Tématu posledních trendů v oblasti kybernetické bezpečnosti a nárůstu kybernetických hrozeb, kdy se útočníci rok od roku zdokonalují a jejich techniky a taktiky jsou stále sofistikovanější, jsme se věnovali minule.
Jak se efektivně chránit?
Řešením je zaměřit se na lepší detekci hrozeb a odpovědi na všechny typy ohrožení včetně proaktivní ochrany firmy v reálném čase.
System4u MDR – modulární služba
S ohledem na flexibilitu a odlišné potřeby každé firmy máme připraven modulární systém kybernetické ochrany, který umožní firmám škálovat jejich skutečné potřeby kybernetické obrany.
Ve svém jádru kombinuje pokročilou technologii detekce hrozeb s integrovanou analýzou pro klasifikaci, okamžitou první reakci a zmírnění dopadu nastalých bezpečnostních incidentů.
Zahrnuje dva základní pilíře:
- System4u MDR (Managed Detection and Response)
- Security Direct Support, přímá podpora zabezpečení System4u
Službu stavíme nad komponentami licečně zahrnutými v plánech Microsoft 365 Business Premium nebo Enterprise.
Naše řešení předpokládá, že narušení je možné očekávat odkudkoliv, tudíž je sestaveno plně v souladu s konceptem architektury nulové důvěry – Zero Trust. To nás odlišuje od tradičních přístupů, které se zaměřují výhradně na perimetrickou prevenci systémové infrastruktury.
Koncept nulové důvěry Zero Trust není zdaleka novinkou, ale stále představuje moderní a ucelený přístup ke kybernetické bezpečnosti, který je obtížné překonat. Předpokládá se, že žádnému uživateli, zařízení nebo síti by nemělo být automaticky důvěřováno, bez ohledu na to, zda jsou uvnitř nebo vně perimetru organizace. Místo toho musí být důvěra neustále ověřována prostřednictvím přísných kontrol přístupu, vícefaktorové autentizace a sledování chování uživatelů a zařízení v reálném čase. V dnešním složitém a propojeném světě, kde jsou uživatelé a zařízení stále mobilnější a hrozby mohou přicházet jak zevnitř, tak zvenčí organizace, již samotná perimetrická obrana nestačí.
1. System4u MDR
Vybrali jsme postup a použili “art of state” technologie které poskytují komplexní ochranu proti široké škále kybernetických hrozeb. Vyvinuli jsme navíc vlastní balík začleněných analytických pravidel a orchestrace reakcí zabezpečení nad klíčovou technologickou komponentou naší služby, kterou je SIEM systém (Security Information and Event Management) v podobě Microsoft Sentinel a EDR/XDR (Endpoint Detection and Response/Extended Detection and Response), produktů od společnosti Microsoft. Rozšířili jsme tak významně možnosti dané v základu těchto nástrojů, které již samy o sobě patří dle nezávislých hodnocení k absolutní špičce na trhu dostupných řešení.
Microsoft Sentinel primárně shromažďuje a vyhodnocuje data související se systémovou konfigurací a úrovní zabezpečení z volitelných zdrojů ve vašem prostředí. Tento nástroj poskytuje analýzu bezpečnostních výstrah v reálném čase s vyhodnocením dle MITRE Attack® rámce a umožňuje nám detekovat bezpečnostní hrozby napříč vstupy z celé vaší organizace, proaktivně jim předcházet a orchestrovat reakce na ně. U takto pokročilého systému zřejmě nikoho nepřekvapí přítomnost funkcí strojového učení (UEBA/Fusion engine) a komponenty využívající modely AI.
EDR řešení z rodiny produktů Microsoft Defender poskytují funkce detekce hrozeb a reakce přímo na koncových bodech, jako jsou vaše mobilní zařízení, pracovní stanice či servery. Pomocí nich monitorujeme veškerou související aktivitu koncových bodů, detekujeme podezřelé chování a provádíme reakce na hrozby v reálném čase.
XDR tuto schopnost rozšiřuje a poskytuje komplexnější pohled na hrozby v rozsahu celé sítě, napříč ekosystémem M365 a jiných cloudových aplikací, včetně on-line datových uložišť, e-mailů a dalších uživatelských subsystémů.
Službou System4u MDR tedy průběžně shromažďujeme a vyhodnocujeme systémové informace a výstupy v reálném čase, jako jsou podrobnosti o probíhajícím síťovém provozu, aktivitách uživatelských účtů a jejich využití oprávnění, zacházení s digitálními aktivy organizace nebo parametry stavu zabezpečení koncových bodů.
Nepřetržitý bezpečnostní dohled v režimu 24/7 je klíčový. Jeho součástí je monitorování všech klíčových prvků IT infrastruktury, jako jsou uživatelské identity a přístupová práva, M365 a jiné cloudové aplikace, veškeré koncové body, průmyslová zařízení a digitální aktiva. Neprodleně hlásíme identifikované hrozby a incidenty, aby týmy IT bezpečnosti vaší firmy mohly přistoupit k dalšímu řešení. Tato aktivita je součástí core modulu s názvem System4u MDR Suite. U takových hlášení můžete očekávat odbornou klasifikaci incidentu, situační analýzu s odhadem rizika narušení a návrh standardního postupu v dané situaci pro první reakci a dořešení, pokud již nebylo inicializováno automaticky. Samozřejmostí je pro nás u dodávek i závazek SLA nebo podpis NDA ke smlouvě.
Dalším přínosem služby je kompletní správa systémových logů a možnost ukládat je do zcela odděleného prostředí na straně klienta, tedy bez možnosti jejich narušení či záměrné úpravy útočníkem. Všechny protokoly jsou uchovávány po dobu minimálně 90 dnů s možností dalšího prodloužení stanovené retence.
Dostupné moduly
Následující volitelné moduly představující komplexní balíček technických opatření, metod monitorování, analytických metod a vyhodnocování bezpečnostních rizik, včetně rámcové automatizace prováděných reakcí.
– System4u MDR Cloud Identity Add-on
– System4u MDR Endpoint Add-on
– System4u MDR Microsoft 365 Apps and Data Add-on
– System4u MDR Network Security Add-on
– System4u MDR On-premises Identity Add-on
Konkrétnímu rozpisu pokrytí oblastí zabezpečení, funkcí a benefitech jednotlivých add-on modulů se budeme bavit v sérii následujících článků.
2. Security Direct Support
Druhým volitelným pilířem služby System4u MDR je přímá technická podpora našeho vlastního týmu specialistů na kybernetickou bezpečnost v případě nastalého bezpečnostního incidentu. Účelem takové podpory je poskytnout vašemu IT týmu plnou součinnost, odborné poradenství a návrh technického řešení incidentu od jeho vzniku až po úplné odstranění souvisejícího bezpečnostního rizika a přijetí následných opatření. Nedílnou součástí tohoto rozšíření služby je také měsíční odborná konzultace o celkové úrovni a posílení bezpečnostního vaší organizace. Dostupnost máme připravenou v modelu 8/5 nebo 24/7. Kvalifikace týmu, který se o vás postará je na úrovni specialisty kybernetické bezpečnosti s nejvyšším stupněm certifikací pro všechny používané technologie.
Autor: Petr Malina, Business Development Manager
