Jaké služby poskytujeme a v čem jsme výjimeční

Díky strategickému partnerství se společností AlienVault, nasazením dohledového systému založeného na produktu USM a pomocí našeho bezpečnostního týmu se zázemím vlastního Security Operation Center (AC SOC), můžeme nabídnout našim zákazníkům bezpečnostní dohled jako službu.

Nabídka služeb AC Bezpečnostního dohledu:

Základní bezpečnostní monitoring

  • Analýza prostředí, identifikace technických aktiv a analýza dopadů
  • Pojmenování zodpovědných osob a nastavení konkrétních metrik
  • Nastavení sběru logů, dle potřebných požadavků legislativ a shod tak, aby sledoval jednotlivá rizika konkrétního aktiva - definici detekčních procesů
  • Definice procesů reakce, které jsou v souladu s platnou legislativou, ve shodě s regulatorními podmínkami a s bezpečnostní politikou a strategií zákazníka
  • Pokud služba obsahuje pronájem SIEMU, včetně HW, řeší také sběr a uložení logů,
  • Profylaxi HW a SW každý měsíc
  • Analýza logů a korelace událostí v reálném čase
  • Analýza událostí a identifikace možný incidentů
  • Alerting v reálném čase pomocí základních komunikačních nástrojů: e-mail, SMS, telefon
  • Reporting – měsíční report o událostech a incidentech s návrhy systematických opatření

Pokročilý bezpečnostní dohled

  • Zahrnuje službu „Základní bezpečnostní monitoring“ a navíc
  • Garance technického specialisty pro zahájení řešení Kybernetického bezpečnostního incidentu do 4 hodin
  • Service Desk – zakládání incidentů, proaktivní komunikace o jejich řešeních tzv. Incident Response, komunikace s třetími stranami – NBU, NCKB atd.
  • Reporting "PLUS"  - měsíční "Asset Discovery" SCAN (nová, objevená technická aktiva), měsíční "Vulnerability" SCAN  (scan zranitelností), měsíční "Základní NBA" SCAN (základní přehled o tom, kdo, s kým a jak nejvíce komunikuje)


Co mají naše služby společné?

RELEASE“ – rozsah dohledu

Klíčovým bodem je určit rozsah bezpečnostní kontroly na vybraných technických aktivech. Tady jsou důležité znalosti a zkušenosti poskytovatele služeb bezpečnostního dohledu. Množství strojově generovaných KBU a KBI a jejich věrohodnost (minimum tzv. False Positive informací) závisí především na:

  • Vlastní konfiguraci technických aktiv (dodržovat doporučení, např. CIS Security Benchmarks, AC Best Practise apod.)
  • Výběru a konfiguraci SIEM (přesnost korelačních pravidel, účinnost Threat Intelligence, řízení Sec. SCORE apod.)
  • Volbě „Kritických bezpečnostních kontrol“ (Critical Security Controls – CSC)

V rámci AC SOC pro výběr a určení Critical Security Controls respektujeme v základu doporučení U. S. Centre of Internet Security (CIS), která jsou také známá jako SANS TOP20 CSC. Ty jsou aplikována na bezpečnostní FrameWork ČSN ISO/IEC 27001:2014 a jsou doplněna o další kontroly plně reflektující požadavky dle vyhlášky 316/2014 sb., která je prováděcím pokynem zákona č. 181/2014 sb. o kybernetické bezpečnosti (ZoKB).

Aktuální Kritické bezpečnostní kontroly (CSC), které jsou v rámci AC SOC prováděny, jsou uvedeny v posledním tzv. Release (detailní popis) služeb AC Bezpečnostního dohledu i s plánovanou „roadmapou“ a s informací, kdy přibližně vyjde Release nový.

„KOMPATIBILITY LIST“ – seznam technických aktiv, na kterých lze službu zavést

V základu jsou obsažena běžná řešení, výrobci a technologie např. HPE, Cisco, FortiNet atd. K rozšíření Kompatibility listu dochází napsáním nového parseru, ať již výrobcem AlienVault, naším bezpečnostním týmem, nebo na přání zákazníka (placená služba). Jakmile je parser vytvořený, je AUTOCONTem otestován a zařazen na Kompatibility list, který se tím rozšíří pro všechny naše zákazníky.

Postup implementace a harmonogram zavedení služby

V čem jsme jedineční?

  • Díky zvolenému nástroji AlienVault USM využíváme rozšířených detekčních mechanismů, které pracují i s informacemi z dalších oblastí bezpečnosti…
  • Pomocí AlienVault Labs a protokolu OTX používáme také komunitní způsob výměny bezpečnostních informací, jako jsou například reputace IP adres, domén apod.
  • Naše řešení využívá principu federativního modelu, což nám umožňuje do našeho AC SOC replikovat pouze databázi Kybernetických událostí a incidentů a původní tzv. „RAW“ data s časovým razítkem a digitálně podepsaná ukládat v lokalitě zákazníka, jako důkazní materiál pro případné pozdější šetření forenzního charakteru…