CRN Media w ostatnim czasie bombardują swoich odbiorców informacjami o kolejnych spektakularnych cyberatakach. Czy z punktu widzenia integratora, który działa na pierwszej linii frontu, sytuacja rzeczywiście wygląda tak źle, jak przedstawiają to środki masowego przekazu?

Piotr Uzar Wiele ataków przychodzi do nas z innych części świata. W ostatnim czasie na celowniku hakerów znajdują się przede wszystkim instytucje rządowe. Najczęściej są to włamania do sieci zarządzania infrastrukturą bądź próby przejęcia uprawnień użytkownika końcowego. Reasumując, obserwujemy dużo ataków na sieć w newralgicznych miejscach naszego kraju.

Czy wzmożona aktywność cyberprzestępców sprawia, że biznes oraz instytucje państwowe są gotowe przeznaczać więcej pieniędzy na ochronę?

Tak się właśnie dzieje. Są to wydatki na poprawę bezpieczeństwa w najniższej warstwie, czyli urządzeń sieciowych. W tej grupie szczególnie dużą popularnością cieszą się rozwiązania IDS czy IPS. Jednak zauważamy też zwiększone zainteresowanie systemami, które pozwalają z tego całego szumu informacyjnego wyłuskiwać informacje dotyczące tylko bezpieczeństwa. 

To ostatnie zadanie realizują znajdujące się w waszej ofercie systemy SIEM. Czy istnieje jakiś graniczny pułap, przykładowo liczba urządzeń pracujących w sieci, od którego opłaca się inwestować w tej klasy narzędzia?

Bardzo ciężko jest określić taki pułap. Lepiej byłoby spojrzeć na tego typu kwestie od strony prowadzonego biznesu bądź działalności. Każda organizacja powinna sobie zadać pytanie – w jaki sposób się zabezpieczyć, aby zapobiec wyciekowi danych lub jak chronić infrastrukturę przed intruzami. Do realizacji obu celów służą takie rozwiązania jak IBM QRadar SIEM czy systemy monitorowania klasy SLM np. IBM Netcool Operations Insight (obecnie zawarty w Watson AIOps). Tego typu narzędzia można łatwo ze sobą zintegrować i patrzeć na środowiska IT nie tylko pod kątem cyberbezpieczeństwa, ale również uzyskiwać informacje na temat bieżącego stanu infrastruktury, ewentualnych awarii i ich wpływu na pozostałe urządzenia.

W jaki sposób pandemia wpłynęła na rynek systemów SIEM oraz monitoringu SLM?

Pandemia wymusiła rozwój systemów, a klienci skoncentrowali się na rozszerzaniu możliwości używanych przez siebie rozwiązań. Rynki produktów SIEM oraz monitoringu SLM funkcjonują od wielu lat i są znacznie nasycone. Dlatego oprócz pozyskiwania nowych klientów, w dużej mierze skupiamy się na tym, aby poprawić funkcjonalność systemów pracujących już u klientów. W związku z tym większość naszych projektów dotyczy usług związanych ze wsparciem, konsultacjami technicznymi  oraz wdrażaniem nowych funkcjonalności.

Jakie podstawowe różnice występują pomiędzy produktami SIEM oraz tymi przeznaczonymi do monitoringu SLM?

Systemy monitoringu SLM mogą pracować zarówno w małych firmach, jak i w korporacjach. W przypadku tych pierwszych wystarczą np. rozwiązania typu open source, które monitorują infrastrukturę na poziomie aktywnym, co oznacza, że otrzymujemy odpowiedzi na zadane pytania dotyczące np. statusu urządzenia. Natomiast w dużych organizacjach – od 500 urządzeń sieciowych w górę, rekomendujemy narzędzia firmy IBM. Oprócz aktywnego monitoringu urządzeń dodatkowo kolekcjonują one informacje wysyłane przez urządzenia/systemy, dostarczając administratorom i operatorom rzeczywisty obraz funkcjonowania infrastruktury IT. Na przykład IBM Netcool Operations Insight (obecnie zawarty w Watson AIOps) jest w stanie wskazać co jest symptomem, a co przyczyną pierwotną awarii. Natomiast IBM QRadar SIEM działa w wyższej warstwie sieci i monitoruje aplikacje, logi, różnego rodzaju protokoły i na bazie tych informacji dostarcza dane na temat podatności na ataki oraz występujące zagrożenia.

W segmencie rozwiązań bezpieczeństwa szybko rośnie popularność takich produktów jak EDR czy XDR. O tych ostatnich wspomina się jako o alternatywie dla klasycznych systemów SIEM. Czy jest to realny scenariusz?

Trudno mi się wypowiadać na temat EDR czy XDR, ponieważ nie oferujemy tych produktów. Jeśli zaś chodzi o systemy klasy SIEM, to cały czas się rozwijają, zyskując nowe funkcjonalności, które są odpowiedzią na rosnące wymagania klientów. Warto też zwrócić uwagę na nowe narzędzia, takie jak SOAR, które integrują się z systemami klasy SIEM i pozwalają zespołowi bezpieczeństwa szybciej i efektywniej przyspieszyć działania podejmowane w odpowiedzi na incydenty.

Czy posiadacie w swojej ofercie systemy SOAR?

Tak, jesteśmy już po wstępnym rozpoznaniu systemu IBM Resilient. To rozwiązanie zaczyna być rozpoznawalne na polskim rynku. Klienci zaczynają o nie coraz częściej pytać. W kilku miejscach zrealizowano już wdrożenia typu proof of concept. Uważam, że jest to jest bardzo przyszłościowy kierunek.

W branży cyberbezpieczeństwa na znaczeniu zyskuje model subskrypcyjny. Czy w przypadku produktów SIEM ta forma sprzedaży zdaje egzamin?

Cześć klientów korzysta z modelu subskrypcyjnego w ramach niektórych modułów posiadanego już rozwiązania SIEM. Zresztą wiele z nich, tak jak np. dostęp do danych o zagrożeniach, dostępnych jest jedynie w sprzedaży subskrypcyjnej. Jednak w przypadku zakupu systemu zazwyczaj preferują tradycyjny model sprzedaży transakcyjnej i wdrażają produkt we własnej lokalizacji. Taki wybór ma jedną wielką zaletę, a mianowicie licencja jest permanentna i jedynie zależna od zakupu wsparcia producenta do aktualizacji. W modelu subskrypcyjnym licencja jest czasowa, więc po zakończeniu wykupionego okresu system przestaje działać. 

Czym musi wyróżniać się integrator, aby wygrać z konkurentami rywalizację o klienta poszukującego systemów bezpieczeństwa IT?

Tutaj decydują kompetencje. To jest kluczowy wyróżnik w tym segmencie rynku. Kiedy klienci lepiej nas poznają podczas realizacji proof of concept, bardzo lubią z nami współpracować. Wychodzimy z założenia, że nie jest sztuką zdobyć zamówienie i jakkolwiek je zakończyć, lecz sprawić, aby projekt cały czas żył i klient był zadowolony z jego implementacji i funkcjonowania. Co w praktyce oznacza, że nawet po wdrożeniu klient aktywnie korzysta z rozwiązania i wprowadza uaktualnienia, nowe funkcjonalności itp. 

Wspomina pan, że klienci was lubią, a jak wygląda to po waszej stronie? Czy nie zauważacie, że w firmach oraz instytucjach zaczyna brakować fachowców, z którymi można realizować dobre projekty?

Dostrzegamy roszady personalne w instytucjach, najczęściej dotyczą one specjalistów IT. Największym wyzwaniem jest jednak wielomodułowość i skalowalność systemów, które wdrażamy. Klienci nie zawsze mają pełną wiedzę lub chociażby prawidłowe wyobrażenie o poprawnym wdrożeniu takiego systemu.  Jeśli decydujemy się na współpracę, zaczynamy od warsztatów przedwdrożeniowych, żeby wyrównać poziom wiedzy i „mówić tym samym językiem” projektowym. Zresztą, klient pozyskuje wiedzę o systemie przez cały czas – tu nauka nie kończy się wraz z chwilą zamknięcia wdrożenia.

Co ciekawe, macie na koncie wdrożenia nie tylko w Polsce, ale również na kontynencie afrykańskim. Jak współpracuje się z takimi klientami?

Zrealizowaliśmy kilka projektów w Afryce, w tym również dla banku komercyjnego w Etiopii, gdzie wspólnie z lokalnym integratorem wdrożyliśmy kompleksowy system do monitorowania krytycznych aplikacji bankowych i kilku tysięcy urządzeń.  Współpraca układała nam się bardzo dobrze. Wszelkie kwestie dotyczące przygotowania projektu dostarczone przez klienta były bardzo przemyślane. Poza tym klient wychodzi z przekonania, że wynajmuje do pracy ekspertów, w związku z czym szanuje ich rekomendacje. W czasie samego wdrożenia zauważyłem chęć do zdobywania wiedzy, pracownicy banku zostawali po godzinach, aby lepiej poznać rozwiązania. Warto też podkreślić, że są to kraje wschodzące i inwestują w najnowsze technologie, ponieważ nie mają żadnych obciążeń związanych z archaicznymi rozwiązaniami. Tym samym znika problem związany z integracją. Co ciekawe, czasami klienci z Afryki sięgają po systemy z wyższej półki niż nasze lokalne instytucje.

Averbit jest integratorem systemów informatycznych, stworzonym przez doświadczony zespół z ponad 20-letnią praktyką. Kompetencje ekspertów Averbit to projektowanie i wdrażanie zaawansowanych systemów serwerowych, pamięci masowych, sieci LAN i SAN, systemów do kompleksowego zarządzania bezpieczeństwem (SIEM) i monitoringiem sieci oraz urządzeń.  Na liście klientów warszawskiego integratora znajdują się największe polskie przedsiębiorstwa, renomowane instytucje finansowe, centra przetwarzania danych oraz instytucje państwo i prywatne. Averbit stawia sobie za cel dostarczenie klientom przemyślanej i kompletnej oferty z zakresu zaawansowanych technologii informatycznych uzupełnionej poprzez ideę rozwoju w przyszłości.