POZIOM MONITOROWANIA 2.0

Dodatkową usługą, którą mogą Państwo otrzymać jest Cyber Threat Hunting oraz Cyber Threat Intelligence. Są to zaawansowane usługi, które wyróżniają nas na tle konkurencji.


Cyber Threat Hunting

 

Cyber Threat Hunting jest to aktywne wyszukiwanie zagrożeń, zazwyczaj w sieci wewnętrznej organizacji. Celem takiego podejścia jest wykrycie istniejących, aktywnych zagrożeń takich jak działania intruza – uwzględniając w tym również wewnętrzne ataki (zagrożenia wewnętrzne) wykonywane na przykład przez pracownika działającego na szkodę przedsiębiorstwa (m.in. szpiegostwo gospodarcze).

Usługa Thread Huntingu cechuje się tym, że detekcje nie bazują jedynie na wykrywaniu powszechnie znanych ataków cyberprzestępczych. Jest to usługa dużo szersza, co pozwala na proaktywne wykrywanie incydentów oraz co najważniejsze detekcję ataków APT (Advanced Persistent Threats), które w znacznych wypadkach nie są wykrywane przez standardowe rozwiązania bezpieczeństwa IT wykorzystywane w infrastrukturze sieciowej. Przewagą Cyber Threat Huntingu jest to, że płacą Państwo za stały proces wykrywania incydentów, a nie gotową technologię.

Dzięki posiadaniu szerokiej wiedzy i doświadczeniu z zakresu zwalczania ataków cyberprzestępczych (prowadzenie licznych testów penetracyjnych, audytów bezpieczeństwa, oraz szkoleń z zakresu ataków hakerskich – Akademia Hackingu), a zarazem wiedzy z zakresu analiz powłamaniowych: informatyka śledcza i reagowanie na incydenty (posiadamy własne największe w Polsce Laboratorium Informatyki Śledczej), a także współpracy z firmą RED TEAM jesteśmy w stanie świadczyć wysoką jakość usługi Threat Huntingu.

Nasza usługa opiera się na szczegółowej analizie metod ataków i w ten sposób wykrywaniu ich niezależnie od wykorzystywanych przez hakerów narzędzi. Jednym z zadań naszej usługi jest wdrożenie w infrastrukturze klienta dedykowanego autorskiego rozwiązania firmy RED TEAM, które poprzez implementację pasywnych jak i aktywnych systemów wykrywania, ukrywa swoją obecność w sieci symulując typowy komputer, a nie system detekcji włamań. Dodatkowo zwraca na siebie uwagę cyberprzestępcy celem jednoznacznej jego identyfikacji i powiadomienia zespołu bezpieczeństwa o incydencie. Ponadto jest w stanie wykryć również podłączenie do sieci sprzętowego oprogramowania typu backdoor, którego celem jest umożliwienie cyberprzestępcy stałego dostępu do sieci wewnętrznej organizacji. Takie urządzenie może zostać umieszczone przez osobę z zewnątrz, przykładowo serwisanta, ale również przez nieuczciwego pracownika działającego na szkodę przedsiębiorstwa.

Rozwiązanie posiada również unikalną możliwość oszukania złośliwego oprogramowania,
iż zostało uruchomione w środowisku sandbox. Takie podejście pozwala nie tylko wykryć zarażony komputer, ale również nie dopuścić do ataku ransomware polegającego np. na zaszyfrowaniu danych na dysku. Złośliwe oprogramowanie nie zostanie aktywowane w wyniku zadziałania mechanizmu anti-sandbox, którego celem jest uniknięcie detekcji przez zautomatyzowane środowiska przeznaczone do analizy malware. Co ciekawe nasze rozwiązanie podpięte szeregowo z innymi komputerami w sieci jest w stanie wykryć wpięcie do portu USB komputera narzędzia, które może być wykorzystywane podczas ataków sieciowych (np. Hak5).

Najważniejsze korzyści:

  • Detekcja ataków, które nie są wykrywane przez oprogramowanie antywirusowe. Uzupełnienie dla oprogramowania antywirusowego – rozwiązanie, które wykorzystujemy nie wyklucza się oraz nie powiela pracy oprogramowania z agentem zainstalowanym na systemach operacyjnych, a stanowi dopełnienie możliwości detekcji.
  • Obniżenie ryzyka niewykrycia ataku oraz dalszej jego eskalacji, która może prowadzić do strat finansowych oraz wizerunkowych związanych z nieautoryzowanym dostępem do danych (przykładowo tajemnic przedsiębiorstwa czy danych osobowych). Oprogramowanie umożliwia wykrycie ataku na wczesnym etapie, zanim dojdzie do wycieków informacji oraz zatarcia śladów.
  • Niskie koszty implementacji oraz utrzymania przy zachowaniu wysokich możliwości detekcji – urządzenie nie musi widzieć całego ruchu sieciowego, a wystarczy jeśli zostanie podłączony do sieci jak każda inna szeregowa stacja robocza. Dzięki takiemu podejściu detekcję można prowadzić w wydzielonych segmentach sieci, przykładowo zamkniętych środowiskach SCADA.
  •  Pasywna i niezauważalna detekcja szeregu najpopularniejszych ataków w najczęściej realizowanych scenariuszach grup APT (ang. advanced persistent threat).
  • Behawioralna detekcja działania hakerskich narzędzi oparta o ruch sieciowy, a nie konkretne implementacje ataków. Oprogramowanie wykrywa każdego wykonującego dany atak, a nie tylko wybrane narzędzia.

Dzięki urządzeniu podpiętemu w infrastrukturze klienta wykrywamy anomalie, które mogą świadczyć o przygotowywaniu ataku. Jednym słowem jesteśmy w stanie dowiedzieć się o zamiarze ataku zanim zostanie rozpoczęty i tym lepiej przygotować się na obronę całej infrastruktury bądź poszczególnych jednostek w sieci.

Cyber Threat Intelligence (CTI)

stałe pozyskiwanie informacji z zewnętrznych źródeł o zagrożeniach dla organizacji. Usługa składa się z dwóch części: informacji dla zespołów bezpieczeństwa w wewnętrznych strukturach organizacji oraz przede wszystkim danych wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewnętrznych systemów monitoringu typu SIEM, IPS czy IDS. Nasza usługa obejmuje stałe monitorowanie: social media, fora dyskusyjne, dane pochodzące z sinkhole, sieci honeypot, a także sieci TOR, Darknet czy Deep Web.

Nasze wieloletnie doświadczenie z zakresu cyberprzestępczości oraz doświadczenie naszego partnera w zakresie budowy systemów CTI pozwala spojrzeć nam na potrzeby usługi w nieszablonowy sposób. Nie liczy się wyłącznie ilość przetwarzanych informacji, ale przede wszystkim wysoka jakość i przemyślane źródła danych. Ważna jest także współpraca z zaufanymi organizacjami celem wymiany wysokiej jakości źródeł danych o zagrożeniach. Jest to jedna z zalet naszego podejścia względem innych i konkurencyjnych usług monitorowania zagrożeń (CTI), która wynika z szerokiej eksperckiej wiedzy w różnych specjalizacjach z zakresu cyberbezpieczeństwa.

System Security Information and Event Management – SIEM

Centralne gromadzenie wszelkich logów z systemów, serwerów i usług sieciowych.

Systemy SIEM są istotnym elementem bezpieczeństwa infrastruktury sieciowej i zapewniają całościowy wgląd w to, co dzieje się w sieci w czasie rzeczywistym i pomagają w walce z zagrożeniami. Wyjątkowość rozwiązań SIEM polega na połączeniu zarządzania incydentami bezpieczeństwa z zarządzaniem informacjami o monitorowanym środowisku. Zgromadzone logi, które trafiają do systemu są na bieżąco analizowane wyszukując wszelkich anomalii występujących w logach gromadzonych przez urządzenia, które przesyłają je do centralnego systemu.