Rozwój technologiczny zapewnił ogromne korzyści operacyjne, przede wszystkim wzrost szybkości i efektywności pracy oraz obniżenie jej kosztów. Jego wadą okazało się jednak większe wystawienie przedsiębiorstw na ryzyko ataku. Dlatego zespoły ds. bezpieczeństwa coraz częściej odchodzą od działań wyłącznie zapobiegawczych, skupiając się również na wczesnym wykrywaniu zagrożeń. A ponieważ wiadomo, że cel, jakim jest doskonałe bezpieczeństwo, jest pragmatycznie nieosiągalny, należy wziąć pod uwagę prawdopodobieństwo, iż dany system zostanie naruszony podczas jego eksploatacji.

Ten tok myślenia został rozwinięty przez firmę Gartner w koncepcję zwaną „triadą widoczności SOC”, składającą się z trzech uzupełniających się filarów: SIEM, wykrywanie zagrożeń na urządzeniach końcowych i reagowanie na nie (EDR) oraz analogiczne wykrywanie zagrożeń w sieci (NDR). Metoda ta polega na wykorzystaniu narzędzi EDR, NDR i SIEM w sposób zapewniający maksymalną skuteczność w wykrywaniu zagrożeń w każdym miejscu infrastruktury IT.

Koncepcja triady widoczności SOC została wykorzystana przy tworzeniu unikalnej platformy cyberbezpieczeństwa, jaką jest usługa Atende Security Suite, dostępna w modelu Security as a Service. Koncentruje się ona na zapewnieniu odpowiedniego wglądu w informacje, które pomagają zabezpieczać całe środowisko IT oraz wykrywać zagrożenia i kampanie ataków w wielu punktach infrastruktury IT (ruch sieciowy, urządzenia sieciowe, serwery, komputery użytkowników), a następnie badać je i reagować na nie.

Karol Kij, dyrektor Działu Rozwiązań Cyberbezpieczeństwa, Atende Karol Kij, dyrektor Działu Rozwiązań Cyberbezpieczeństwa, Atende  

Transformacja cyfrowa przybrała wysokie tempo, ale niestety, nie bez wpływu na cyberbezpieczeństwo. Przy tak znaczącym wzroście złożoności i rozproszenia infrastruktury IT pojawiły się nowe rodzaje zagrożeń, którym należy sprostać. W obniżeniu wysokiego ryzyka cyberataków może pomóc zaimplementowanie warstwowego podejścia do strategii ochrony cyfrowych środowisk, bazującego na wczesnym wykrywaniu potencjalnych wektorów ataku i ich eliminowaniu. Konieczne jest także monitorowanie przestrzegania przyjętych reguł polityki bezpieczeństwa przy jednoczesnym ciągłym obserwowaniu zdarzeń w całym środowisku IT.

  

W ramach platformy Security Suite zintegrowano autorskie rozwiązania Atende w postaci systemów EDR oraz SIEM z polską sondą NDR Cryptomage Cyber Eye. SIEM odpowiada za zbieranie, centralizację i agregację danych z rozwiązań EDR i NDR, a następnie analizę w czasie rzeczywistym, kategoryzację oraz porównywanie z historycznymi informacjami. Dzięki korelacji zdarzeń pochodzących z różnych elementów infrastruktury IT użytkownik otrzymuje kompleksowy, scentralizowany pulpit nawigacyjny do śledzenia i przeglądania zdarzeń bezpieczeństwa, co daje bogaty kontekst do wyszukiwania zagrożeń i ułatwia dostrzeganie wzorców podejrzanego zachowania, oznak włamania lub innych wskazówek. Stosowanie spójnej normalizacji i wzbogacania danych z różnych źródeł umożliwia szybkie opracowywanie i wdrażanie mechanizmów zautomatyzowanego wykrywania zagrożeń zapewniających skuteczne reagowanie. Takie podejście jest niezbędne do prowadzenia skutecznie działającego Security Operation Center (SOC).

Wykorzystywana do świadczenia usługi Atende Security Suite sonda NDR Cryptomage Cyber Eye bazuje na zaawansowanych mechanizmach sztucznej inteligencji. Urządzenie to zapewnia niskopoziomową, głęboką analizę ruchu sieciowego, stanów i zachowania protokołów sieciowych, a także analizy zachowania poszczególnych urządzeń w sieci, dzięki czemu użytkownik otrzymuje całościowy widok na interakcje pomiędzy nimi. Wykorzystywane do zaawansowanej analizy uczenie maszynowe ułatwia wykrywanie trwających ataków, korelowanie informacji o nich z urządzeniami końcowymi oraz ustalanie priorytetów reagowania. Sonda wyposażona jest też w jedyny w swojej klasie moduł RODO, dzięki któremu zapewnia firmom wsparcie w obszarze ochrony danych osobowych.

Dodatkowe informacje: