškodeniu dobrého mena organizácie.
V rámci dodávky projektu boli realizované nasledovné činnosti – návrh, implementácia, konfigurácia a technická podpora pri integrácii SIEM systému s existujúcim prostredím za účelom vytvorenia uceleného obrazu o infraštruktúre s dôrazom na bezpečnosť.
• SIEM systém je určený na zber a vyhodnocovanie údajov – analýza bezpečnostných udalosti, agregácia, normalizácia a korelácia udalosti.
• Využíva sa pri analýze bezpečnosti informačných systémov a infraštruktúry, v zhode s bezpečnostnými štandardmi (ISO 27001, PCI-DSS, ...), pri monitorovaní, dokumentovaní a riešení bezpečnostných incidentov.
• Zabezpečuje identifikáciu incidentov ako porušenie bezpečnostnej politiky organizácie.
• Poskytuje detekciu operačných udalosti – nekorektná konfigurácia, nefunkčný systém/aplikácia a chýbajúce aktualizácie alebo záplaty systému.
• SIEM je komplexný systém, ktorý pozostáva z viacerých komponentov, kde každý jeden z týchto komponentov zabezpečuje určitú funkcionalitu systému.
Zariadenie zabezpečuje organizáciu, triedenie a agregáciu zozbieraných bezpečnostných záznamov zo zariadení tretích strán ako Syslog, NetFlow a SNMP. Tieto udalosti vyhodnocuje a analyzuje. Na základe získaných informácií ESM poskytuje vytváranie reportov a alarmov. ESM predstavuje hlavný komponent SIEM systému.
Zariadenie na uchovávanie a archiváciu bezpečnostných záznamov v pôvodnom stave bez agregácie a normalizácie zo zariadení tretích strán. Umožňuje definovať čas archivácie, kompresiu záznamov. Zariadenie je možné použiť len s ESM nie samostatne.
Zariadenie predstavuje sondu, ktorá umožňuje zber bezpečnostných záznamov prostredníctvom Syslog, NetFlow alebo SNMP od rôznych výrobcov, ktoré zhromažďuje, agreguje a normalizuje. Tieto udalosti následne posiela do ESM na ďalšie spracovanie.
Zariadenie, ktoré vytvára korelačné pravidlá a prideľuje im váhu a skóre na základe vážností zraniteľnosti alebo potenciálnej hrozby. Zariadenie môže fungovať v dvoch módoch (nie súčasne). Real-time, kde korelácie sú vyhodnocované v reálnom čase, alebo Historical mode, kde udalosti sú kontrolované spätne zo zozbieranej vzorky záznamov Syslog, NetFlow alebo SNMP.
Aplikačný monitor sleduje citlivé dáta vybraných aplikácií v sieti a analyzuje ich. Sleduje aké protokoly boli použité pri komunikácií, integritu relácie a obsah aplikácie. Keď ADM zistí porušenie, zaznamená všetky detaily o relácii aplikácie a vytvorí udalosť. ADM zároveň poskytuje viditeľnosť hrozieb, ktoré sa javia ako oprávnené aplikácie.
Zariadenie je navrhnuté na konsolidáciu databázovej činnosti. Poskytuje normalizáciu, koreláciu, analýzu a vykazovanie databázovej aktivity z pohľadu bezpečnosti. Ak na sieti alebo v databáze je zaznamenaná zhoda s podozrivým aktivitami potom DEM vygeneruje alarm o tejto udalosti.
Získanie uceleného obrazu z pohľadu bezpečnosti nad kritickou infraštruktúrou. Včasne reagovanie na potencionálne hrozby a rizika, ktoré môžu spôsobiť škody. Efektívnejšie riadenie bezpečnostných incidentov. Dodržiavanie bezpečnostných predpisov v súlade s bezpečnostnými štandardmi.
Dajte nám o tom vedieť, ozveme sa vám a spoločne ju na web doplníme.
Dajte nám vedieť a pomôžeme vám dodať tú správnu Case study od našich členov.
