Security Operation Center powered by netbull

Οι επιθέσεις στον κυβερνοχώρο είναι αναμφισβήτητα όλο και πιο συχνές και εξιδεικευμένες. Οι hackers διαθέτουν πολλούς και αόρατους τρόπους για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε μία επιχείρηση, από την εισαγωγή κακόβουλου λογισμικού μέχρι την εκμετάλλευση μίας ευπάθειας μηδενικού χρόνου.

Η εταιρεία netbull αντιλαμβάνοντας την πολυπλοκότητα και τη σύνθεση των σύγχρονων απειλών που αντιμετωπίζουν οι Οργανισμοί, σε συνδυασμό με το υψηλό κόστος της δημιουργίας και λειτουργίας ενός Κέντρου από τους ιδίους πόρους του Οργανισμού, δημιούργησε την τελευταία τριετία ένα σύγχρονο Επιχειρησιακό Κέντρο Ασφάλειας (Security Operation Center) πιστοποιημένο με το πρότυπο ISO/IEC 27001, μέσω του οποίου παρέχει υπηρεσίες Managed Threat Defense.

Η τεχνολογική καρδιά του Κέντρου είναι η πλατφόρμα netbull Threat Management (based on IBM QRadar) η οποία παρέχει τους απαραίτητους μηχανισμούς ανάλυσης των συμβάντων ασφαλείας, αλλά και της δικτυακής ροής σε πραγματικό χρόνο μέσω μίας ευφυούς μηχανής, η οποία εφαρμόζει τους κανόνες διαχείρισης των γεγονότων σε ολόκληρη την πληροφοριακή υποδομή, βοηθώντας τους οργανισμούς στην ανίχνευση και αντιμετώπιση των απειλών οι οποίες μένουν συχνά μη ανιχνεύσιμες.

Ουσιαστικά, πρόκειται για μια ολοκληρωμένη λύση Security Intelligence που ενοποιεί γεγονότα ασφαλείας από χιλιάδες πηγές καταγραφής, αποθηκεύει κάθε γεγονός σε πρωτογενή μορφή και τέλος συσχετίζει  όλα τα γεγονότα μεταξύ τους ώστε να διακρίνει τις πραγματικές απειλές από τις ψευδείς. Συλλέγει επίσης σε πραγματικό χρόνο την δικτυακή ροή επιπέδου 4 και επιπέδου 7 αξιοποιώντας την τεχνολογία ελέγχου των πακέτων εις βάθος.

Η πλατφόρμα συλλέγει πληροφορίες οι οποίες περιλαμβάνουν:

• Γεγονότα από συστήματα ασφαλείας: Γεγονότα από Firewalls, virtual private networks, συστήματα ανίχνευσης και προστασίας από παρεισφρήσεις κ.λπ.
• Γεγονότα από δικτυακές συσκευές: Γεγονότα από μεταγωγείς, δρομολογητές, εξυπηρετητές κ.λπ.
• Πληροφορίες από την δικτυακή ροή: Πληροφορίες σε επίπεδο εφαρμογών οι οποίες προκύπτουν από την δικτυακή κίνηση και τα δεδομένα των εφαρμογών που κινούνται στο δίκτυο.
• Πληροφορίες από το περιβάλλον του χρήστη και από συστήματα διαχείρισης των αγαθών: Γεγονότα από συστήματα διαχείρισης της ταυτότητας και της πρόσβασης των χρηστών, σαρωτές ευπαθειών κ.λπ.
• Πληροφορίες από τα λειτουργικά συστήματα: όνομα λειτουργικού συστήματος, έκδοση, κ.λπ.
• Αρχεία καταγραφής των εφαρμογών: ERPs, ροές εργασιών, βάσεων δεδομένων, πλατφόρμες διαχείρισης κ.λπ.

Η διεπαφή της πλατφόρμας είναι κοινή για όλα τα υποσυστήματα της και βοηθά το προσωπικό διαχείρισης της ασφάλειας στον εντοπισμό και στην αποκατάσταση από μία επίθεση, στη διαχείριση εκατοντάδων συμβάντων και στον εντοπισμό της ανώμαλης δραστηριότητας μειώνοντας σημαντικά των αριθμό των περιστατικών που πρέπει να διερευνηθούν περαιτέρω.

Η εταιρεία Netbull έχει αναπτύξει και ολοκληρώσει την ανωτέρω πλατφόρμα με εξειδικευμένα υποσυστήματα για την έγκαιρη και αποτελεσματική αντιμετώπιση των επιθέσεων τα οποία δεν έχουν ορατά ίχνη. Tα υποσυστήματα τα οποία έχει αναπτύξει και ολοκληρώσει η εταιρεία Netbull στην προσφερόμενη πλατφόρμα είναι:

• Υποσύστημα Threat Intelligence
• Yποσύστημα Early Warning Intrusion Detection System
• Yποσύστημα Inside Threat Trap
• Yποσύστημα Vulnerability Management
• Yποσύστημα User Behavior Analysis

Υποσύστημα Threat Intelligence

H πλατφόρμα μας, ολοκληρώνεται με το υποσύστημα Threat Intelligent το οποίο έχει αναπτυχθεί από την εταιρεία Netbull με σκοπό την ενσωμάτωση μια σειρά από Threat Intelligence Feeds ώστε να συμπεριλάβει γεωγραφικά περιεχόμενα και βαθμό φήμης σε όλα τα επίπεδα λειτουργίας της πλατφόρμας. Το υποσύστημα αυτό δημιουργήθηκε για να ενισχύσει τις δυνατότητες των μηχανισμών ανίχνευσης απειλών ώστε να μπορούν να εντοπίσουν πιο αποτελεσματικά γνωστές προηγμένες επιθέσεις. Τα ThreatFeeds βοηθούν τους αναλυτές της εταιρείας Netbull στην έγκαιρη ενημέρωση και κατ’ επέκταση αντιμετώπιση περιστατικών ασφαλείας τα οποία προέρχονται από επιθέσεις οι οποίες έχουν εντοπιστεί σε οργανισμούς ανά τον κόσμο. Ενσωματώνοντας τα Threat Feeds στην πλατφόρμα μας δημιουργήθηκε μία βασική γραμμή άμυνας για συστήματα με αυξημένη επικινδυνότητα  για άμεση εξωτερική επίθεση.

Υποσύστημα Early Warning Intrusion Detection

H πλατφόρμα της Netbull, ολοκληρώνεται με το υποσύστημα Early Warning Intrusion Detection το οποίο έχει αναπτυχθεί από την εταιρεία μας με σκοπό τον άμεσο εντοπισμό των απειλών που στοχοποιούν έναν Οργανισμό. Το συγκεκριμένο υποσύστημα είναι ένα ή περισσότερα υπολογιστικά συστήματα τα οποία εγκαθιστόνται σε καίρια σημεία του δικτύου ενός Οργανιμού και τα οποία φαινομενικά είναι ευάλωτα σε επιθέσεις, κ.λπ. Ο επιτιθέμενος προσπαθώντας να επιτεθεί σε αυτά για να αποκτήσει  πρόσβαση θα δημιουργείται ένα Intelligence Feed προσωποποιημένο για τον Οργανισμό το οποίο περιλαμβάνει στοιχεία όπως,  επικίνδυνους κόμβους (hostile nodes) που ενδέχεται σύντομα να πραγματοποιήσουν κάποια επίθεση, τον τύπο του οργανισμού που στοχεύουν καθώς και τη μεθοδολογία που χρησιμοποιούν για να αποκτήσουν πρόσβαση.

Yποσύστημα Inside Threat Trap

H πλατφόρμα ολοκληρώνεται με το υποσύστημα Inside Threat Trap το οποίο έχει αναπτυχθεί από την εταιρεία μας με σκοπό τον εντοπισμό των κυβερνο-εγκληματιών οι οποίοι έχουν κατορθώσει να παραβιάσουν τους μηχανισμούς ασφαλείας ενός Οργανισμού. Ουσιαστικά ενσωματώνεται στο εσωτερικό δίκτυο ένα σύστημα στο οποίο όταν ένας επιτιθέμενος ο οποίος έχει ήδη αποκτήσει πρόσβαση στο εσωτερικό δίκτυο ενός Οργανισμού, προσπαθήσει να επεκτείνει τις κακόβουλες ενέργειες του να ανιχνεύεται, να καταγράφονται οι ενέργειες του και να αποστέλλεται ο κατάλληλος συναγερμός.

Yποσύστημα Vulnerability Management

H εταιρεία Netbull έχει ενσωματώσει στην πλατφόρμα ένα υποσύστημα διαχείρισης των ευπαθειών και παρέχει την υπηρεσία ανίχνευσης και αποτίμησης των ευπαθειών έτσι (α) ώστε σε κάθε περιστατικό να αναφέρονται οι ευπάθειες του συστήματος που δέχεται την επίθεση και να καθορισθεί άμεσα και αποτελεσματικό το σχέδιο αντιμετώπισης του και (β) να προσδιορισθούν οι ευπάθειες και να παραδοθεί στον Οργανισμό το σχέδιο αντιμετώπισης τους. Λόγω της γρήγορης μεταβαλλόμενης φύσης των ευπαθειών οι έλεγχοι αυτοί πραγματοποιούνται σε εξαμηνιαία βάση ή ad-hoc όταν παρουσιαστεί ανάγκη όπως εγκατάσταση νέου εξυπηρετητή, παροχή νέας υπηρεσίας κ.λπ. Το υποσύστημα καλύπτει ένα ευρύ φάσμα των τρωτών σημείων, πρωτοκόλλων, εφαρμογών, λειτουργικών συστημάτων και υπηρεσιών ώστε να εντοπισθούν όλα τα γνωστά τρωτά σημεία, παρέχοντας ακριβή αποτελέσματα και αποκλείοντας έτσι ψευδώς θετικά και ψευδώς αρνητικά ευρήματα.

 Yποσύστημα User Behavior Analysis

Η πλατφόρμα υποστηρίζει τoν εντοπισμό περιστατικών με βάση την ανάλυση της συμπεριφοράς των χρηστών (User Behavior Analysis -UBA-). To υποσύστημα αυτό αναλύει τα μοτίβα χρήσης των λογαριασμών των χρηστών και επιτρέπει (α) τον έγκαιρο εντοπισμό των εσωτερικών απειλών και (β) τα συστήματα του Οργανισμού που έχουν παραβιαστεί από εγκληματίες του κυβερνοχώρου ή από κακόβολους εσωτερικούς χρήστες. To λογισμικό παρέχει ένα dashboard που εμφανίζονται οι επικίνδυνοι χρήστες σύμφωνα με το λογαριασμό τους και την ανώμαλη δραστηριότητα τους. Με ένα μόνο κλικ του ποντικιού προσθέτει τον ύποπτο λογαριασμό σε λίστα υπόπτων, επιτρέπει το σχολιασμό μέσω κειμένου και παρέχονται τα γεγονότα ασφαλείας και οι δικτυακές ροές.