Świadomość sytuacyjna – inwentaryzacja, mapowanie i wizualizacja zasobów IT oraz procesów
Budowanie świadomości sytuacyjnej w zakresie zasobów, sieci i procesów to jedna z najważniejszych aktywności w procesie zarządzania bezpieczeństwem na poziomie strategicznym i operacyjnym. SecureVisio wyposażono w zautomatyzowane, pasywne i aktywne mechanizmy inwentaryzacji zasobów IT i mapowania sieci. System wykrywa systemy, urządzenia sieciowe i aplikacje, określa ich typ i relacje między nimi. Mechanizmy inwentaryzacji umożliwiają również identyfikację procesów technicznych i biznesowych, których część stanowią zidentyfikowane zasoby lub ich grupy. W ramach inwentaryzacji system dynamicznie wylicza potencjalne wektory ataku i określa możliwe zagrożenia. Infrastruktura analizowana jest również pod kątem zabezpieczeń zastosowanych w sieci i na punktach końcowych. Wszystkie wyniki pracy modułu inwentaryzacji prezentowane są w formie zwizualizowanej, interaktywnej mapy logicznej sieci. Zgromadzone informacje wykorzystywane są przez pozostałe moduły systemu:
- stanowią jeden z parametrów korelacji zdarzeń;
- wzbogacają kontekst incydentów w procesie obsługi incydentów;
- są wykorzystywane w trakcie doboru scenariuszy i przydzielania zadań do zespołów obsługi;
- mają wpływ na priorytety incydentów;
- stanowią podstawę automatycznej analizy ryzyka cyberzagrożeń;
- mają wpływ na priorytety i obsługę podatności;
SecureVisio SOAR
Implementacja procesu obsługi incydentów bezpieczeństwa oraz podatności
W platformie SecureVisio zaimplementowano, zaawansowany moduł SOAR (Security Orchestration Automation and Response). Rozwiązanie pozwala na implementację procesów i procedur obsługi incydentów bezpieczeństwa zgodnie z najlepszymi praktykami (między innymi: ISO- 270035, NIST SP 800-61R2, ENISA, Carnegie Mellon University). Każdy potencjalny incydent bezpieczeństwa utworzony w wyniku pracy mechanizmów korelacyjnych staje się elementem procesu, w ramach którego, SecureVisio automatycznie wzbogaca dane, śledzi status, czas reakcji i obsługi, eskaluje, bada potencjalne konsekwencje oraz dostarcza scenariusze postępowania na każdym etapie analizy i reakcji. Automatyzacja zadań analizy i reakcji na incydenty
SecureVisio automatycznie przydziela zadania członkom zespołu SOC na podstawie zdefiniowanych parametrów i kontekstu zdarzeń. Przebieg prac odbywa się zgodnie ze scenariuszami dostosowanymi do każdego etapu procesu obsługi incydentu.
Do zaawansowanych funkcji SOAR należą między innymi:
- graficzny interfejs do tworzenia scenariuszy;
- plany działań podzielone na etapy i kroki;
- interakcja z użytkownikiem, zadawanie pytań i uzależnienie dalszych kroków od odpowiedzi;
- zmiana scenariusza lub skok do innego kroku na podstawie okoliczności;
- wbudowane, automatyczne lub zautomatyzowane akcje systemowe w ramach scenariuszy;
- wiele scenariuszy stosowanych automatycznie w zależności od statusu, kontekstu oraz
parametrów incydentu/zdarzenia;
- powiadamianie zespołów obsługi, właścicieli zasobów i procesów na podstawie
zdefiniowanych parametrów takich jak: typ zasobu, zagrożone procesy, ważność zasobu,
priorytet incydentu/zdarzenia;
- powiadamianie przy zmianie statusu incydentu/zdarzenia;
- powiadamianie w przypadku przekroczenia ustalonych czasów reakcji i obsługi;
- czasy reakcji i obsługi uzależnione od priorytetu incydentu/zdarzenia;
SecureVisio jedna platforma do wykrywania i zarządzania incydentami, podatno-ściami oraz ryzykiem. System pozwala organizacjom zautomatyzować i ujednolicić podstawowe operacje związane z zarządzaniem bezpieczeństwem w ramach jednej, zintegrowanej platformy. Dzięki temu organizacje optymalizują czas i koszty operacji bezpieczeństwa.
Osoby zarządzające bezpieczeństwem podejmują lepsze decyzje, ponieważ w jednym miejscu mają pełne informacje na temat incydentów, luk w zabezpieczeniach i związa-nego z nimi ryzyka.
SecureVisio adresuje następujące obszary procesu zarządzania bezpieczeństwem:
- Świadomość sytuacyjna – inwentaryzacja, mapowanie i wizualizacja zasobów IT oraz procesów
- Analiza ryzyka cyberzagrożeń
- SecureVisio SIEM
Gromadzenie i przechowywanie informacji o zdarzeniach
- SecureVisio SOAR
- Ochrona Danych Osobowych
FUNKCJONALNOŚĆ
SecureVisio poprzez specjalistyczne narzędzia pozwala organizacjom na całościowe spojrzenie na bezpieczeństwo w obszarze technicznym i biznesowym oraz na zautomatyzowanie najważniejszych procesów zarządzania bezpieczeństwem IT, stanowiąc tym samym doskonałe narzędzie wpierające pracę Security Operations Center (SOC).
Wspólne zarządzanie incydentami, podatnościami i ryzykiem
Zarządzanie bezpieczeństwem, podobnie jak inne procesy w organizacji, wymaga optymalizacji i efektywności kosztowej. SecureVisio pozwala organizacjom na jednej platformie ujednolicić i zautomatyzować podstawowe operacje zarządzania bezpieczeństwem – zarządzanie incydentami, zarządzanie podatnościami i zarządzanie ryzykiem. Dzięki SecureVisio organizacje optymalizują czas i koszty operacji bezpieczeństwa. Osoby zarządzające bezpieczeństwem podejmują lepsze decyzje, ponieważ w jednym miejscu mają pełne informacje na temat incydentów, luk w zabezpieczeniach i związanego z nimi ryzyka.
Platforma SecureVisio zawiera następujące moduły:
- Zarządzanie incydentami oferujące narzędzia do wykrywania incydentów, analizy i podejmowania reakcji,
- Zarządzanie podatnościami, oferujące narzędzia do wykrywania, analizy i reagowania na luki zabezpieczeń,
oraz zintegrowane narzędzia do zarządzania ryzykiem w czasie rzeczywistym ustalające priorytety incydentów i podatności w celu informowania ludzi, które zdarzenia są najważniejsze dla organizacji i wymagają natychmiastowej reakcji.
Modularna architektura SecureVisio umożliwia organizacjom użycie wszystkich modułów lub tylko wybranych modułów. SecureVisio łatwo integruje się z rozwiązaniami firm trzecich. W przypadku gdy organizacja posiada SIEM lub skaner podatności mogą one zostać zintegrowane z SecureVisio.
SecureVisio zarządza incydentami i podatnościami z użyciem dedykowanych narzędzi Workflow i Playbook oraz wzbogaca te narzędzia o zintegrowane zarządzanie ryzykiem i inne przydatne informacje, takie jak Threat Intelligence.
Automatyzacja i orkiestracja optymalizują czas i koszty zarządzania bezpieczeństwem. Podczas zarządzania problemami technicznymi SecureVisio ma świadomość najważniejszych zasobów wspierających krytyczne procesy biznesowe i wrażliwe dane. Operacje Business Impact Assessment są przeprowadzana automatycznie w czasie rzeczywistym.
Dzięki SecureVisio organizacje mogą skutecznie zarządzać wszystkimi incydentami i podatnościami oraz natychmiast rozpoznawać i reagować na zdarzenia, które bez nadzoru spowodują duże szkody i konsekwencje prawne dla organizacji.
Automatyzacja i orkiestracja zarządzania incydentami bezpieczeństwa
Osoby zarządzające incydentami bezpieczeństwa są wyposażone w dedykowane narzędzia Workflow, Playbook, Collaboration, Dashboard i Reporting, oferujące funkcje SOAR – Security Orchestration, Automation and Response.
SecureVisio współpracuje z wszystkimi dostępnymi narzędziami do wykrywania incydentów, takimi jak SIEM i UEBA. SecureVisio ma również własne narzędzia do wykrywania incydentów oparte o SIEM z analizą behawioralną i Threat Intelligence.
Unikalną wartością SecureVisio jest odbywająca się w czasie rzeczywistym analiza wpływu biznesowego wykonywana automatycznie dla wszystkich wykrytych incydentów w celu nadawania priorytetu biznesowego i identyfikowania zdarzeń wymagających natychmiastowego działania.
Osoby zarządzające incydentami w jednej konsoli graficznej mają wszystkie potrzebne narzędzia i informacje:
- opis systemu
- aktualne podatności systemu i inne zdarzenia związane z tym systemem,
- priorytet biznesowy incydentu,
- opis środowiska incydentu,
- śledzenie SLA,
- wielkości ryzyka dla istotnych wektorów ataku,
- potencjalne konsekwencje naruszenia bezpieczeństwa,
- informacje Threat Intelligence,
a także narzędzia Workflow i Playbook do współpracy ludzi i obsługi incydentów.
SecureVisio pozwala zarządzać wszystkimi incydentami w tradycyjny sposób, tak jak w typowych SIEM i SOAR, gdzie incydenty priorytetyzowane są w oparciu parametry techniczne.
Organizacje mają wolny wybór, aby wprowadzić szacowanie ryzyka z priorytetyzacją biznesową i skupić się na incydentach, które są najważniejsze dla działalności organizacji.
Dla menedżerów, SecureVisio oblicza kluczowe wskaźniki wydajności KPI oraz kluczowe wskaźniki ryzyka KRI. Metryki te pozwalają przewidzieć nowe pojawiające się zagrożenia, aby proaktywnie wzmacniać bezpieczeństwo najcenniejszych zasobów.
Wskaźniki KPI informują osoby odpowiedzialne za bezpieczeństwo o zdarzeniach, które już miały miejsce (np. liczba obsłużonych incydentów, czas od wykrycia do usunięcia krytycznych podatności). Wskaźniki KRI przedstawiają trendy ryzyka, które mogą pomóc w lepszym monitorowaniu przyszłych zmian ryzyka lub nowych pojawiających się zagrożeń (np. miesięczny wzrost liczby incydentów i luk w zabezpieczeniach związanych z krytycznymi procesami biznesowymi lub wrażliwymi danymi). Dzięki temu właściciele biznesowi systemów są świadomi zagrożeń bezpieczeństwa i są powiadamiani o sytuacjach wymagających natychmiastowej decyzji i reakcji. KPI i KRI są szczególnie przydatne do planowania ulepszeń bezpieczeństwa.
Zarządzanie podatnościami z priorytetyzacją biznesową
Wczesne wykrywanie i usuwanie podatności w systemach IT przetwarzających dane osobowe, dane finansowe oraz inne wrażliwe dane, a także systemach wspomagających ważne procesy biznesowe to priorytet bezpieczeństwa IT każdej organizacji. Wykorzystanie tych podatności przez cyberprzestępców może oznaczać wielkie straty dla organizacji.
Do wykrywania luk bezpieczeństwa w środowiskach IT i OT, SecureVisio wykorzystuje różne skanery podatności oraz bazę CVE.
Z punktu widzenia ludzi odbywa się to automatycznie. Harmonogram skanowania podatności definiuje dni i czas, a także narzędzia do automatycznego skanowania podatności.
SecureVisio oferuje niezależność i elastyczność w zarządzaniu podatnościami – organizacje mogą korzystać z wybranych skanerów komercyjnych oraz narzędzi open-source.
Ze względu na dużą liczbę podatności, dziury bezpieczeństwa zagrażające działalności biznesowej organizacji często nie są identyfikowane, dopóki nie wystąpi widoczne naruszenie bezpieczeństwa. SecureVisio znajduje rozwiązanie tej trudności. SecureVisio sprawia, że osoby odpowiedzialne za zarządzanie podatnościami są niezwłocznie powiadamiane o nowych podatnościach o krytycznym priorytecie biznesowym.
Wszystkie wykryte luki w zabezpieczeniach są automatycznie priorytetyzowane na podstawie ważności technicznej CVSS Score oraz potencjalnych szkód biznesowych dla organizacji. Szacowanie potencjalnych szkód biznesowych wynikających z wykorzystania podatności przez cyberprzestępców odbywa się automatycznie dla każdej podatności i jest unikalną wartością jaką SecureVisio daje organizacjom.
SecureVisio dostarcza interaktywny panel prezentujący podatności zebrane z różnych narzędzi. Podatności są automatycznie lub na żądanie wzbogacane o odpowiednie informacje, takie jak np. kontakt do administratorów i właścicieli biznesowych.
Workflow definiuje zadania i ścieżki pracy ludzi, w tym analizę podatności i reakcję. Pomaga ludziom w wykonywaniu wymaganych działań, ułatwia współpracę, śledzenie statusu i SLA oraz dostarcza użytecznych wskaźników, takich jak średni czas rozwiązania podatności o określonym priorytecie biznesowym. Playbook zawiera predefiniowane akcje w celu automatyzacji analizy, reakcji i innych działań związanych z zarządzaniem podatnościami.
SecureVisio pomaga w rozwiązaniu najtrudniejszego problemu w zarządzaniu podatnościami. Co zrobić, jeśli nie można zainstalować poprawki do wykrytej krytycznej luki bezpieczeństwa? Przez jak długo organizacja może podejmować to ryzyko?
W takich przypadkach, używając IPS lub WAF, możemy wdrożyć wirtualne poprawki, które utrudniają cyberprzestępcom wykorzystywanie luk w zabezpieczeniach. W SecureVisio możemy wykorzystać Network Map do wizualizacji wszystkich ścieżek ataków sieciowych na wrażliwy system IT i na podstawie tych informacji szybko zidentyfikować odpowiednie zabezpieczenia, w których można skutecznie wdrożyć wirtualne poprawki.
Zarządzanie bezpieczeństwem danych osobowych i zgodności z RODO
SecureVisio poprzez moduł Personal Data Protection (PDP) pomaga organizacjom w utrzymaniu zgodności z wymaganiami RODO. PDP utrzymuje wymagane przez RODO rejestry czynności przetwarzania, jak również rejestry udostępnień, powierzeń oraz informacje na temat szkoleń odbytych przez pracowników.
Pomaga Inspektorowi Ochrony Danych zorganizować skuteczny system ochrony danych osobowych. Informacje i narzędzia zawarte w SecureVisio PDP ułatwią codzienną pracę i wykonywanie obowiązków.
Moduł PDP umożliwia w łatwy i przejrzysty sposób nadawanie upoważnień do przetwarzania danych osobowych. Dzięki wbudowanemu obiegowi dokumentów automatyzujemy określanie uprawnień oraz samo zatwierdzanie upoważnień.
PDP przedstawia pełny obraz bezpieczeństwa przetwarzanych danych osobowych. Analiza ryzyka zawarta w PDP umożliwia szacowanie ryzyka od momentu wdrażania organizacyjnych i technicznych środków bezpieczeństwa przez cały proces przetwarzania danych osobowych w organizacji – jest to ciągły proces monitorowania poziomu zagrożeń oraz zapewniania rozliczalności w odniesieniu do zastosowanych zabezpieczeń.
Dzięki korelacji zawartych w PDP informacji dotyczących tego co dokładnie dzieje się z danymi osobowymi (m.in. na jakich zasobach są przetwarzane, jakich procesów dotyczą, jaki jest zakres tych danych, kto posiadał upoważnienie do ich przetwarzania) w momencie zaistnienia incydentu bezpieczeństwa od razu otrzymujemy kompletną informację oraz gotowe scenariusze obsługi.
Zarządzanie ryzykiem i sytuacjami kryzysowymi
Kadra zarządzająca odpowiedzialna za bezpieczeństwo IT, jak dyrektor IT, oficer bezpieczeństwa, czy menadżer SOC powinni być natychmiast powiadamiani o nowych incydentach i podatnościach, które mogą spowodować duże szkody dla organizacji, jak np. nowa luka bezpieczeństwa w bazie danych systemu finansowego, czy aktywność szkodliwego oprogramowania na stacji operatora SCADA w sieci przemysłowej.
Główny cel bezpieczeństwa IT – czyli ochrona biznesu organizacji – jest trudny do osiągnięcia, ponieważ większość technologii odpowiedzialnych za zarządzanie bezpieczeństwem, takie jak SIEM, SOAR i skanery podatności, nie rozumieją kontekstu biznesowego zdarzeń związanych z bezpieczeństwem.
Aby ocenić konsekwencje zdarzeń dla organizacji, SecureVisio wdrożyło metodykę zarządzania ryzykiem operając się na międzynarodowej normie ISO / IEC 27005.
SecureVisio wprowadza kontekst biznesowy i integruje się z istniejącymi systemami wykrywania incydentów (np. SIEM, UEBA, NBAD), systemami zarządzania incydentami (np. Ticketing system, SOAR) i skanerami podatności.
Dla menedżerów odpowiedzialnych za bezpieczeństwo IT, SecureVisio działa jak system zarządzania kryzysowego.
W szczególności następujące funkcje SecureVisio sprawiają, że praca kadry zarządzającej odpowiedzialnej za bezpieczeństwo jest bardziej efektywna i mniej stresująca:
- SecureVisio w czasie rzeczywistym wykonuje analizę wpływu zdarzeń na biznes organizacji i na tej podstawie priorytetyzuje wszystkie alarmy zabezpieczeń i podatności. Działa nawet w przypadku wielu tysięcy generowanych alertów. Osoby zarządzające bezpieczeństwem IT koncentrują się na najważniejszych zdarzeniach i dzięki temu nie przeoczą sytuacji, które mogą spowodować duże szkody w organizacji.
- SecureVisio automatycznie uzupełnia wiedzę osób zarządzających bezpieczeństwem IT o informacje wymagane do zrozumienia sytuacji i podejmowania właściwych decyzji, takich jak potencjalne koszty naruszenia bezpieczeństwa, czy luki istniejące w zabezpieczeniach ważnych systemów.
- SecureVisio wykonuje modelowanie zagrożeń i symulacje ataków, aby na ich podstawie na graficznej mapie sieci pokazać wszystkie potencjalne ścieżki, którędy cyberprzestępcy mogą zaatakować zasoby krytyczne dla organizacji.
KORZYŚCI
SecureVisio sprawia, że osoby decyzyjne w jednym miejscu posiadają zawsze aktualne i zrozumiałe informacje oraz specjalistyczne narzędzia, dzięki którym podejmują właściwe decyzje dotyczące bezpieczeństwa IT.
Podstawowe korzyści płynące z wdrożenia SecureVisio
Automatyzacja zarządzania bezpieczeństwem IT w organizacji
SZYBKA LOKALIZACJA I OBSŁUGA INCYDENTÓW IT, UNIKANIE INCYDENTÓW W SYSTEMACH IT O KRYTYCZNYM ZNACZENIU DLA ORGANIZACJI
SecureVisio wyposażone w profesjonalne narzędzia zarządzania ryzykiem, modelowania zagrożeń i obsługi incydentów pomaga organizacjom minimalizować straty wynikające z incydentów bezpieczeństwa, redukować stres osób odpowiedzialnych za bezpieczeństwo oraz szybko podejmować właściwe decyzje w zakresie wydatków związanych z jego utrzymaniem.
- Identyfikacja podatności (luk bezpieczeństwa) w systemach IT krytycznych dla działalności biznesowej organizacji
- Automatyczny odczyt nowych podatności z bazy CVE® oraz integracja z narzędziami Vulnerability Assessment
- Audytowanie projektu zabezpieczeń IT pod kątem wykrywania krytycznych procesów biznesowych nieposiadających wymaganych zabezpieczeń
- Symulacja awarii sieci, zabezpieczeń i systemów IT oraz ocena czy skutki awarii są akceptowalne dla organizacji
Elektroniczna dokumentacja sieci, systemów i zabezpieczeń IT
INTERAKTYWNA, ELEKTRONICZNA I ŁATWA W UTRZYMANIU DOKUMENTACJA SYSTEMÓW, SIECI I ZABEZPIECZEŃ IT
SecureVisio zawiera interaktywną, elektroniczną dokumentację systemu teleinformatycznego, prezentującą całościowe spojrzenie na bezpieczeństwo organizacji w obszarze technicznym i biznesowym, wyposażoną w graficzne narzędzia zarządzania incydentami, a także zintegrowane narzędzia analizy wpływu naruszeń bezpieczeństwa na procesy organizacji.
- Elektroniczna dokumentacja wyposażona w dedykowane narzędzia do tworzenia logicznej architektury zabezpieczeń IT oraz szczegółowych schematów sieci fizycznej
- Funkcja Asset Discovery umożliwia automatyczne wykrywanie, rozpoznawanie oraz dokumentowanie systemów IT
- Graficzne narzędzia edycji i wyszukiwania parametrów zabezpieczeń, sieci i systemów IT oraz kreator generowania raportów
- Pomoc w spełnieniu wymagań prawa i standardów bezpieczeństwa (m.in. KNF, PCI-DSS, RODO, ISO-27001)
- Efektywne kosztowo planowanie bezpieczeństwa dzięki bazie wiedzy eksperckiej oraz funkcjom szacowania ryzyka i modelowania zagrożeń
Optymalizacja kosztów rozwoju i utrzymania bezpieczeństwa IT
EFEKTYWNE KOSZTOWO PLANOWANIE BEZPIECZEŃSTWA SYSTEMÓW IT I ROZWOJU ORGANIZACJI
Dzięki interaktywnej, elektronicznej dokumentacji systemu teleinformatycznego, prezentującej całościowe spojrzenie na bezpieczeństwo organizacji w obszarze technicznym i biznesowym środki bezpieczeństwa są wdrażane, tam gdzie jest to uzasadnione biznesowo adekwatnie do rzeczywistych potrzeb.
- Wydatki na bezpieczeństwo IT wynikające z rzeczywistego ryzyka i wymagań działalności organizacji
- Automatyczne szacowanie ryzyka oraz ustalanie najbardziej narażonych systemów IT o krytycznym znaczeniu dla organizacji
- Automatyczne ustalenie systemów IT o krytycznym znaczeniu dla organizacji, które są narażone na awarie (single point of failure)
- Optymalizacja czasu pracy i zmniejszenie stresu osób odpowiedzialnych za bezpieczeństwo