Aktualności

Jeżeli ktoś z was miał styczność z przedstawicielami Microsoft i brał udział w rozmowach o przyswojeniu Microsoft Teams w organizacji – na pewno spotkał się z określeniem change management, czyli właśnie zarządzania zmianą. Pytanie brzmi natomiast – co to dokładnie jest? Artykułów w Internecie na ten temat jest sporo i ciągle przybywa (wraz z popularyzacją tego określenia), ale często zaczynają one od części mocno teoretycznej, albo zbyt praktycznej. W tym, stosunkowo krótkim, artykule, chciałbym pokazać tzw. ‘core’ (podstawy) zarządzania zmianą, omówić jego połączenie właśnie z produktami Microsoft i w końcu odpowiedzieć na pytanie – czy bez tego da się w organizacji zaadoptować np. Microsoft Teams?
No dobra – zarządzanie zmianą… Skąd to?
Zacznę od nieco innej strony – kojarzycie pewnie zarządzanie projektami, co? Jest to podejście, które już na stałe przyjęło się w niemal każdej organizacji. Po pierwsze: istnieje “projekt” – przykładowo chcemy coś zbudować. W tym projekcie dysponujemy zasobami – ludźmi, materiałami itd. Następnie pod uwagę bierzemy dostępność tych zasobów, różne ceny etc. Na koniec zwracamy uwagę na etapy – jak budujemy dom, to nie zaczniemy od dachu 😊

Żeby miało to ręce i nogi – powstaje plan, którego staramy się trzymać i (mamy szczerą nadzieję) wszystko gra!

No i tutaj pojawia się właśnie nasz change management, jako uzupełnienie tradycyjnego modelu prowadzenia projektów. Zobaczcie – dostajecie licencję Microsoft Teams jako nowego narzędzia do komunikacji. Od strony IT – przypisujemy te licencje do użytkowników i instalujemy oprogramowanie (MOCNO spłycając proces :D). Czy to oznacza, że następnego dnia nasza efektywność w organizacji skoczy o 40%?

Aby tak faktycznie było, nasi użytkownicy muszą wiedzieć jak się poruszać w nowym środowisku, po co ono jest itp. itd. Nawiążę do tradycyjnego powiedzenia, że jak dacie człowiekowi rybę to nie będzie głodny do końca dnia, ale jak mu dacie wędkę, to nie będzie głodny do końca życia.

Osobiście się z tym nie zgadzam, bo wychodzimy z założenia (często mylnego), że nasz gość będzie umiał tą wędką się posługiwać, a nie np. rzucać nią w ryby z nadzieją, że trafi…

A co w momencie, kiedy tutaj mówimy o bardziej skomplikowanej „wędce”, jak np. Microsoft Teams?
Metodyka Prosci® i model ADKAR
Właśnie ze względu na wcześniejszy scenariusz, do wdrażania nowych technologii, procesów itp. powinniśmy rozważyć zarządzanie zmianą (a najlepiej uwzględnić, a nie ‘rozważyć’ 😉). Czyli konkretnie – powinniśmy uwzględnić LUDZI.

Metodologia, która jest polecana przez Microsoft (i przeze mnie, z racji na mój certyfikat 😉) to Prosci® – skalowalne podejście, wypracowane na podstawie ponad 20 lat badań.

Ja dzisiaj chciałbym wam przekazać drobny wycinek jakim jest model ADKAR. Jest to jedna z podstaw całego zarządzania zmianą, akronim, którego każda litera oznacza kolejny ‘etap’ wymagany do prawidłowego wdrożenia i zaadaptowania zmian.

Po kolei – pierwsza A to Awareness, czyli świadomość. Będę cały czas posługiwał się tymi naszymi nieszczęsnymi Teamsami jako przykład 😊

Co mamy na myśli, mówiąc o świadomości – chodzi de facto o to, aby nasi użytkownicy wiedzieli, dlaczego w ogóle te Teamsy wprowadzamy. Co to w ogóle za apka (‘tims? A na co to komu?), dlaczego nagle mamy z niej korzystać (‘przecież nasze obecne gadu-gadu świetnie działa!’), skąd potrzeba do zmiany?

Możemy o to zadbać na szereg różnych sposobów – odpowiednia informacja przesłana do wszystkich, wsparcie ze strony menadżerów średniego szczebla, organizowanie sesji pytań i zgłaszania wątpliwości od strony waszych użytkowników.

ALE – to nie wystarczy. Nawet jeżeli ktoś mnie przekona, że mój wypracowany sposób działania MOŻNA usprawnić i dlatego wpada coś nowego, to wcale nie znaczy, że ja teraz będę chciał to zrobić. Pojawia nam się druga literka, czyli D – Desire (chęć).

Musimy zachęcić naszych użytkowników do tejże zmiany, do spróbowania nowej technologii. Może marchewką – np. gamifikacją, albo jakimiś nagrodami czy przywilejami, raczej stroni się od metody ‘kija’ 😉 Pokazując, że z wykorzystaniem nowego podejścia uciążliwe zadania nagle stają się banalnie proste, nasi użytkownicy sami będą chcieli tego spróbować!

I tutaj pojawiają się kolejne dwie literki – K i drugie A. K odnosi się do Knowledge (wiedza), jak możemy się zmienić. Przykładowo – mamy tutaj taką jedną fajną aplikację Microsoft Teams, gdzie, jeżeli zaczniecie wymieniać się danymi w ramach zespołu, to tworzycie wspólne repozytorium na pliki, w ogóle to możecie pracować i edytować te pliki naraz w kilka osób, a każda zmiana jest zapisywana w historii wersji.

Wiedza natomiast nie wystarcza, bo potrzebne są jeszcze umiejętności – stąd A od Ability. Nasi pracownicy muszą wiedzieć jak wykorzystać tą aplikację, jak zaadoptować procesy, jak zmienić swoje przyzwyczajenia.

I wydaje mi się, że jedna z najważniejszych literek na sam koniec – R od Reinforcement (wzmocnienie, wsparcie, utrzymanie). Zmiana jest procesem – dlatego na bieżąco musimy naszym użytkownikom pomagać, rozwijać, wspierać w całym procesie. Pojawiają się nowi pracownicy, nowe aplikacje etc. – trzeba to uwzględnić 😊 Ważne, aby nie stracić zapału na początku!

 
Oferta Adoption and Change Management z Integrity Partners i Silfra Consulting!
W odpowiedzi na zapotrzebowanie rynku i wspólnie z Silfra Consulting – ekspertami jakich mało w dziedzinie zarządzania zmianą, przygotowaliśmy dedykowaną ofertę do Adopcji Microsoft 365!

Z wcześniejszych paragrafów powinniście już wiedzieć (tak +/- 😉) po co jest zarządzanie zmianą, po co jest adopcja, co to oznacza i z czego się składa. Natomiast sam proces oczywiście ma duuużo więcej elementów!

Potrzebne jest odpowiednie dobranie sponsorów, przygotowanie ambasadorów czy też ‘championów’ zarówno zmiany jak i od strony technologii, przygotowanie planu komunikacji, planu szkoleń, przeprowadzenie tychże warsztatów i tak dalej i tak dalej… Porządne podejście do adopcji jest naprawdę rozbudowane!

Z tego też powodu przygotowaliśmy modułową ofertę, dzięki której każdy klient ma możliwość wyboru jak głęboko chce wejść w temat adopcji Microsoft 365 i zarządzania zmianą. Nie ma problemu, jeżeli chcecie zacząć od podstawowych szkoleń, a dopiero potem przejść do pełnego wdrożenia. Nie ma również problemu, jeżeli zależy wam na nieco bardziej rozbudowanym podejściu, ale może jeszcze nie pełnym, aby nieco zoptymalizować koszty. A dla chętnych – możemy iść całościowo 😉!

Zachęcam do kontaktu, abyśmy mogli przedstawić co kryje się za poszczególnymi modułami, wyjaśnić wybrane elementy i wskazać jak wszystko ze sobą się łączy. Najważniejsza rzecz – to od was zależy (wraz z naszą pomocą!) w jaki sposób adopcja Microsoft 365 będzie wyglądała w waszej organizacji! Podejście 0/1 w tym kontekście absolutnie się nie sprawdza 😉

Opisy modułów i całej oferty znajdziecie pod poniższym linkiem – pamiętajcie proszę tylko, że jeżeli coś jest niejasne – my czekamy na kontakt, aby wszystko przedstawić krok po kroku!

Adoption and Change Management – Zarządzanie zmianą w organizacji (integritypartners.pl)

Szczególnie zwróćcie uwagę na ulotkę, która zawiera krótki opis każdego z dostępnych modułów!

Oferta i opis modułów w PDF

Nowa, przejrzysta, intuicyjna – taka właśnie jest nowa strona internetowa Integrity Partners. W specjalnych zakładkach znajdziesz naszą historię, produkty Cloud, Cyber Security oraz Managed Services, fachowe artykuły, zaproszenia na webinary i wiele więcej. Poniżej znajduje się krótka instrukcja, jak poruszać się po naszym nowym serwisie. Zapraszamy!
Strona główna Integrity Partners – sprawdź wszystkie opcje
Na stronie głównej wprowadziliśmy nawigację, pozwalającą wybrać obszar, którym jesteś aktualnie zainteresowany. Zachęcamy do przetestowania i sprawdzenia wszystkich animacji, które pojawiają się wraz z przemieszczaniem się po slajderach.
W prawym górnym rogu też mamy kilka ciekawych funkcjonalności. Przede wszystkim to wyszukiwarka, dzięki której szybko znajdziesz każdą treść w naszym serwisie. Klikając w ikonę flagi, możesz przełączyć się na wersję anglojęzyczną. Trzy poziome kreski to popularny na stronach internetowych hamburger menu. Po kliknięciu rozwinie się menu strony, z poziomu której możemy szybko przenieść się do produktów Cloud, ofert pracy, czy referencji.

Hamburger menu – wszystko w jednym miejscu
Z tego poziomu możesz dostać się praktycznie w każdy zakątek naszej strony internetowej. W sekcji „Rozwiązania” znajdziesz wszystkie produkty i usługi, jakie oferujemy z podziałem na kategorie. Znajdziesz tu również klikalny baner promujący artykuł, rozwiązanie lub ofertę pracy.
Pewnie zauważyłeś czerwone kółka z numerami. To informacja, że na konkretnej podstronie znajduje się nowy materiał.

Nawigacja na podstronach – znajdź to czego szukasz
Tak jak na stronie głównej, tak i na poszczególnych podstronach dodaliśmy intuicyjną nawigację po stronie. Łatwo możesz przejść do sekcji i zobaczyć nasze produkty, obszary specjalizacji, schemat pracy z Klientem, nagrody i inne istotne informacje.

Formularze kontaktowe – pozostańmy w kontakcie
Na każdej podstronie umieściliśmy formularz kontaktowy, by dać Ci możliwość szybkiego kontaktu z nami. Jeśli uznasz po przeczytaniu opisu usługi, że jesteś zainteresowany wdrożeniem jej w swojej organizacji, nie musisz już szukać adresu mailowego do nas. Wystarczy, że wypełnisz formularz znajdujący się na stronie, na której aktualnie się znajdujesz, a my zajmiemy się resztą.
Oprócz formularzy kontaktowych dajemy Ci możliwość porozmawiania z nami na chacie. W prawym dolnym rogu znajdziesz ikonkę wiadomości. Po kliknięciu w nią możesz rozpocząć konwersację z naszym konsultantem.

Produkty Cloud i CyberSecurity – filtruj i wybierz
To chyba najbardziej rozbudowana opcja na naszej stronie internetowej. Posegmentowaliśmy wszystkie nasze produkty i usługi na kategorie i podkategorie, tak by łatwo było znaleźć interesujące Cię rozwiązanie. Przejdź do strony z produktami Cloud lub CyberSecurity, wybierz kategorię i wyszukaj produkt, który spełnia Twoje oczekiwania.

Aktualności – artykuły eksperckie pod ręką
W zakładce Aktualności umieściliśmy filtry z kategoriami i tagami do każdego artykułu. Jeśli chcesz zagłębić się w lekturę artykułów na temat Microsoft Defender, wystarczy przefiltorwać wszystkie materiały (np. kategoria Cloud i tag Microsoft Defender). Miłej lektury!

Webinary – zarejestruj się i poznaj nowe rozwiązania
W zakładce Webinary znajdziesz wszystkie nadchodzące warsztaty online, jak i te dostępne w opcji VOD. Jeśli jeszcze nie uczestniczyłeś w naszych webinarach, koniecznie zarejestruj się (lub pobierz nagranie).

Dziękujemy, że dołączyłeś do naszej ewolucji!
Mamy nadzieję, że będziesz często odwiedzał naszą nową stronę internetową. Zapewniamy dużą dawkę wiedzy merytorycznej (artykuły eksperckie i webinary) oraz szeroki wachlarz produktów i usług.
A teraz do dzieła! Sprawdź stronę Integrity Partners!

Wzrost cyberataków na kluczowe instytucje
Rosnące napięcia geopolityczne doprowadziły do ​​eskalacji ryzyka cyberataków.

Codziennie słyszymy o masowych blokadach stron rządowych, dużych przedsiębiorstw, czy nawet serwisów streamingowych, które przestają funkcjonować pod naporem ataków DDoS.

FBI i Departament Bezpieczeństwa Wewnętrznego USA szczególnie ostrzegają przed cyberatakami na krytyczną infrastrukturę narodową.

W tym artykule przedstawimy charakterystykę poważnych zagrożeń, które pojawiały się w ostatnim czasie, a także odpowiemy na pytanie jak skutecznie ochronić przedsiębiorstwo.
Rodzaje cyberzagrożeń
„HermeticWiper”

Już w 2017 roku pojawiło się jedno z poważniejszych zagrożeń, którym jest złośliwe oprogramowanie typu wiper, takie jak NotPetya stworzone przez rosyjskie służby wywiadowcze do wykorzystania przeciwko celom na Ukrainie. Podobne oprogramowanie zostało wykorzystane także w styczniu 2022 r. i ponownie 23 lutego, wraz z najnowszą odmianą nazwaną przez badaczy z firmy Symantec i ESET jako „HermeticWiper”.

„HermeticWiper” ma charakterystykę i zachowanie ransomware, ale idzie o krok dalej i niszczy systemy zamiast szyfrować dane dla okupu. Oprogramowanie to zostało wykorzystane na kilka godzin przed rosyjskim atakiem na Ukrainę, prawdopodobnie po to, aby utrudnić działania ukraińskich firm i instytucji w pierwszych godzinach ataku.
Ataki ransomware za pośrednictwem poczty e-mail
Typowy wektor dostarczenia ransomware to poczta e-mail lub wykorzystanie podatnej na ataki infrastruktury internetowej. Różne źródła podają, że infekcji HermeticWiper dokonano wykorzystując znane podatności w Exchange kilka miesięcy wcześniej, ale dokładny wektor ataku mógł być różny dla poszczególnych instytucji.

W przypadku udanych ataków ransomware za pośrednictwem poczty e-mail zazwyczaj mamy później do czynienia z połączeniami z nietypowym adresem IP/domeną lub pobraniem złośliwego pliku.

Podczas wojny hybrydowej celem ataków często staje się infrastruktura krytyczna, która pełni szczególną rolę dla obywateli. Atakowane mogą być:

infrastruktura państwa agresora,
infrastruktura państwa, które się broni
infrastruktura krajów, które pośrednio lub bezpośrednio wspierają jedną ze stron konfliktu.

Charakterystyka sieci przemysłowych czyni je szczególnie podatnymi na ataki. Oprogramowanie w sieciach tego typu jest rzadko aktualizowane, ze względu na możliwy przestój w działaniu systemów, co wiąże się z dodatkowymi stratami. Niestety często też zapomina się w sieciach tego typu o odpowiedniej segmentacji a nawet oddzieleniu tej sieci od klasycznej sieci IT. W konsekwencji włamanie do sieci IT często skutkuje także zdobyciem przyczółku przez atakującego również w sieci przemysłowej.
Widoczność i identyfikacja zagrożeń
Do wykrywania tego typu zagrożeń dobrym rozwiązaniem są systemy wykrywające anomalie, które są w stanie zareagować na zagrożenia typu zero-day nawet, jeśli nie ma dostępnych sygnatur, które pozwoliłyby na ich wykrycie.

Taka aktywność może być zwykle zidentyfikowana przez rozwiązania typu Network Behavior Anomaly Detection lub EDR. Następnie wykrywane są zazwyczaj zachowania typu lateral movement oraz potencjalnie eksfiltracja danych na zewnątrz organizacji. Samo usuwanie danych może być trudniejsze do wykrycia, jeśli wykonywane jest lokalnie na zainfekowanym systemie.
Sieci przemysłowe
Klasyczne rozwiązania cyberbezpieczeństwa dla IT są niewystarczające dla sieci przemysłowych, z uwagi na ich odmienną specyfikę. Dlatego też najlepiej jest stosować rozwiązania specjalnie dedykowane do takich celów. Zabezpieczenie środowiska OT powinno obejmować kilka obszarów, w tym:

Widoczność wszystkich urządzeń przemysłowych;
Zarządzanie aktualizacjami;
Stosowanie odpowiednich zabezpieczeń, dedykowanych dla sieci OT np. Firewalle, IPS, IDS;
Monitorowanie ruchu sieciowego wraz ze wsparciem obsługi protokołów charakterystycznych dla tej sieci;
Segmentację sieci;
Analizę ryzyka wpływu ataków na infrastrukturę przemysłową;
Monitorowanie incydentów oraz procedury reagowania na zagrożeń;
Świadomość zagrożeń.

W efekcie wdrożenie kompletnego procesu i technologii zabezpieczających środowiska OT jest niezwykle czasochłonnym i skomplikowanym procesem. Stąd, w pierwszej kolejności warto rozważyć narzędzia, które w czasie rzeczywistym monitorują anomalie i potrafią zablokować atak. Takie rozwiązania będą frontem obrony przed hakerami i zminimalizują ryzyko wystąpienia incydentu, a co za tym idzie, często katastrofalnych jego skutków.

Proaktywne blokowanie zagrożeń w czasie rzeczywistym

Ostatnio, w odwecie na rosyjski atak na Ukrainę, grupa haktywistów „Anonymous” przeprowadziła kilka operacji mających na celu tzw. defacement i zaburzenie działania rosyjskiej infrastruktury przemysłowej. Jednym z udanych ataków, o którym ostatnio jest głośno jest włamanie do systemu kontroli dystrybucji gazu należącego do rosyjskiej firmy Tvingo Telecom. Po uzyskaniu zdalnego dostępu do sterownika grupa zmodyfikowała parametry pracy systemu, doprowadzając do wzrostu ciśnienia w instalacji i niemal doprowadzając do eksplozji. Przed eksplozją instalacji uchroniła podobno szybka reakcja operatora na miejscu zdarzenia.

Powyższy przykład pokazuje jak ważne jest proaktywne blokowanie zagrożeń w czasie rzeczywistym. Niedoskonałości zabezpieczeń sieci przemysłowych mogą doprowadzić nie tylko do pojedynczych zakłóceń przemysłu, ale też katastrofalnych skutków np. w postaci całkowitego wyłączenia procesu dostarczania energii elektrycznej (“blackout”) czy zniszczeń wynikających z zakłócenia działania urządzeń. A skutki takich ataków bezpośrednio mogą przełożyć się na zdolność Państwa do odpierania ataków nieprzyjaciela.

Powyższe zagrożenia powinny, a nawet muszą być wykrywane narzędziami monitorującymi anomalie w sieci. Z racji swojej charakterystyki sieci OT są raczej statyczne, więc każdy rodzaj nietypowej zmiany może zostać wykryty przez to narzędzie.
3. stopień alarmowy CRP na terytorium całego kraju przedłużony
Mimo, że głównym celem tego typu działań na ten moment jest Ukraina, to również polskie firmy i instytucje mogą być celem tego typu ataków, szczególnie w związku z deklaracją udzielenia wsparcia Ukrainie. Dlatego też w najbliższym czasie należy szczególną uwagę zwrócić na bezpieczeństwo naszej organizacji i zapewnić jej ochronę przynajmniej w podstawowym zakresie.

Warto także nadmienić, że w ostatnim czasie zostało podpisane zarządzenie przedłużające obowiązywanie trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terytorium całego kraju do 15 marca 2022 r. do godz. 23:59. Ostrzeżenie zostało wprowadzone w celu przeciwdziałania zagrożeniom w cyberprzestrzeni.

Jeśli Twoja firma padła ofiarą ataku lub potrzebuje wsparcia w zabezpieczeniu infrastruktury skontaktuj się z nami.

Zgodnie z zapowiedziami z minionego Ignite 2021, Microsoft udostępnia w wersji preview kolejny produkt z rodziny bezpieczeństwa – Microsoft Defender for Business. Młodszy brat znanego już od kilku lat systemu klasy EDR, Microsoft Defender for Endpoint, oferuje rozwiązanie klasy Enterprise dla organizacji do 300 użytkowników, wprowadzając jednocześnie zmiany w licencjonowaniu i pozycjonowaniu produktów z rodziny Defender.

To, jakie są obecnie wersje systemu Defender dla stacji roboczych (w zasadzie końcówek, ponieważ serwery także mieszczą się w tym zakresie), wymaga pewnego uporządkowania. Najlepiej te dane prezentuje poniższa tabela:

(2) These capabilities are optimized for small and medium-sized businesses.

Szczegółowe porównanie wersji Defendera znajduje się na witrynie Compare Microsoft Defender for Business to Microsoft Defender for Endpoint Plans 1 and 2

Z powyższego widać, że Defender for Business jest idealnym rozwiązaniem także dla dużych organizacji, które niekoniecznie są w stanie wykorzystać narzędzia do huntingu, jednak licencjonowanie mówi wprost – MDB jest dla organizacji poniżej 300 użytkowników. Szczegóły cennika nie są jeszcze znane, jednak patrząc na ofertę rozwiązań Microsoft M365 Business Premium vs E3/E5 można być praktycznie pewnym że będzie to świetna propozycja dla wielu firm i instytucji.

Dodatkowe elementy, które zapewnia nam MDB, to między innymi web content filtering oraz zarządzanie firewallem systemowym. Te funkcje zdecydowanie ułatwiają kompleksowe zaadresowanie potrzeb w zakresie zabezpieczenia stacji. Same stacje, czy to Windows 10/11, czy też macOS, Linux, a nawet urządzenia mobilne Android oraz iOS, podłączymy do MDB bez najmniejszego problemu.

O zaletach systemów EDR nie trzeba nikogo przekonywać, a dodatkowym motorem do wdrożenia MDB jest możliwość rezygnacji z wykorzystywanego rozwiązania tradycyjnie nazywanego systemem antywirusowym na rzecz wbudowanego w Win10/11 Windows Defendera. Prostota wdrożenia za pomocą Microsoft Endpoint Managera na pewno zostanie zauważona przez organizacje z niego korzystające.

Może zabrzmi to przewrotnie, ale systemy EDR można poniekąd traktować jako bezobsługowe. Mechanizmy AIR (Automated investigation and response) mogą reagować automatycznie, usuwając zagrożenie i „cofając” wszystkie wyrządzone szkody. w ramach modułu EDR pozwala na wyśledzenie każdego zdarzenia, które się pojawiło od momentu rozpoczęcia incydentu, aż do jego ujawnienia i zatrzymania. Bezpieczeństwo wprost z chmury!

Jak uruchomić nowego Defendera for Business?
Dla firm zainteresowanych przetestowaniem rozwiązania MDB mamy propozycję specjalną. Integrity Partners jako partner Microsoft specjalizujący się we wdrożeniach Modern Workplace oraz Security oferuje swoim klientom możliwość włączenia licencji próbnych narzędzia Defender for Business. Liczba licencji jest ograniczona, zachęcamy do kontaktu z nami – i przeprowadzenia 90 dniowego testu opisanych funkcji we własnym środowisku.*

[*] Uwaga: preview nie będzie widoczny dla klientów posiadających wyższe pakiety usług, jak np. Defender for Endpoint Plan 2

W tym artykule, poznasz kompleksowe podejście do tematu monitorowania bezpieczeństwa usług biznesowych oraz infrastruktury krytycznej, a co za tym idzie – podłączania systemów źródłowych do systemu SIEM (ang. Security Information and Event Management System). Co to oznacza?

Podczas planowania polityki monitorowania systemów i usług powinniśmy pamiętać, by obejmowało ono  całą ścieżkę przetwarzania informacji. Tylko kompleksowe, wielopoziomowe podejście może odpowiednio wspomóc nas w monitorowaniu i wykrywaniu incydentów.  

Oczywiście, żaden system nie zagwarantuje nam 100% bezpieczeństwa. Rozwój zagrożeń jest obecnie tak szybki, że potrafią one ewoluować już z dnia na dzień. Dobrze przemyślane wdrożenie – w szczególności podłączenie właściwych systemów źródłowych (z odpowiednim poziomem logowania zdarzeń) zwiększy prawdopodobieństwo na detekcję niepożądanych zdarzeń. Wyznacznikiem do monitorowania usług są obowiązujące przepisy prawa, normy czy standardy. Należy również pamiętać, że najlepsze praktyki w zakresie wdrożenia polityki bezpieczeństwa w organizacjach, zobowiązują do monitorowania i wykrywania incydentów bezpieczeństwa, jak również ich późniejszej obsługi.

W tym artykule znajdziesz informacje na temat podejścia do podłączania systemów źródłowych z punktu widzenia zespołu planującego wdrożenie monitorowania usługi biznesowej:

Jak przeprowadzić proces podłączenia systemów?
Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?

Proces podłączania systemów źródłowych do systemu SIEM

Załóżmy, że posiadamy już zamkniętą listę usług biznesowych, z podziałem na ich krytyczność, przypisanych właścicieli oraz osoby merytoryczne (czytaj – użytkownicy oraz administratorzy aplikacji). Nasze prace związane z monitorowaniem usługi biznesowej powinniśmy rozpocząć od inwentaryzacji systemów biorących udział w przetwarzaniu informacji przez tą usługę. Zależnie od organizacji, możemy je podzielić zgodnie z poniższą tabelą:

Jest to tylko przykład. Generalnie chodzi o to, abyśmy mieli pełną świadomość, jakie elementy naszej infrastruktury „biorą” udział w przetwarzaniu informacji.

Z punktu widzenia bezpieczeństwa wszystkie elementy (rodzaje systemów) mogą mieć wpływ na działanie takiej usługi. Dlatego istotne jest, aby zbierać/przesyłać zdarzenia do systemu SIEM, ze wszystkich warstw systemu, nie punktowo lub jednowymiarowo. Mając „pod ręką” zdarzenia z różnych systemów mamy możliwość ich korelacji co pozwoli na szybsze wykrycie zdarzenia/incydentu bezpieczeństwa oraz adekwatną reakcję. Jednocześnie należy pamiętać o właściwym zabezpieczeniu tych systemów przed zagrożeniami zewnętrznymi oraz wewnętrznymi (np. regularne aktualizacje, hardening). Niniejszy artykuł nie obejmuje swoim zakresem sposobów zabezpieczenia systemów. Patrząc na powyższą tabelę, łatwo dojść do wniosku, że systemy Infrastrukturalne oraz Bezpieczeństwa należy podłączyć do systemu SIEM, ponieważ należą do części wspólnej dla większości monitorowanych aplikacji (systemów biznesowych). Oczywiście wspominam w tym miejscu o klasycznej infrastrukturze, niewchodzącej w skład infrastruktury OT, która powinna być w jakiś sposób odizolowana.

Zatem, w pierwszej kolejności powinniśmy nasze prace rozpocząć od podłączenia systemów Infrastrukturalnych oraz Bezpieczeństwa. Podłączając każdy system powinniśmy się kierować co najmniej następującymi wytycznymi:

Ustalić z administratorem i skonfigurować właściwy poziom logowania. Właściwy, to znaczy taki, który pozwoli nam stworzyć potrzebne reguły bezpieczeństwa. Można zacząć od standardowych polityk. W kolejnym etapie wdrożenia można zmodyfikować niniejszy zakres.

Przykłady:

– Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;-

– Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa).  Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie,  czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.

Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;
Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa).  Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie,  czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.
Połączenia z systemów źródłowych do systemu SIEM i z powrotem, na potrzeby przekazania zdarzeń powinny być szyfrowane przy wykorzystaniu protokołów oraz algorytmów uznanych powszechnie za bezpieczne.
W warstwie transportowej zdarzenia powinny być przesyłane za pomocą protokołu TCP. Zapewni to wyższą niezawodność w transporcie logów do systemu SIEM, niż protokół UDP. Podejmując decyzję wysyłania logów za pomocą protokołu UDP (czytaj – mniejszy narzut ruchu sieciowego), akceptujemy większe ryzyko niedostarczenia pewnej ilości logów, chociażby z powodu krótkiej przerwy w działaniu sieci.
Dla systemów zlokalizowanych w strefach „mniej zaufanych”, np. DMZ, system SIEM powinien być tak skonfigurowany, aby zdarzenia z tych segmentów były pobierane z sieci LAN (czytaj z LAN do DMZ). Nigdy w odwrotną stronę, czyli ruch sieciowy z DMZ do LAN, ponieważ w ten sposób możemy sami ułatwić „ścieżkę” dostępu do systemów zlokalizowanych wewnątrz naszej sieci potencjalnemu atakującemu.
Należy stosować różne, dedykowane konta serwisowe na potrzeby pobierania zdarzeń, z poszczególnych typów systemów. Jeżeli jesteśmy zmuszeni zapisać poświadczenia w pliku w postaci niezaszyfrowanej, należy ograniczyć uprawnienia do niezbędnego minimum.
Przeanalizować logi pod kątem anonimizacji wybranych kategorii zdarzeń. Wiele systemów potrafi zanonimizować wybrane wartości pola w zdarzeniu. Jeżeli istnieje uzasadniona potrzeba „ukrycia” pewnych informacji w myśl zasady minimalizacji przetwarzanych informacji, system SIEM powinien być w ten sposób skonfigurowany. Przykładowymi informacjami, które mogłyby być poddane zanonimizowaniu będą: numery kart kredytowych, dane osobowe, hasła. Wszystko zależy od kontekstu przetwarzanych informacji i potrzeby utworzenia scenariuszy bezpieczeństwa.
Skonfigurować system SIEM w zakresie monitorowania systemów źródłowych pod kątem odbierania logów. Administratorzy systemu powinni być powiadamiani w sytuacji gdy system źródłowy przestał przesyłać zdarzenia.

Posiadając „podłączone” do SIEM-a (skonfigurowane do przekazywania logów) systemy infrastrukturalne oraz bezpieczeństwa, możemy rozpocząć konfigurację podłączeniową systemów aplikacyjnych. Oczywiście proces podłączenia systemu aplikacyjnego zależy od jego możliwości oraz zdolności jakie daje system SIEM.

Ważnym elementem jest rozmowa z osobą z ramienia właściciela systemu. To zazwyczaj użytkownik/administrator ma największą wiedzę w organizacji, zarówno od strony możliwości podłączeniowej aplikacji, ale również, co w systemie można nazwać normalnym zachowaniem, a co anomalią/zdarzeniem/incydentem. Na tej podstawie administrator systemu SIEM powinien wybrać optymalną metodę podłączenia systemu.

W kolejnej fazie wdrożenia, analityk we współpracy z administratorem i/lub użytkownikiem aplikacji powinni uzgodnić scenariusze bezpieczeństwa.

Kolejnym istotnym elementem naszych czynności powinno być upewnienie się, że systemy bezpieczeństwa służące do wykrywania incydentów (takie jak IPS/IDS, WAF) poddają inspekcji cały ruch sieciowy (czytaj – istnieje potrzeba deszyfracji ruchu) kierowany z/do aplikacji. Tylko w ten sposób możemy przekazać z systemów bezpieczeństwa do systemu SIEM, wszystkie informacje o wykrytych incydentach.

Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?

               W początkowej fazie wdrożenia systemu warto wziąć pod uwagę kilka istotnych elementów, które powinny zostać przeanalizowane, następnie wykonane w systemie. Chodzi przede wszystkim o właściwą konfigurację, która zapewni odpowiednie działanie systemu, które przełożyć możemy na główne korzyści funkcjonowania naszego SIEM-a.

Integracja z innymi systemami

Poniższa lista systemów ma charakter przykładowy. Każda organizacja zależnie od potrzeb powinna przeanalizować to indywidualnie i podjąć właściwą decyzję w zakresie integracji. Spora część poniższych zaleceń może wydawać się oczywista. Jednak dosyć często można zauważyć, integrację z systemami z pominięciem pewnych czynności. To właśnie kompleksowe podejście zwiększa bezpieczeństwo naszego systemu/organizacji.

Dla wysyłania powiadomień, potrzebna jest integracja z systemem pocztowym. Do tego celu warto wykorzystać uwierzytelnianie dedykowanym użytkownikiem. Pamiętajmy aby nie pozostawić serwerów tzw. Open Relay (niezabezpieczony serwer przed nieautoryzowanym wykorzystaniem). Ważne jest, aby komunikacja z takim systemem była szyfrowana.
Do uwierzytelniania warto wykorzystać usługę katalogową (np. Active Directory), z zaimplementowanym szyfrowaniem komunikacji.
Synchronizacja czasu to podstawowy element działania każdego systemu, dlatego SIEM powinien być zintegrowany z serwerem czasu w każdej organizacji.
Zależnie od naszej polityki backupu może być konieczna integracja z systemem backupu. Zatem takie wymaganie może wiązać się z instalacją agenta na każdym z systemów operacyjnych naszego SIEM-a. Odnośnie instalacji na wirtualnych hostach, raczej nie powinniśmy mieć większych problemów, ale z instalacją na tzw. fizycznych appliance-ach powinniśmy być ostrożni. Taki „gotowy”, fizyczny appliance, posiada system operacyjny przygotowany przez producenta. Agent backupu może wymagać instalacji dodatkowych pakietów. Pamiętajmy, że podczas procesu aktualizacji SIEM-a, będziemy zmuszeni przeanalizować tą zależność, aby nie mieć problemów z przeprowadzeniem aktualizacji systemu. Może być potrzeba podmontowania dodatkowego repozytorium, z którego system będzie musiał pobrać nowsze wersje pakietów dla agenta backup. Inne rozwiązanie to odinstalowanie wcześniej zainstalowanych dodatkowych pakietów, aktualizacja systemu i finalnie zainstalowanie nowych pakietów agenta.
Posiadając system Help Desk, który pełni rolę systemu zgłoszeń/incydentów, warto wykonać integrację z systemem SIEM, który przekaże informacje w zakresie wystąpienia określonego incydentu. Niniejsza integracja pozwoli nam zautomatyzować pewną część procesu zarządzania incydentami (np. zgłoszenie będzie utworzone w trybie automatycznym oraz przydzielone właściwej grupie na 1. linii wsparcia).
Wiele organizacji integruje swoje SIEM-y z platformami, które dostarczają informacje na temat wskaźników włamań tzw. IOC (ang. Indicator of compromise). Systematycznie aktualizowane i pobierane przez system SIEM, są porównywane z wartościami tej samej kategorii, znajdujących się w zdarzeniach z systemów źródłowych. W ten sposób można znaleźć np. potwierdzenie komunikacji hosta z naszej sieci, który komunikował się z adresem sklasyfikowanym jako „niebezpieczny”.

Retencja przechowywanych zdarzeń bezpieczeństwa

Długość okresu przechowywania zdarzeń bezpieczeństwa powinien zależeć przede wszystkich od wymagań prawnych oraz do jakich zadań wykorzystujemy nasze logi. Wyjaśniając: możemy podzielić zdarzenia przetwarzane w systemie SIEM na co najmniej dwie kategorie (bieżące – to te które wyzwalają nam nowe incydenty, archiwalne – to zdarzenia, które wykorzystujemy do analizy, weryfikacji, potwierdzenia incydentów/zdarzeń, które wystąpiły jakiś czas temu). Jak się zapewne domyślacie, taki podział generuje nam konkretne wymagania, które powinniśmy uwzględnić.

Dla zdarzeń bieżących proponuję maksymalnie 1 miesiąc przechowywanych zdarzeń. Nic nie stoi na przeszkodzie aby było to również 14 dni. Tego typu logi powinny być przechowywane na szybszych dyskach (np. SSD), ze względu na potrzebę szybkiego dostępu do danych oraz jak najszybszą potrzebę przetwarzania danych, finalnie utworzenia właściwych incydentów. Przydzielając zasoby dyskowe, powinniśmy odpowiedzieć na kluczowe pytanie: W jakim okresie czasowym będziemy potrzebowali przeszukiwać tego typu zdarzenia według przyjętych kryteriów?
Dla zdarzeń archiwalnych zalecane są wolniejsze dyski, ponieważ nie potrzebujemy aż tak szybkiego dostępu do wyników wyszukiwania. Akceptujemy dłuższy okres oczekiwania na rezultaty przeszukiwania logów. Rozmiar przestrzeni powinniśmy określać przede wszystkim w oparciu o obowiązujące przepisy prawa. Bardzo często, wiele organizacji jest zobligowanych do przechowywania zdarzeń ze względu np. na potrzebę rozliczalności użytkowników lub potwierdzenia komunikacji z adresami zidentyfikowanymi jako niebezpieczne.
Spora część rozwiązań daje możliwość ustawienia retencji zależnie od rodzaju logów. Załóżmy, że zdarzenia z Firewall-i, z jakiegoś powodu musimy przechowywać 2 lata, a zdarzenia z systemów operacyjnych 1 rok.

Wykorzystanie najlepszych baz wiedzy na potrzeby stworzenia scenariuszy bezpieczeństwa

Aktualnie znaną i polecaną bazą wiedzy w tym zakresie jest MITRE ATT&CK (https://attack.mitre.org/), która bazuje na najlepszej wiedzy i doświadczeniu ekspertów bezpieczeństwa. Podstawą wyżej wymienionego framework-u są tzw. taktyki oraz techniki. Zależnie od stosowanej technologii mamy możliwość szybkiego zapoznania się z atakami oraz zaleceniami ochrony przed nimi. W odniesieniu do szczegółowych informacji publikowanych w MITRE ATTA&CK, można utworzyć bardzo dużo scenariuszy, które znacząco podniosą dojrzałość organizacji w zakresie wykrywania incydentów bezpieczeństwa.

Minimalizacja uprawnień

Bardzo często pomijany element całej układanki.  Powinniśmy zadbać o to, aby system albo usługa były uruchamiane i pracowały z uprawnieniami, które wystarczą do prawidłowej pracy. W tym przypadku powinniśmy kierować się zasadą minimalizacji. Jeśli producent wspiera taką konfigurację, to tak należy zrobić, czyli uruchamiać usługi z uprawnieniami dedykowanego użytkownika (nieposiadającego uprawnień administracyjnych). Nie konfigurujmy/uruchamiajmy usług naszego systemu z wykorzystaniem użytkowników typu root/Administrator. W przypadku ataku, wykorzystanie błędu w takiej usłudze o wiele bardziej narazi system na włamanie. Oczywiście tę czynność zazwyczaj wykonujemy na etapie instalacji lub początkowej konfiguracji. Możemy jednak to zrobić, nawet gdy „zastaliśmy” w taki sposób skonfigurowany system.

Lokalny Firewall

Po pierwsze, nie wyłączaj lokalnego Firewall-a! Dodawaj reguły tylko dla skonfigurowanych usług na potrzeby prawidłowej pracy systemu. Filtracja ruchu przez lokalny firewall to również ważna kwestia bezpieczeństwa systemu. Nie zapominajmy o tym. W pewnych okolicznościach może się okazać, że to była ostatnia deska ratunku.

Podsumowanie

               Temat monitorowania usługi biznesowej to dosyć złożony proces. W mojej ocenie najważniejsze elementy tego procesu to podłączenie właściwych systemów oraz integracja z właściwymi elementami infrastruktury organizacji. Tylko kompleksowe podejście do tematu zapewni nam odpowiedni poziom monitorowania usługi biznesowej za pomocą systemu SIEM. Z punktu widzenia zespołów bezpieczeństwa tego typu system, jest głównym narzędziem w codziennej pracy. Mając zdarzenia bezpieczeństwa w jednym systemie, zespoły wszystkich linii wsparcia mogą czerpać z niego wiele korzyści.

Wychodząc naprzeciw oczekiwaniom naszych Klientów, świadczymy wsparcie na każdym etapie wdrożenia systemów SIEM. Rozpoczynając od planowania samego wdrożenia, kończąc na implementacji scenariuszy bezpieczeństwa oraz integracji z systemami typu SOAR, aby zautomatyzować pewne procesy dla całej organizacji.

W styczniu 2022 r. państwa członkowskie Organizacji Narodów Zjednoczonych (ONZ) rozpoczynają negocjacje w sprawie nowej globalnej konwencji o cyberprzestępczości, uruchamiając wieloletni proces mający na celu zwiększenie międzynarodowych zdolności prawnych do zwalczania naruszeń w sieci.  
Wysiłki te wzbudziły jednak obawy, że nowy traktat może podważyć prawa człowieka lub istniejące systemy współpracy międzynarodowej. Mając to na uwadze, we wrześniu ubiegłego roku Cybersecurity Tech Accord połączył siły z CyberPeace Institute, by wspólnie opublikować manifest – Multistakeholder Manifesto on Cybercrime.
Chociaż traktat może potencjalnie poprawić współpracę międzynarodową, wiele osób obawia się, że inicjatywa ta stanowi okazję dla rządów do ograniczenia wolności słowa w Internecie, a także podważenia istniejących międzynarodowych instrumentów współpracy. Powyższe obawy wynikają z oświadczeń państw, które już przedłożyły swoje stanowisko w sprawie nowego traktatu.

 
Ponadto niektóre z tych oświadczeń nie zawierają żadnej wzmianki o tym, w jaki sposób nowa konwencja dotycząca cyberprzestępczości powinna uwzględniać prawa człowieka. Niepokojące jest to, że jednymi z najgłośniejszych zwolenników nowego traktatu o cyberprzestępczości są rządy, które od dawna przymykają oko na operacje cyberprzestępcze odbywające się w ich własnych granicach.
Podczas gdy część rządów złożyło wstępne oświadczenia, wiele innych nie określiło, co należy traktować priorytetowo i jak podejść do konstruowania nowego, międzynarodowego instrumentu walki z cyberprzestępczością. To właśnie dla tej społeczności państw opracowano Manifest Wielostronny, który został zatwierdzony przez ponad 60 podmiotów z całego społeczeństwa obywatelskiego, sektora prywatnego i liderów myśli.
Manifest wyjaśnia, że nowa konwencja dotycząca cyberprzestępczości nie może być negocjowana za zamkniętymi drzwiami i musi priorytetowo traktować potrzeby ofiar nad potrzebami państw. Ten proces musi być tak przejrzysty i oparty na konsensusie, jak to tylko możliwe, ponieważ jego wynik będzie miał poważne konsekwencje dla organizacji, osób i społeczeństwa.
W 2018 roku dołączyliśmy do globalnej inicjatywy Tech Accord jako sygnatariusz wspierający walkę z cyberprzestępczością. Tym samym zależy nam, by Manifest służył jako cenne źródło informacji dla rządów i interesariuszy na całym świecie. Chcemy zapewnić szeroki dostęp do dokumentu, dlatego również i my publikujemy na naszej stronie internetowej oryginalny tekst Manifestu. Mamy nadzieję, że wszystkie strony zaangażowane w proces negocjacji nowej konwencji w sprawie cyberprzestępczości zastanowią się i poprą przedstawione w niej zasady.
Pobierz Manifest w języku angielskim

Gartner opublikował raport Gartner Peer Insights 2021 „Voice of the Customer” for SIEM, w którym Micro Focus otrzymał wyróżnienie „Customers’ Choice” za platformę CyberRes ArcSight. Rozwiązanie otrzymało doskonałe oceny klientów i cieszyło się dużym zainteresowaniem wśród użytkowników.

Jesteśmy dumni z rosnącej popularności produktu naszego Partnera, z którym współpracujemy od 2021 roku. To dla nas potwierdzenie, że oferujemy naszym Klientom najlepsze narzędzia Cyber Security.

Raport Gartnera opiera się na opiniach zweryfikowanych klientów i partnerów z branży, którzy regularnie korzystają z ArcSight i innych rozwiązań SIEM. Materiał dostępny na platformie Gartner Peer Insights jest szczególnie pomocy osobom decyzyjnym, ponieważ jest odzwierciedleniem rzeczywistych doświadczeń i potrzeb użytkowników. Dzięki tym informacjom będzie zdecydowanie łatwiej podjąć decyzję odnośnie wykorzystania ArcSight w swojej organizacji.

Więcej o rozwiązaniu ArcSight

ArcSight Enterprise Security Manager wyposaża Twój zespół w potężny, konfigurowalny SIEM, który w czasie rzeczywistym wychwytuje zagrożenia oraz wbudowany SOAR dla Twojego Zespołu Obsługi Incydentów.

Nie można walczyć z zagrożeniami których nie widać, dlatego priorytetem jest odpowiednia forma wizualizacji danych. Elastyczność i wbudowane narzędzia ArcSight pozwalają na dokładną analizę bezpieczeństwa Twojej firmy.

Dzięki funkcjom takim jak agregacja, normalizacja i wzbogacanie danych, poprzez uzupełnienie ich o informacje zewnętrznych źródeł, analitycy zyskują niezawodne narzędzie do walki z cyberzagrożeniami.

Chcesz wdrożyć rozwiązanie ArcSight w swojej organizacji?

Skontaktuj się z nami!

Wraz z zakupem nowego auta, zwłaszcza wyższego segmentu zyskujemy niekiedy nie tylko rozbudowany system elektroniki, ale również swoiste centrum zarządzania samochodem.
Dzięki temu na przykład za pomocą smartfona jesteśmy w stanie dostosować temperaturę wnętrza zanim jeszcze do niego wsiądziemy. Możemy również uzyskać wiele informacji o stanie samochodu, liczbie przejechanych kilometrów, czy ostatnio pokonanej trasie z wykorzystaniem GPS. Parując urządzenie bluetooth z autem możemy o wiele łatwiej nawiązywać połączenia, odczytywać SMS, czy na nie odpisywać. Czy jednak tak duże nagromadzenie elektroniki nie wpływa negatywnie na przetwarzanie naszych danych? Czy auta mogą stać się celem hakerów?
Branża motoryzacyjna osiągnęła ważny kamień milowy w 2020 roku: ponad połowa samochodów sprzedawanych na całym świecie była standardowo wyposażona w łączność z Internetem. Nowoczesne pojazdy zaczęły przypominać mobilne superkomputery, z których każdy zawiera miliony linijek kodu i może przetwarzać ogromne ilości danych.
Branża motoryzacyjna podwaja ilość danych, aby poprawić wrażenia z jazdy i zarabiać na informacjach. Ale ta hiperłączność wiąże się ze znacznym ryzykiem. Na początku roku 2021 dwóch badaczy zaprezentowało, jak Tesla – i prawdopodobnie inne samochody – mogą zostać zhakowane zdalnie, bez interakcji użytkownika, za pomocą drona.

Strach pomyśleć co mogłoby się stać gdyby nie były to wyłącznie testy.
Największe domniemane zagrożenia bezpieczeństwa dla przemysłu motoryzacyjnego to:

Kradzież samochodu
Informacje o użytkowniku pozyskane w wyniku naruszenia danych
Zdalna manipulacja lub kontrola pracy samochodu, która zagraża bezpieczeństwu fizycznemu kierowców, pasażerów i innych osób na drodze

Mając na uwadze powyższe, chcieliśmy zbadać niektóre z największych wyzwań związanych z bezpieczeństwem, przed którymi stoją producenci samochodów w dającej się przewidzieć przyszłości.
Ryzyko łańcucha dostaw
Hakerzy zwracają uwagę na samochody z dostępem do Internetu. Mają wiele punktów wejścia, więc istnieje kilka sposobów na czerpanie korzyści z ataków. Od 2016 r. liczba cyberataków na pojazdy połączone z internetem wzrosła o prawie 100% rocznie.
Kradzież i zdalny rozruch o wiele prostsze
Jednym z celów wprowadzania lepszej technologii do samochodów jest uczynienie ich wygodniejszymi i bezpieczniejszymi przed kradzieżą. Przykładem jest przejście z kluczy fizycznych na karty, które wykorzystują nadajnik radiowy krótkiego zasięgu. Jednak dzisiaj wystarczy para gadżetów radiowych za 11 dolarów, aby zhakować kartę i ukraść samochód. Zdalny rozruch to kolejna funkcja, która jest coraz częściej wykorzystywana przez złodziei samochodów.
Hakowanie systemów bezpieczeństwa w podłączonych samochodach i dostępność tanich urządzeń do kradzieży, nawet tych wykonanych przy użyciu starych Nintendo Game Boys , oznacza, że ​​złodzieje mogą uzyskać dostęp do niemal każdego podłączonego samochodu, jaki tylko chcą. 
Naruszenia danych
Dzięki rozwoju technologii nowoczesne pojazdy mogą zbierać więcej danych osobowych o swoich użytkownikach – to nie tylko ułatwienie, ale również niebezpieczeństwo. Były dyrektor generalny Intela, Brian Krzanich, przewiduje że tylko jeden autonomiczny samochód zużyje 4000 GB danych dziennie. 
Niestety, różne tryby łączności takie jak:

Pojazd do sieci (V2N)
Pojazd do infrastruktury (V2I)
Pojazd do pojazdu (V2V)
Pojazd do chmury (V2C)
Pojazd do pieszego (V2P)
Pojazd do urządzenia (V2D)
Pojazd do sieci (V2G)

oraz przechowywanie informacji w niezabezpieczonych repozytoriach, to duża szansa na ich wykradzenie. Na przykład śledztwo Washington Post ujawniło, ile danych osobowych można wydobyć z używanego komputera informacyjno-rozrywkowego z Chevrolet. Ponieważ coraz więcej modeli jest dostarczanych z łącznością 4G lub 5G, hakerzy nie potrzebują nawet fizycznego dostępu do pojazdu, aby go infiltrować i wydobyć prywatne informacje.
 
Samochody wykonujące niepożądane czynności
Utopijna możliwość odebrania kontroli kierowcy przeniosła się z filmów akcji do świata rzeczywistego. Jednym z najbardziej znanych przykładów było to, że badacze włamywali się i wyłączali skrzynię biegów w Jeepie Cherokee, gdy jechał on na autostradzie z prędkością 70 mil na godzinę. To ostatecznie doprowadziło do tego, że Chrysler wycofał 1,4 miliona pojazdów. 
Zdalne przejmowanie funkcji systemu jest poważnym problemem dla pojazdów autonomicznych. Naukowcy wykazali, w jaki sposób zaawansowane systemy wspomagania jazdy (ADAS) w Tesli Model X mogą zostać oszukane, aby zmienić kierunek jazdy. By pojazdy podłączone do sieci osiągnęły swój pełny potencjał, producenci samochodów muszą przekonać organy regulacyjne i klientów, że są naprawdę bezpieczne.
Połączone aplikacje samochodowe
Aplikacje mobilne zastępujące karty to kolejny znaczący postęp, którego zaczynamy być świadkiem. Obecnie te aplikacje mogą wykonywać proste funkcje, takie jak odblokowywanie samochodu, po zaawansowane czynności, takie jak samodzielne parkowanie lub wzywanie samochodu. Wszystkie te funkcje wymagają przechowywania i przekazywania poufnych informacji z poziomu aplikacji. Dlatego zabezpieczenie danych w spoczynku i w ruchu ma kluczowe znaczenie dla zdobycia zaufania klientów.
Aby tak się stało, twórcy aplikacji muszą nadać najwyższy priorytet cyberbezpieczeństwu połączonego samochodu. Ale to nie jest takie proste, jak się wydaje. Posiadanie wystarczająco dużego wewnętrznego zespołu ds. bezpieczeństwa, aby utrzymać bezpieczeństwo aplikacji na wymaganym poziomie, może nie zawsze być realną opcją dla producentów samochodów.
Aplikacje są już trzecim najpopularniejszym wektorem ataków wykorzystywanym do infiltracji podłączonych samochodów. Wraz z rosnącą liczbą kradzieży aplikacje samochodowe mogą stać się jeszcze większym i lukratywnym celem.
Droga przed nami: lepsze bezpieczeństwo nowoczesnych, smart samochodów
Wzmocnienie cyberbezpieczeństwa samochodów połączonych do sieci i zabezpieczenie powiązanych aplikacji motoryzacyjnych przed włamaniem wymaga wielu technik blokowania i udaremniania wysiłków hakerów.
Firma Zimperium dysponuje narzędziami pozwalającymi chronić nie tylko wielkie koncerny, kody źródłowe i zaawansowane aplikacje, ale także nasze mobilne urządzenia wykorzystywane w różnego rodzaju organizacjach.
Zimperium oferuje jedyną ochronę w czasie rzeczywistym na urządzeniu opartą na uczeniu maszynowym. Rozwiązania Zimperium chronią mobilne punkty końcowe i aplikacje przeciwko atakom na urządzenia, sieć, phishing i złośliwe aplikacje.
Zimperium zapewnia jedyne rozwiązania MTD (Mobile Threat Defense), które:

zapewniają ochronę przed atakami rozpoznanych i nierozpoznanych urządzeń, sieci, złośliwych aplikacji i phishingiem;
bazują na systemach Android, iOS i Chromebook;
mogą być zarządzane z każdego systemu chmurowego i on-prem;
posiadają certyfikację FedRAMP “Authority to Operate”;
mogą chronić prywatność bez wysyłania żadnych danych umożliwiających identyfikację użytkownika;

Jeśli chcesz dowiedzieć się więcej o rozwiązaniach Zimperium skontaktuj się z nami.

Luka w oprogramowaniu Log4j (nazwana też Log4Shell) może stanowić krytyczne zagrożenie dla wielu organizacji! Ten artykuł pomoże Ci zrozumieć zagrożenie i przedstawi najlepsze praktyki w zakresie bezpieczeństwa tożsamości.

 
Od kiedy o tym wiemy i o co w tym chodzi?
W listopadzie 2021 roku Fundacja Apache otrzymała zgłoszenie naruszenia bezpieczeństwa w stworzonej przez siebie bibliotece log4j. A dokładniej chodzi o funkcję, którą można wykorzystać w „złośliwym” celu. Okazało się, że gdy do bibliotek przekaże się odpowiednio przygotowany tekst z adresem strony, wtedy biblioteka spróbuje pobrać plik a następnie go uruchomić. Dalej już chyba nie trzeba wyjaśniać co można zrobić.
 
Jakiego rodzaju jest to zagrożenie?
Specjaliści od cyberbezpieczeństwa nazwali ten incydent Log4Shell i mówią nawet o największym zagrożeniu od dekad. Luka w oprogramowaniu stwarza wielkie możliwości hakerom. Bez wiedzy użytkownika mogą mieć dostęp do tysięcy wrażliwych danych.
„Aby przeprowadzić atak, osoba, która chce wykorzystać lukę, musi uzyskać kod tego ataku odczytany przez bibliotekę log4j. W tym celu może wprowadzić dane w polu formularza lub w danych technicznych połączenia, zmieniając np. nazwę swojej przeglądarki internetowej lub swojego klienta poczty e-mail.” – Eric Freyssinet, Specjalista ds. Cyberbezpieczeństwa we francuskiej Żandarmerii.

Co dalej?
Apache wydał już oficjalną poprawkę dostępną dla wszystkich. Instalacja aktualizacji nie jest procesem scentralizowanym i każdy użytkownik musi ją indywidualnie pobrać i zainstalować na swoim komputerze. Proces ten może zatem potrwać.
Warto dodać, że potencjalne ataki prawdopodobnie nie będą wymierzone w zwykłych użytkowników. Według ekspertów, hakerzy najpewniej powinni zaatakować największe organizacje korzystające z log4j i będące jednocześnie podatne na zagrożenie.
 
Najlepsze praktyki cyberbezpieczeństwa
Nasz wieloletni Partner i ekspert od dostępu uprzywilejowanego, firma CyberArk, zaproponował 6 zasad, którymi powinniśmy się kierować, by zmniejszyć ryzyko Log4Shell. Zachęcamy do przeczytania i wdrożenia tych zasad w swojej organizacji.
 
6 najlepszych praktyk w zakresie bezpieczeństwa tożsamości w celu zmniejszenia ryzyka Log4Shell

Instalacja poprawek: Jeśli jeszcze tego nie zrobiłeś, podejmij natychmiastowe kroki i zainstaluj aktualizację oprogramowania Log4J wydaną przez Apache. Ważne jest również, aby zapoznać się z zaleceniami dostawców dotyczących aktualizacji dla używanych platform.
Zabezpieczenia peryferyjne: Zastosuj reguły zapory aplikacji internetowych (WAF), aby złagodzić typowe próby wykorzystania danych w ramach kompleksowej strategii obrony organizacji przed cyberzagrożeniami.
Dane uwierzytelniające: Ogranicz dostęp do zmiennych środowiskowych i lokalnych tożsamości przechowywanych w CI/CD, aby zminimalizować bezpośrednie ryzyko stwarzane przez atakujących.
Zasoby poziomu 0: Zezwalaj tylko na uprzywilejowany dostęp do określonych hostów, aby ograniczyć dostęp do zasobów warstwy 0, takich jak Active Directory i DevOps. To znacznie utrudni atakującemu włamanie do sieci.
Polityka minimalnych uprawnień: Ograniczenie dostępu do wymaganego minimalnego poziomu – i odebranie go, gdy nie jest potrzebny – może znacznie spowolnić lub zatrzymać atakującego.
Uwierzytelnianie wieloskładnikowe: Atakujący ma znacznie większe szanse na sukces, gdy nie muszą zapewnić drugiego czynnika uwierzytelniającego ani innego elementu potwierdzenia tożsamości, aby zaaplikować swój złośliwy kod.

Chcesz wdrożyć rozwiązania chroniące Twoją organizację przed potencjalnymi atakami? Skontaktuj się z nami, by dobrać odpowiedni produkt.

W dobie pandemii i coraz popularniejszej pracy hybrydowej, firmy z sektora SMB (Small and Medium Business) muszą szybko przystosować się do nowej sytuacji. Postępująca transformacja cyfrowa pociąga za sobą szereg wyzwań, ale i otwiera zupełne nowe możliwości rozwoju. Microsoft Teams Essentials to odpowiedź na tę sytuację.
Teams Essentials – Dedykowana oferta dla małych i średnich firm

W odpowiedzi na potrzeby małych i średnich przedsiębiorstw Microsoft przygotował nowy produkt w swojej ofercie. Microsoft Teams Essentials to nowa licencja standalone dla Microsoft Teams skierowana do firm korzystających ze spotkań online, które nie są jeszcze gotowe na całkowitą migrację do chmury Microsoft. Dostęp do Teams Essentials wygląda bardzo korzystnie cenowo, można powiedzieć wręcz, że jest skrojony na miarę SMB. To co może przyciągnąć właścicieli tych firm, to fakt, że nie trzeba mieć wykupionego całego pakietu Microsoft 365. Wystarczy mieć pakiet Teams Essentials żeby używać opcji spotkań w ramach Microsoft Teams.
Otrzymuj powiadomienia Teams na każdym mailu
Nie wszystkie firmy są gotowe na przejście o poziom wyżej z rozwiązaniami pocztowymi. Korzystając z obecnego adresu mailowego pracownicy mogą otrzymywać powiadomienia z Teams i kalendarza. Cała firma może otrzymywać informacje o zbliżającym się spotkaniu, a organizator ma podgląd kto zaakceptował zaproszenie, a kto jeszcze się waha. Pozostając przy istniejącej już poczcie można podnieść produktywność i współpracę wewnątrz organizacji poprzez opcje Teams.
Pracuj zespołowo i produktywnie

Dzięki możliwościom Teams Essentials możesz przeprowadzać spotkania dla swoich pracowników i klientów. Współpraca w trybie pracy zdalnej lub hybrydowej jest niezwykle istotna, więc warto ją uskuteczniać w najlepszy możliwy sposób. Podczas spotkań możesz prezentować nawet dla kilkuset osób. Każdy użytkownik może dzielić się swoimi projektami w ramach współdzielonego miejsca na dysku. Nagrywane spotkania możesz później udostępniać uczestnikom. Te i inne opcje w ramach licencji Teams Essential pomogą Twojej firmie zrobić pierwszy krok do transformacji cyfrowej.
W ramach Teams Essentials klienci otrzymują szereg opcji, które są dostępne w Microsoft Teams:
– organizacja spotkań online do 300 uczestników
– 10 GB współdzielonego miejsca na dysku
– możliwość integracji z kalendarzem Google
– nagrywanie spotkań
– czat i udostępnianie ekranu
– dostęp do aplikacji mobilnej
– integracja z ponad 800 aplikacjami
– i wiele więcej …
Wszystko to sprawia, że każda, nawet mała organizacja będzie miała szansę na produktywne spotkania w rozsądnej cenie. Poniżej przedstawiamy porównanie pakietów Microsoft Teams.
[caption id="attachment_2025" align="aligncenter" width="556"] Powyższy cennik może się zmienić.[/caption]
 
Zachęcamy do kontaktu, gdyby któraś z opcji była interesująca dla Twojej organizacji.

Darktrace regularnie odnotowuje zwiększoną liczbę cyberataków typu ransomware podczas świąt, weekendów oraz poza regularnymi godzinami pracy. Są one wówczas znacznie trudniejsze do wykrycia, a co za tym idzie mogą przynieść proporcjonalnie więcej szkód, z uwagi na brak natychmiastowej reakcji zespołu odpowiedzialnego za wykrywanie i procesowanie incydentów bezpieczeństwa.
Powyższe okoliczności powodują, że zagrożenia oraz ataki mogą zostać przeprowadzone praktycznie niezauważalnie. Organizacja pozbawiona autonomicznych systemów wykrywających zagrożenia w czasie rzeczywistym narażona jest w znacznie większym stopniu na niespodziewany atak, jak i również naprawy szkód przez niego wyrządzonych.
Ransomware: Niechciany prezent pod choinkę
Jednym z najczęstszych zagrożeń występujących poza godzinami pracy jest Ransomware. W poniższym przykładzie Darktrace został poinformowany o ataku Ransomware w sieci klienta. Incydent miał miejsce w Wigilię poza godzinami pracy, kiedy większość pracowników była offline w swoich domach.
[caption id="attachment_2005" align="aligncenter" width="967"] Rysunek 1. Oś czasu przedstawiająca Wigilijny atak Ransomware[/caption]
Atak zaczął się rozprzestrzeniać od jednego niepozornego komputera, zainfekowanego w tygodniu poprzedzającym szyfrowanie. Komputer ten był wykorzystany jako wektor i dzięki niemu złośliwy program zdobył dostęp do dwóch kontrolerów domen:

serwerów używanych do weryfikacji użytkowników,
autentykacji żądań wewnątrz sieci.

Następnie oba serwery wykonały nietypowe połączenie C2 (Command and Control) do endpointa powiązanego z Ransomware. Następnie zagrożenie przeszło w stan ukrycia.
Warto zaznaczyć, że już na tym etapie DarkTrace wykrył i zaalarmował zespół bezpieczeństwa. Niestety z uwagi na okres świąteczny zespół bezpieczeństwa nie był w stanie zareagować na czas. Bez produktu Antigena Network oraz Proactive Threat Notifications (PTNs) zagrożenie nieprzerwanie przybierało na sile.
24 grudnia Ransomware ponownie się aktywował. Wykorzystując swoje zdobyte uprawnienia rozesłał po urządzeniach wewnątrz firmy skompromitowane pliki wykonywalne. W tym momencie wcześniej zdefiniowane przez atakującego dane organizacji zostały wysłane na zewnętrzną lokalizację w chmurze, z której od razu został pobrany Ransomware.
Cyber-atak mający miejsce podczas świąt od razu zyskuję na przewadze wykorzystując przerwane łańcuchy komunikacji z zespołami bezpieczeństwa w organizacji ofiary. Kto więc powinien się tym zająć?  Jak powinna wyglądać dostępność osób z tego działu? Czy istnieją inne, specjalne procedury dotyczące ataków poza godzinami pracy?
Gdy takie pytania pojawiają się niespodziewanie podczas dni wolnych od pracy, znalezienie odpowiedzi staje się zaskakująco trudne. W momencie, kiedy znamy na nie odpowiedź, najczęściej jest już za późno – szkody zostały już poczynione.
Po opanowaniu ataku pojawiają się także kolejne wyzwania związane z oceną zagrożenia: zespół bezpieczeństwa będzie musiał przeprowadzić śledztwo i w pierwszej kolejności dowiedzieć się co się wydarzyło i jakie będą konsekwencje ataku. W przypadku gdy ciężko jest zmobilizować rozproszony personel oraz gdy zewnętrzne usługi bezpieczeństwa są na wagę złota, proces ten staje się zadaniem żmudnym. Dodatkowo kluczowe informacje jak również dowody mogą bezpowrotnie przepaść. Doprowadza to do sytuacji, gdy firma pozostaje podatna na podobne ataki w przyszłości.
Czekając na sobotę – przykład ataku ransomware
Święta bez wątpienia zwiększają podatność firm na ataki zarówno pod kątem logistycznym, jak i ludzkim. Często jednak nie bierze się pod uwagę podobnych przestojów spowodowanych atakami tego samego typu mającymi miejsce przez cały rok – pod koniec każdego tygodnia. Skala jest mniejsza, jednak nie zmienia to faktu, że incydenty tego typu nie powinny być ignorowane. W ostatnich miesiącach Darktrace zaobserwował ogromny wzrost tego typu weekendowych ataków.
[caption id="attachment_2006" align="aligncenter" width="326"] Rysunek 2. Diagram słów kluczowych, które zaobserwował Darktrace analizując ataki przypadające na „po godzinach”.[/caption]
Powyższy problem dotyczy innego ataku Ransomware, który uderzył w organizację hotelarską mającą swoją siedzibę w Wielkiej Brytanii. Kiedy jeden z użytkowników sieci nieświadomie otworzył wiadomość email zawierającą szkodliwą zawartość jego urządzenie zostało zainfekowane. Infekcja wykorzystywała clear text password exploit aby – wykorzystując istniejące poświadczenia – uzyskać nieautoryzowany dostęp do czterech innych urządzeń w sieci, w tym dwóch kluczowych serwerów.
To właśnie te serwery posłużyły atakującym do wysyłania spamu oraz dalszego infekowania pozostałych maszyn w sieci. Przez następne tygodnie, podczas weekendów zainfekowane urządzenia wykonywały mnóstwo połączeń do endpointów powiązanych z XINOF Ransomware.
Przykład ten pokazuje dobitnie, jak infekcje przeprowadzane poza regularnymi godzinami pracy mogą pochodzić z każdej strony. Warto również zwrócić uwagę jak czynnik ludzki – w tym przypadku niezastosowanie się do protokołów bezpieczeństwa przez osobę z zewnątrz organizacji – doprowadziły do rozprzestrzenienia zagrożenia oraz jego późniejszego ukrycia przed powrotem zespołu bezpieczeństwa w poniedziałek.
W przypadku naruszeń bezpieczeństwa, które i tak mogą zająć miesiące zanim zostaną wykryte i zaadresowane nowoczesne zagrożenia korzystają z każdego sposobu, aby jeszcze bardziej wydłużyć czas wykrycia. Pierwszym naturalnym krokiem powinno być poprawienie detekcji oraz sposobu reagowania na tego typu weekendowe zagrożenia. Taki rodzaj zabezpieczeń można będzie przełożyć na dłuższe świąteczne okresy – nie jest to jednak rozwiązanie trwałe – do tego potrzebne jest proaktywne podejście.
Rozwiązanie, które nigdy nie śpi – odpowiedź na ransomware
W powyższym przykładzie, Autonomiczna Odpowiedź (Autonomous Response) na zagrożenie była możliwa na każdym etapie ataku – niestety nie była aktywna.

Antigena Email mogłaby stłumić atak w zarodku, dzięki poddaniu kwarantannie wiadomości z podejrzanym załącznikiem, jeszcze zanim spenetrowałaby ona sieć organizacji.
W przypadku przeniknięcia do organizacji, kluczowe serwery nie zostałyby naruszone dzięki zidentyfikowaniu złośliwej aktywności. Ruch wykorzystujący zebrane hasła zostałby zatrzymany, aż do momentu weryfikacji przez zespół bezpieczeństwa.
Na sam koniec połączenia z podejrzanymi stronami zawierającymi ładunek XINOF zostałyby zablokowane, zapobiegając tym samym dalszym szkodom.

W przeciwieństwie do człowieka, Sztuczna Inteligencja (AI) nigdy nie śpi i nigdy nie ma wolnego. Sztuczna Inteligencja pracuje przez całą dobę wykrywając wszystkie zagrożenia w ich początkowym stadium. Takie działanie zapobiega dalszej eskalacji, jednocześnie dając drogocenny czas zespołom bezpieczeństwa do reakcji oraz pracy nad samym źródłem zagrożenia.
Jeśli zespół bezpieczeństwa potrzebuje dodatkowej pary oczu rozszerzającej ich pole widzenia i pozwalające na złagodzenie ataków – można do tego celu wykorzystać usługę Proactive Threat Notification. Usługa ta po wykryciu zagrożenia przesyła je bezpośrednio do Security Operation Centre po stronie Darktrace, gdzie zostanie zbadane przez eksperta do spraw cyber-bezpieczeństwa. Usługa Darktrace PTN SOC wykorzystuje podejście follow-the-sun, co oznacza, że organizacje chronione są przez całą dobę.
Czas to pieniądz
Powyższe case studies mają za zadanie być przestrogą i przypominać o konieczności ochrony przez całą dobę, siedem dni w tygodniu. Specjaliści do spraw bezpieczeństwa stale podwyższają swoje umiejętności w walce z cyber-zagrożeniami. Walka toczy się po obu stronach – zagrożenia także ewoluują stale adaptując się do zmieniającego się świata i wykorzystują każdą możliwość, która daje im przewagę podczas ataku.
Teraz, bardziej niż kiedykolwiek staje się jasne, że autonomiczna detekcja korzystająca ze Sztucznej Inteligencji jest jedynym rozwiązaniem, które może wyeliminować czynnik czasu podczas ataku – reagując na zagrożenie błyskawicznie. Nawet gdy biuro jest zamknięte, komputery wyłączone i nie ma nikogo – organizacja pozostaje chroniona.
Przetestuj bezpłatnie rozwiązanie Darktrace Zarejestruj się.
 

Reagowanie na incydenty bezpieczeństwa, czyli jak wdrożyć systemy klasy SIEM i SOAR?
W dzisiejszych czasach każda organizacja mierzy się z wyzwaniem zapewnienia bezpieczeństwa informacji, przede wszystkim w zakresie poufności, dostępności oraz integralności danych i systemów, które zapewniają możliwość świadczenia usług biznesowych, czy też kluczowych. Co więcej część organizacji jest zobligowana do przestrzegania regulacji i zaleceń wynikających z rodzaju świadczonych usług np. wytyczne Komisji Nadzoru Finansowego dla spółek finansowych oraz ustawy o krajowym systemie cyberbezpieczeństwa dla operatorów usług kluczowych.
Każda z wymieniowych wcześniej regulacji, zakłada konieczność monitorowania i raportowania incydentów bezpieczeństwa. Dla organizacji, których regulacje nie dotyczą, monitorowanie incydentów jest równie ważne m.in. z uwagi na możliwość świadczenia usług biznesowych czy też utrzymania wysokiego poziomu zadowolenia i zaufania klientów.
Zbudowanie procesu monitorowania i reagowania na incydenty bezpieczeństwa jest zagadnieniem złożonym, do którego należy się odpowiednio przygotować i realizować krok po kroku. Niestety nie ma złotego środka w postaci rozwiązania technologicznego, które pozwoli na kompleksowe uruchomienie procesu.
Należy również pamiętać, że cały proces to nie tylko technologia, ale również kwestie organizacyjne np. polityka i procedury bezpieczeństwa, jak również ludzie, czyli odpowiednio zwymiarowany zespół, składających się ze specjalistów i ekspertów o odpowiednich kompetencjach. W opracowaniu skupię się przede wszystkim na rozwiązaniach technologicznych.
W ramach przygotowania do wdrożenia procesu można posiłkować się modelem dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa.

 
Jak przygotować się do wdrożenia procesu w oparciu o technologię?
Pierwszym krokiem przygotowania się do wdrożenia procesu monitorowania i reagowania na incydenty bezpieczeństwa w kontekście technologicznym jest analiza środowiska IT w zakresie:

Wykorzystywanych rozwiązań bezpieczeństwa
Usług podstawowych np. serwer poczty
Systemów świadczących najważniejsze usługi biznesowe
Systemów wspierających

Idealna sytuacja, która jednak wymaga znaczącego nakładu pracy, to inwentaryzacja wszystkich zasobów IT w organizacji, co pozwala na przygotowanie się do pierwszego etapu, czyli wdrożenia rozwiązania zapewniającego widoczność zdarzeń bezpieczeństwa.
Na podstawie przeprowadzonych analiz możemy wyspecyfikować nie tylko obszary, które powinniśmy i możemy objąć monitorowaniem, ale również obszary, w których występują braki technologiczne czy funkcjonalne, które należy uzupełnić.
Analiza stanu obecnego infrastruktury oraz rozwiązań bezpieczeństwa pozwoli na opracowanie docelowych funkcjonalności rozwiązań log management, SIEM i SOAR, które będą możliwe do implementacji. Przykładowo brak rozwiązania klasy EDR uniemożliwi wykrywanie zdarzeń dotyczących uruchamiania podejrzanych plików czy procesów na stacjach roboczych.
Widoczność zdarzeń bezpieczeństwa
Widoczność zdarzeń bezpieczeństwa jest kluczowym elementem całego procesu. Nie można w efektywny sposób wdrożyć procesu, jeśli nie mamy odpowiedniej widoczności tego, co dzieje się w naszej infrastrukturze.
Jako pierwszy element modelu powinien zostać wdrożony system klasy zarządzania zdarzeniami (log management). Technologia będzie pobierać lub odbierać zdarzenia z monitorowanych systemów (źródeł danych) i przechowywać je przez określony czas, dając możliwość analizy zdarzeń, jak również wykonywania szczegółowych analiz czy raportowania na potrzeby zgodności.
Analizując rozwiązania dostępne na rynku warto rozważyć Producentów, którzy dostarczają zarówno rozwiązania log management jak i rozwiązania SIEM. Zapewnienie homogenicznych rozwiązań od jednego Producenta, w przyszłości może zaoszczędzić czas niezbędny do wdrożenia kolejnych rozwiązań technologicznych, w kolejnych krokach modelu dojrzałości. Dotyczy to przede wszystkim sposobu normalizacji zdarzeń, który jest odmienny dla różnych systemów log management i SIEM.
Podczas wyboru rozwiązania należy zwrócić uwagę w szczególności na:

Stopień kompresji zdarzeń przy ich długoterminowym przechowywaniu.
Funkcjonalność konfiguracji różnych okresów przechowywania zdarzeń dla poszczególnych rodzajów systemów/zdarzeń.
Stopnień skomplikowania funkcjonalności podłączania źródeł logów.
Stopień skomplikowania przygotowywania dedykowanych reguł normalizujących zdarzenia.
Sposób przekazywania zdarzeń do zewnętrznych systemów SIEM oraz SOAR.

Na podstawie zdarzeń zebranych w systemach zarządzania logami można wykonać analizę tego, co dzieje się w naszej infrastrukturze, a przede wszystkim potwierdzić możliwość realizacji docelowych funkcjonalności SIEM i SOAR w ramach rozwoju modelu dojrzałości.
Z dobrych praktyk wynika, że z modułu zarządzania logami do modułu SIEM powinno trafiać maksymalnie 50%, a zwykle ok. 30% zebranych zdarzeń, które będą wykorzystane dalej do monitorowania incydentów bezpieczeństwa w czasie zbliżonym do rzeczywistego. Z tego wynika, że wdrożenie odrębnego modułu zarządzania logami oraz odrębnego modułu SIEM pozwoli na znaczne zoptymalizowanie budżetu niezbędnego na licencje oraz zasoby sprzętowe czy też wirtualne. Należy mieć na uwadze, że koszt modułu zarządzania logami jest znacznie niższy niż koszt wdrożenia systemów SIEM.
Monitorowanie reaktywne incydentów bezpieczeństwa
Na potrzeby przejścia do kolejnego punktu modelu dojrzałości niezbędne jest wdrożenie systemu klasy SIEM w podstawowej funkcjonalności. Zakres wdrożenia jak również funkcjonalności analityczne, które będą implementowane w ramach etapu, mamy już określone w poprzednim etapie, dzięki wykonanej analizie zarówno infrastruktury, jak i zdarzeń bezpieczeństwa.
Monitorowanie reaktywne z wykorzystaniem systemu klasy SIEM polega na reagowaniu na incydenty bezpieczeństwa w momencie ich wykrycia przez silnik korelacyjny. Jednak jest to monitorowanie post factum i w obecnym etapie polega na wykonywaniu analiz już zaistniałych incydentów bezpieczeństwa.
Etap dotyczy nie tylko wdrożenia samej technologii, ale również edukacji zespołów w ramach wdrożonego rozwiązania. Poznawanie funkcjonalności i zasady działania pozwala użytkownikom na znalezienie dodatkowych sposobów wykorzystania systemu. Co więcej budowanie kompetencji operatorów, analityków i osób odpowiedzialnych za bezpieczeństwo organizacji pozwala na rozpoczęcie procesu monitorowania incydentów bezpieczeństwa. Osoby odpowiedzialne za proces mają okazję poznać specyfikę incydentów, a co za tym idzie konkretnych zagrożeń i ataków, z którymi boryka się organizacja.
Monitorowanie proaktywne incydentów bezpieczeństwa
Monitorowanie proaktywne z wykorzystaniem systemu SIEM to przesunięcie ciężaru działania z wykrywania zaistniałych incydentów bezpieczeństwa na monitorowanie potencjalnie niestandardowego i groźnego zachowania infrastruktury IT.
Z pomocą przychodzi szereg funkcjonalności udostępnionych przez producentów poszczególnych rozwiązań SIEM np.:

Integracja rozwiązań z feedami IoC, IoA oraz Threat Intelligence.
Badanie zachowania użytkowników wewnętrznych i zewnętrznych z wykorzystaniem modułów klasy user behavior analytics.
Moduły wykorzystujące machine learning i artificial intelligence do badania anomalii w infrastrukturze.

Wspomniane funkcjonalności w znakomity sposób zwiększają widoczność zdarzeń bezpieczeństwa w organizacji w bardzo szerokim zakresie. Monitorowanie proaktywne wykorzystuje przede wszystkim dynamiczne elementy i funkcjonalności, a nie bazuje już tylko na zebranych zdarzeniach i ich statycznej analizie.
Większość systemów SIEM posiada wbudowany moduł do obsługi incydentów bezpieczeństwa. Zazwyczaj działa on świetnie w obrębie danego systemu jednak posiada ograniczenia w możliwości integracji z innymi systemami, zarówno na potrzeby wykonania akcji, jak i procesowania incydentów w systemach zewnętrznych. Incydenty mogą być wzbogacane o dodatkowe informacje pochodzące ze zdarzeń ze źródeł danych, które są podłączone do SIEM. Wykonanie akcji np. blokowanie użytkownika, jest teoretycznie możliwe, ale wymaga prac developerskich. Sytuacja wygląda podobnie jeśli chodzi o możliwość współpracy pracowników zespołów bezpieczeństwa. Każdy członek zespołu musi mieć skonfigurowane odpowiednie uprawnienia w głównej konsoli systemu SIEM.
Automatyzacja
Ostatnim etapem dojrzałości modelu monitorowania i reagowania na incydenty bezpieczeństwa jest wdrożenie systemu klasy Security Orchestration Automation and Response. Systemy SOAR to uniwersalne platformy, które zapewniają jeden punkt wspólny pracy dla zespołów cyberbezpieczeństwa przy obsłudze incydentów bezpieczeństwa.
Najważniejszą zaletą systemów SOAR jest możliwość automatyzacji częściowej lub całościowej procesu obsługi incydentu bezpieczeństwa w ramach tzw. Playbooka czyli przepływów procesu. W znaczący sposób wpływa to na wzrost efektywności procesu, co skutkuje znaczącym spadkiem kosztów obsługi procesu
Docelowo system klasy SOAR powinien być wdrożony na bazie funkcjonalności, które zostały określone w poprzednich etapach modelu i rozwijać je do wysokiego poziomu dojrzałości. Przy procesie specyfikacji wspomnianych funkcjonalności należy wziąć pod uwagę następujące kwestie:

Jakie mogą być źródła informacji o danym incydencie. Jaki system oprócz SIEM może wzbogacić analizowany incydent?
Jakie integracje z zewnętrznymi systemami powinny zostać wykorzystane?
Czy system SOAR ma wykonywać akcje na innych systemach np. automatyczne blokowanie użytkownika?

Dojrzały model monitorowania i reagowania na incydenty bezpieczeństwa nie będzie oczywiście opierał się jedynie na rozwiązaniu SIEM. Tak naprawdę źródłem incydentu może być dowolny system np. EDR, czy też system backupowy. Podobnie akcją SOAR-a nie musi być tylko akcja związana z cyberbezpieczeństwem.
Dla lepszego zobrazowania podejścia do wykorzystania systemu SOAR w organizacji w bogatym zakresie, który wykorzysta wzbogacanie incydentów i wykonywanie akcji, przedstawię przykładowe playbooki: 1. 
1. Wielokrotne nieudane logowania

Zdarzenie ze SIEM uruchamia playbook.
Z Active Directory pobierane są informacje o użytkowniku – wzbogacanie incydentu.
Playbook automatycznie wysyła do użytkownika wiadomość e-mail z pytaniem, czy jest świadom zaistniałego zdarzenia i czy potwierdza ten fakt.
Jeśli użytkownik potwierdzi fakt, playbook zostaje zamknięty.
Jeśli użytkownik nie potwierdzi faktu konto użytkownika jest blokowane w Active Directory i powiadamiany jest przełożony pracownika, za pomocą wiadomości e-mail.
Priorytet incydentu jest ustawiany na wysoki.

2. Zarządzanie kontem pracownika na wypowiedzeniu

System SOAR otrzymuje informację z systemu kadrowego o pracowniku, który kończy współpracę z firmą w konkretnym terminie. Uruchamiany jest playbook, który ustawia harmonogram uruchomienia kolejnego playbooka na podstawie terminu przesłanego przez system kadrowy.
W podanym terminie uruchamiany jest playbook, który wykonuje akcje w postaci blokowania użytkownika w Active Directory, innych usługach, do których pracownik miał dostęp oraz blokuje kartę pracownika, za pomocą której wchodził on do firmy.

Przygotowane w poprzednich etapach funkcjonalności, szczególnie w etapie monitorowania proaktywnego, dobrze jest zaimplementować w SOAR, dodając procedury automatyzujące częściowo lub całościowo ich obsługę.
Efektem dojrzałego procesu monitorowania i reagowania na incydenty bezpieczeństwa jest kompleksowo wdrożony system zarządzania logami, wykrywania podejrzanych zdarzeń i anomalii, jak również system obsługi incydentów. Punktem obsługi incydentów i pracy użytkowników będzie konsola systemu SOAR, jako najwyższa warstwa procesu.
Co dalej?
Trzeba mieć na uwadze, że osiągnięcie dojrzałości procesu monitorowania i reagowania na incydenty bezpieczeństwa nie sprawia, że organizacja jest w 100% zdolna do przeciwdziałania wszystkim zagrożeniom. W sieci praktycznie codziennie pojawiają się nowe zagrożenia i ataki, często zero-day lub APT, co wymusza ciągłe doskonalenie procesu. Dlatego ważne jest, aby w sposób cykliczny przeglądać proces i dostosowywać go do obecnych warunków.
Podsumowanie
Zastosowanie modelu dojrzałości procesu monitorowania i reagowania na incydenty bezpieczeństwa ma wiele zalet. Przede wszystkim umożliwia przygotowanie roadmapy, na podstawie której proces będzie wdrażany od początku lub od momentu, w którym znajduje się obecnie w organizacji. Model daje możliwość zaplanowania nie tylko działań, ale też docelowej funkcjonalności inicjalnej, bazującej na wykonanej w fazie przygotowawczej analizie. Jest to niezwykle ważne, gdyż pozwala na określenie kryteriów sukcesu dla każdego etapu.
Wykorzystanie etapów modelu pozwala na zwiększenie efektywności budowania całego procesu, co w efekcie przekłada się na oszczędność czasu podczas wdrożeń. Podział modelu na poszczególne fazy sprzyja również rozwojowi pracowników, którzy sukcesywnie nabywają wiedzę i kompetencje, wraz z rozwojem procesu.
 
Jesteś zainteresowany naszym wsparciem w obszarze Cyber Security? Napisz do nas, wypełniając formularz kontaktowy poniżej.

 
Jeżeli ktoś z was miał styczność z przedstawicielami Microsoft i brał udział w rozmowach o przyswojeniu Microsoft Teams w organizacji – na pewno spotkał się z określeniem change management – zarządzanie zmianą. Pytanie brzmi natomiast – co to dokładnie jest? Artykułów w internecie na ten temat jest sporo i ciągle przybywa (wraz z popularyzacją tego określenia), ale często zaczynają one od części mocno teoretycznej, albo zbyt praktycznej. W tym, stosunkowo krótkim, artykule, chciałbym pokazać tzw. ‘core’ (podstawy) zarządzania zmianą, omówić jego połączenie właśnie z produktami Microsoft i w końcu odpowiedzieć na pytanie – czy bez tego da się w organizacji zaadoptować np. Microsoft Teams?
No dobra – zarządzanie zmianą… Skąd to?
Zacznę od nieco innej strony – kojarzycie pewnie zarządzanie projektami, co? Jest to podejście, które już na stałe przyjęło się w niemal każdej organizacji. Po pierwsze: istnieje “projekt” – przykładowo chcemy coś zbudować. W tym projekcie dysponujemy zasobami – ludźmi, materiałami itd. Następnie pod uwagę bierzemy dostępność tych zasobów, różne ceny etc. Na koniec zwracamy uwagę na etapy – jak budujemy dom, to nie zaczniemy od dachu 😊
Żeby miało to ręce i nogi – powstaje plan, którego staramy się trzymać i (mamy szczerą nadzieję) wszystko gra!
No i tutaj pojawia się właśnie nasz change management, jako uzupełnienie tradycyjnego modelu prowadzenia projektów. Zobaczcie – dostajecie licencję Microsoft Teams jako nowego narzędzia do komunikacji. Od strony IT – przypisujemy te licencje do użytkowników i instalujemy oprogramowanie (MOCNO spłycając proces :D). Czy to oznacza, że następnego dnia nasza efektywność w organizacji skoczy o 40%?
Aby tak faktycznie było, nasi użytkownicy muszą wiedzieć jak się poruszać w nowym środowisku, po co ono jest itp. itd. Nawiążę do tradycyjnego powiedzenia, że jak dacie człowiekowi rybę to nie będzie głodny do końca dnia, ale jak mu dacie wędkę, to nie będzie głodny do końca życia.
Osobiście się z tym nie zgadzam, bo wychodzimy z założenia (często mylnego), że nasz gość będzie umiał tą wędką się posługiwać, a nie np. rzucać nią w ryby z nadzieją, że trafi…
A co w momencie, kiedy tutaj mówimy o bardziej skomplikowanej „wędce”, jak np. Microsoft Teams?
Metodologia Prosci i model ADKAR
Właśnie ze względu na wcześniejszy scenariusz, do wdrażania nowych technologii, procesów itp. powinniśmy rozważyć zarządzanie zmianą (a najlepiej uwzględnić, a nie ‘rozważyć’ 😉). Czyli konkretnie – powinniśmy uwzględnić LUDZI.
Metodologia, która jest polecana przez Microsoft (i przeze mnie, z racji na mój certyfikat 😉) to Prosci – skalowalne podejście, wypracowane na podstawie ponad 20 lat badań.
Ja dzisiaj chciałbym wam przekazać drobny wycinek jakim jest model ADKAR. Jest to jedna z podstaw całego zarządzania zmianą, akronim, którego każda litera oznacza kolejny ‘etap’ wymagany do prawidłowego wdrożenia i zaadaptowania zmian.
Po kolei – pierwsza A to Awareness, czyli świadomość. Będę cały czas posługiwał się tymi naszymi nieszczęsnymi Teamsami jako przykład 😊

 
Co mamy na myśli, mówiąc o świadomości – chodzi de facto o to, aby nasi użytkownicy wiedzieli, dlaczego w ogóle te Teamsy wprowadzamy. Co to w ogóle za apka (‘tims? A na co to komu?), dlaczego nagle mamy z niej korzystać (‘przecież nasze obecne gadu-gadu świetnie działa!’), skąd potrzeba do zmiany?
Możemy o to zadbać na szereg różnych sposobów – odpowiednia informacja przesłana do wszystkich, wsparcie ze strony menadżerów średniego szczebla, organizowanie sesji pytań i zgłaszania wątpliwości od strony waszych użytkowników.
ALE – to nie wystarczy. Nawet jeżeli ktoś mnie przekona, że mój wypracowany sposób działania MOŻNA usprawnić i dlatego wpada coś nowego, to wcale nie znaczy, że ja teraz będę chciał to zrobić. Pojawia nam się druga literka, czyli D – Desire (chęć).

Musimy zachęcić naszych użytkowników do tejże zmiany, do spróbowania nowej technologii. Może marchewką – np. gamifikacją, albo jakimiś nagrodami czy przywilejami, raczej stroni się od metody ‘kija’ 😉 Pokazując, że z wykorzystaniem nowego podejścia uciążliwe zadania nagle stają się banalnie proste, nasi użytkownicy sami będą chcieli tego spróbować!
I tutaj pojawiają się kolejne dwie literki – K i drugie A. K odnosi się do Knowledge (wiedza), jak możemy się zmienić. Przykładowo – mamy tutaj taką jedną fajną aplikację Microsoft Teams, gdzie, jeżeli zaczniecie wymieniać się danymi w ramach zespołu, to tworzycie wspólne repozytorium na pliki, w ogóle to możecie pracować i edytować te pliki naraz w kilka osób, a każda zmiana jest zapisywana w historii wersji.
Wiedza natomiast nie wystarcza, bo potrzebne są jeszcze umiejętności – stąd A od Ability. Nasi pracownicy muszą wiedzieć jak wykorzystać tą aplikację, jak zaadoptować procesy, jak zmienić swoje przyzwyczajenia.
I wydaje mi się, że jedna z najważniejszych literek na sam koniec – R od Reinforcement (wzmocnienie, wsparcie, utrzymanie). Zmiana jest procesem – dlatego na bieżąco musimy naszym użytkownikom pomagać, rozwijać, wspierać w całym procesie. Pojawiają się nowi pracownicy, nowe aplikacje etc. – trzeba to uwzględnić 😊 Ważne, aby nie stracić zapału na początku!

Z dumą informujemy, że Integrity Partners zostało wyróżnione nagrodą Darktrace Service Partner of the Year 2021 dla regionu EMEA.
Już po raz kolejny zostaliśmy wyróżnieni jako kluczowy Partner firmy Darktrace, która specjalizuje się w wykrywaniu anomalii sieciowych w oparciu o machine learning. Nagroda jest owocem ciężkiej pracy całego zespołu Integrity Partners. Od lat wyposażamy organizacje w najnowocześniejszą technologię Darktrace, dzięki czemu nasi klienci 
Nagroda Services Partner of the Year jest szczególnie dla nas ważna, ponieważ pozycjonuje Integrity Partner na lidera w regionie EMEA (Europa, Bliski Wschód, Afryka).
 

 
Więcej o rozwiązaniu Darktrace
Darktrace Enterprise Immune System wykrywa i klasyfikuje zagrożenia w całym przedsiębiorstwie. Wykorzystuje czołową na świecie technologię uczenia maszyn oraz sztuczną inteligencję, by wykrywać, klasyfikować i wizualizować potencjalne zagrożenia. Oprócz niezwykłej skuteczności działania jego niewątpliwą zaletą jest również szybka instalacja. Ponadto w odróżnieniu od podejścia opartego na zasadach i sygnaturach, Darktrace Enterprise nie opiera się na atakach historycznych, by przewidzieć przyszłość. Zamiast tego buduje własną, unikalną wiedzę o tym, jak wygląda typowe zachowanie w danej firmie i potrafi wykrywać pojawiające się zagrożenia w czasie rzeczywistym, w tym zagrożenia z wykorzystaniem informacji poufnych oraz zautomatyzowane wirusy, takie jak oprogramowanie ransomware.
Jesteś zainteresowany rozwiązaniem Darktrace? Napisz do nas!

Hardening, czy może po polsku „utwardzanie” (szczerze mówiąc wolę angielską nazwę), to w skrócie zwiększenie odporności danego systemu na włamania poprzez jego rekonfigurację. Utwardzać można zarówno systemy jak i urządzenia sieciowe, bazy danych, usługi czy stacje robocze.
Hardening – Od czego zacząć?
Oczywiście od planu. Warto zastanowić się jakie systemy chcemy hardenować, w jakiej kolejności i kiedy. Hardening zawsze dobrze jest rozpocząć od analizy ryzyka – odpowiedzmy tu sobie na pytania: które systemy są najbardziej narażone na włamania? Które systemy są kluczowe z punktu widzenia procesów biznesowych? Które systemy, w przypadku utraty integralności i dostępności niosłyby za sobą największe straty?
Potrzeba hardeningu może także wynikać z przebytego audytu zewnętrznego/wewnętrznego czy testów penetracyjnych, które wykazały istniejące podatności. Możemy mieć też potrzebę bycia zgodnymi z pewnymi standardami – dla przykładu, aby zachować zgodność z PCI-DSS musimy przeprowadzać okresowe skanowanie podatności i mitygować te, które są o wysokim priorytecie.
Jakie systemy utwardzać?
Najlepiej te, które są najbardziej krytyczne i narażone na włamania. Takimi systemami bez wątpienia są systemy, aplikacje i urządzenia, które są dostępne z Internetu. Atakujący z całego świata bez ustanku skanują Internet w poszukiwaniu udostępnionych usług. Nie muszą nawet robić tego sami – w Internecie dostępne są na bieżąco aktualizowane bazy danych, zawierające informacje na temat publicznych usług wystawionych do Internetu. Poniżej znajduje się jedna z takich usług – Shodan.

Proste zapytanie, pokazane poniżej, pozwoli nam wyszukać wszystkie usługi SSH dostępne w Polsce. I to nie tylko na domyślnym porcie 22. Muszę tutaj rozczarować fanów tzw. głębokiego ukrycia, a więc ukrywania usług na portach innych niż domyślne – wystawienie usługi na nietypowym porcie nie zabezpieczy nas przed znalezieniem naszej usługi. Jeśli atakujący jest uparty może to co najwyżej opóźnić trochę jego działania.
[caption id="attachment_1988" align="aligncenter" width="604"] Widok z konsoli shodan.io – liczba znalezionych usług SSH wystawionych do Internetu w Polsce[/caption]
 
Oprócz systemów wystawionych do Internetu warto brać także pod uwagę systemy krytyczne dla biznesu oraz te, które przechowują dane wrażliwe. Nie chcemy przecież, żeby atakujący przełamał zabezpieczenia bazy danych zawierających dane kadrowe naszych pracowników albo dostał się do systemu CRM, przechowującego dane wszystkich naszych klientów. Pamiętajmy, że atakujący może próbować uzyskać do takich systemów dostęp również z wewnątrz sieci. Jeśli jest to ktoś spoza naszej organizacji może użyć do tego stacji pośredniej (np. takiej wystawionej do Internetu, w przypadku nieprawidłowo wdrożonej segmentacji) albo stacji naszego nieświadomego pracownika – w końcu stacje użytkowników są jednym z najczęstszych źródeł ataku na organizację. Ponadto nasz pracownik może także działać świadomie na naszą szkodę – motywacja może być różna – od niezadowolenia z pracy do chęci zarobku kosztem naszej firmy.
Plan hardeningu
Nasze działania powinniśmy zaplanować. Mając już wstępną listę systemów, które warto zabezpieczyć możemy zrobić ich inwentaryzację i zaplanować ścieżkę aktualizacji. Dla przykładu mając serwer z Centos łatwiej zrobić nam będzie aktualizację do najnowszej wersji Centosa zamiast do Ubuntu. Dobrze byłoby przy tym zastanowić się, czy nasze działania nie spowodują niekompatybilności z istniejącymi usługami, które na danym hoście działają. Być może aktualizując system do najnowszej wersji sprawimy, że jakaś ważna usługa przestanie działać, bo np. jest dawno nie wspierana i nie jest z tą wersją kompatybilna.
Biorąc to pod uwagę możemy stworzyć sobie prosty arkusz, który pomoże nam zaplanować nasze prace. Poniżej znajduje się przykład takiego arkuszu.

Jest to oczywiście przykład, który zawiera bardzo podstawowe informacje i dla każdej organizacji taki arkusz może wyglądać inaczej i zawierać więcej istotnych parametrów.
Aktualizacje systemowe i oprogramowania
Każda organizacja powinna mieć tzw. politykę aktualizacji, która określa w jaki sposób realizowane jest aktualizowanie oprogramowania do nowszych wersji. Jeśli natomiast takiej polityki nie ma, lub nie jest ona przestrzegana może się zdarzyć, że mamy w swoim środowisku oprogramowanie, które jest nieaktualne i, w związku z tym, może posiadać podatności. Dlatego też myśląc o hardeningu powinniśmy wziąć pod uwagę aktualizację systemu operacyjnego do najnowszych, stabilnych wersji. To samo dotyczy usług i oprogramowania.
Oczywiście zanim przystąpimy do aktualizacji upewnijmy się, że nowe wersje będą ze sobą kompatybilne i po aktualizacji nie spowodujemy niedostępności jakichś krytycznych usług. Możemy zacząć od aktualizacji środowiska testowego, o ile takie środowisko posiadamy a dopiero później przejść do produkcji. Innym ze sposobów zabezpieczenia się przed taką ewentualnością jest wykonanie wcześniej kopii zapasowej a dopiero potem rozpoczęcie procesu aktualizacji. W razie problemów zawsze możemy wtedy odtworzyć system w oryginalnej formie i ustalić powód niedostępności po aktualizacji.
Wyłączenie zbędnych usług
Dzięki wyłączeniu zbędnych usług działających w systemie operacyjnym lub urządzeniu sieciowym efektywnie redukujemy ich powierzchnię ataku. Jeśli na przykład mamy serwer pocztowy Linux, na którym ktoś, z niewiadomych przyczyn, zainstalował kiedyś usługę NFS, pewnie powinniśmy ją odinstalować. O jedną usługę mniej do zabezpieczania, aktualizowania i utrzymywania. Dodatkową zaletą jest pozytywny wpływ na wydajność, bo te bardziej zaawansowane usługi potrafią czasami zajmować sporo miejsca w RAM i niepotrzebnie wykorzystywać cykle procesora.
Zablokowanie nieużywanych portów
Jeśli mamy jakieś usługi, których nie możemy wyłączyć może chociaż możemy zablokować do nich dostęp? Niektóre usługi są niezbędne dla prawidłowego działania systemu operacyjnego, ale niekoniecznie muszą być wystawione do sieci. Blokując do nich dostęp na zaporze sieciowej upewniamy się, że nie zostaną one wykorzystane do tzw. przemieszczania poziomego (Lateral Movement), a więc propagacji atakującego po naszej sieci.
Alternatywnie, jeśli usługa potrzebna jest tylko dla lokalnej aplikacji, możemy skonfigurować ją tak, żeby nasłuchiwała jedynie na lokalnym interfejsie loopback.
Jeśli chcemy sprawdzić jakie usługi nasłuchują na naszym systemie zarówno w systemach Linux jak i Windows możemy do tego użyć komendy „netstat”.
Odinstalowanie zbędnych programów
Niektóre programy mogą posiadać własne podatności, które pozwolą atakującemu przełamać zabezpieczenia danego hosta. Dobrym przykładem są tu stacje robocze. Zastanówmy się czy nadal potrzebujemy na stacjach roboczych zainstalowanego Flasha, skoro już od dawna jest on nie wspierany przez producenta i nie są do niego wydawane żadne aktualizacje zabezpieczeń a każdy szanujący się producent oprogramowania już dawno powinien zrezygnować z jego wsparcia.
Wyłączenie zbędnych protokołów
Protokoły sieciowe również mogą posiadać podatności. Ma to szczególne znaczenie w przypadku sprzętu sieciowego, ale może też dotyczyć serwerów czy stacji roboczych. Dla przykładu, szukając po słowie kluczowym „IPv6” na stronie MITRE możemy znaleźć sporo podatności występujących w implementacji tego protokołu. Czy rzeczywiście potrzebujemy wsparcia IPv6? Aktualnie adaptacja tego protokołu nie jest jeszcze powszechna, szczególnie w sieci LAN. Jeśli nie pracujemy jako ISP (Internet Service Provider) prawdopodobnie nie mamy potrzeby jego wspierania, tym samym, jeśli wyłączymy jego wsparcie na Access Pointach Wifi zabezpieczymy się przed znanymi i jeszcze nieznanymi podatnościami w implementacji danego vendora.
Zmiana domyślnych poświadczeń
Często urządzenia czy oprogramowanie, które kupujemy trafia do nas z zestawem domyślnych poświadczeń. Ma to szczególne znaczenie w przypadku sprzętu IoT, które czasami nie mają przypisanego swojego administratora w organizacji. Czasami też osoba, która nimi zarządza nie jest świadoma zagrożeń związanych z tymi urządzeniami. Warto jest więc upewnić się, że nasze usługi i urządzenia mają zmienione poświadczenia na inne niż domyślne. Listę przykładowych domyślnych poświadczeń możecie znaleźć poniżej.

Jeśli urządzeń mamy dużo najlepiej jest przeszukać je w poszukiwaniu domyślnych poświadczeń w sposób automatyczny. Możemy w tym celu skorzystać z darmowych dostępnych narzędzi, którymi przeskanujemy sieć i spróbujemy zalogować się do znalezionych usług domyślnymi poświadczeniami (przykładowy opis) albo możemy skorzystać z profesjonalnych, płatnych rozwiązań. Jednym z rozwiązań, które potrafi przeprowadzić taką ocenę jest Forescout, którego oferujemy w ramach naszego portfolio rozwiązań bezpieczeństwa.
Ochrona danych w spoczynku i w transmisji
Warto zadbać także o ochronę danych, zarówno w spoczynku jak i w locie. Jeśli w ramach komunikacji wysyłane są dane wrażliwe zawsze wykorzystujmy protokoły szyfrowane, co zapewni nam tajność przesyłanych danych w przypadku ich podsłuchania przez osoby niepowołane. Zamiast http używajmy HTTPS, zamiast telnetu SSH, zamiast FTP użyjmy FTPS/SFTP.
Co do danych w spoczynku szczególne znaczenie ma zabezpieczenie laptopów i innych urządzeń mobilnych. To one najbardziej narażone są na kradzież czy zgubę, zadbajmy więc o to, żeby dane przechowywane na nich były szyfrowane i to najlepiej metodą Full Disk Encryption. W środowiskach Windows najlepiej sprawdzi się tutaj wbudowany BitLocker, natomiast na systemach Linux można użyć LUKS a dla Mac OS mamy FileVault.
Skąd brać wskazówki na temat utwardzania systemów?
W dzisiejszych czasach ciężko jest być ekspertem od wszystkich systemów operacyjnych, usług, baz danych, wszystkich vendorów sieciowych i chmur obliczeniowych. Tego jest po prostu za dużo. 😊 Na szczęście nie musimy być ekspertem od wszystkiego, żeby zwiększyć poziom bezpieczeństwa naszej organizacji, niezależnie od tego z jakich rozwiązań korzysta.
Naprzeciw temu wyzwaniu wychodzą autorzy publikacji w CIS (Center of Internet Security). Udostępniają oni świetne dokumenty, zwane „CIS Benchmark”, które w prosty sposób opisują jak krok po kroku możemy przeprowadzić hardening danego rozwiązania.
Dokumenty podzielone są per system operacyjny, per usługa, per dana baza danych i pisane są przez ekspertów w swojej dziedzinie. Są łatwe do zrozumienia a każdy rozdział zawiera listę opisującą istotne ustawienia, które warto zmienić w danym systemie operacyjnym np. Windows Server 2016 czy Red Hat Linux w wersji 6. „Benchmarki” dostępne są do pobrania. Do pobrania wymagana jest jednak rejestracja. Dokumenty są dosyć obszerne (na przykład wskazówki dotyczące Windows Server potrafią mieć ponad 1000 stron), ale często są podzielone w taki sposób, żeby łatwo można było wybrać poszczególne podrozdziały, które mają znaczenie w naszej organizacji.
[caption id="attachment_1990" align="aligncenter" width="437"] Przykładowy fragment dokumentu CIS Benchmark dla Exchange 2016[/caption]
 
Oczywiście warto tutaj zauważyć, że zazwyczaj nie mamy potrzeby wprowadzać wszystkich wskazanych w tych dokumentach ustawień. Zalecenia są podzielone na kategorie istotności a także opisany jest potencjalny wpływ zastosowania danego ustawienia. Możemy więc podjąć świadomą decyzję czy daną zmianę powinniśmy wprowadzić czy nie.
Mimo, że dokumenty napisane zostały w ten sposób, żeby zrozumieć je mógł każdy specjalista bezpieczeństwa, niekoniecznie ekspert w danym systemie, na pewno powinniśmy wprowadzać opisane tam zmiany po konsultacji z lokalnym specjalistą odpowiedzialnym za dane zagadnienie w naszej organizacji. Niektóre ustawienia mogą mieć wpływ na powiązane usługi i lepiej jest dmuchać na zimne zamiast później tłumaczyć się z awarii 😊 Oczywiście przed takimi sytuacjami powinien chronić nas dobrze prowadzony proces Zarządzania Zmianą (Change Control), ale zdaję sobie sprawę, że nie każda organizacja taki proces stosuje.
Co prawda zalecenia CIS Benchmark to najlepsze praktyki i z punktu widzenia bezpieczeństwa najlepiej byłoby wdrożyć je wszystkie, ale na koniec i tak musimy patrzeć na nie przez pryzmat naszych potrzeb, polityk i procedur w naszej organizacji.
Automatyzacja procesu sprawdzania zgodności z dobrymi praktykami
Jeśli chcemy zaoszczędzić czas i szybko chcemy sprawdzić czy nasze środowisko jest zgodne z dobrymi praktykami opisanymi w CIS Benchmark może ten proces zautomatyzować.
Z pomocą przychodzi nam tutaj protokół SCAP (Security Content Automation Protocol), który pozwala na automatyczne skanowanie systemów w poszukiwaniu ustawień niezgodnych z dobrymi praktykami. Na stronie projektu OpenSCAP można pobrać narzędzia, które pozwolą nam wykonać takie skanowanie zarówno na maszynie lokalnej jak i na maszynie zdalnej, na przykład wykorzystując SCAP Workbench. W oparciu o analizę możemy później wprowadzić odpowiednie zmiany, żeby zwiększyć poziom bezpieczeństwa naszego serwera czy stacji roboczej.
[caption id="attachment_1991" align="aligncenter" width="494"] Narzędzie SCAP Workbench pozwala nam przeskanować lokalną lub zdalną maszynę pod względem zgodności z dobrymi praktykami[/caption]
 
 
Samo narzędzie jednak nie wystarczy – do skutecznej oceny stanu zgodności z dobrymi praktykami potrzebujemy też definicji reguł w formacie SCAP. Tu możemy wykorzystać na przykład darmowe repozytorium udostępnione przez NIST.
Alternatywnie swoją wersję narzędzia wraz z gotowymi regułami oferuje sama organizacja CIS – dostępna zarówno w wersji darmowej jak i płatnej CIS CAT Lite/Pro. Polecam wypróbować i sprawdzić na ile nasza stacja robocza zgodna jest z najlepszymi praktykami. Po weryfikacji otrzymujemy przejrzysty raport w HTML pokazujący wyniki naszego testu.
[caption id="attachment_1992" align="aligncenter" width="605"] Przykładowy wynik sprawdzenia stacji roboczej Windows narzędziem CIS CAT Lite[/caption]
 
Bezpieczeństwo w chmurze
Jeśli korzystamy z usług chmurowych często producenci tych środowisk udostępniają nam gotowe narzędzia automatyzujące proces „utwardzania” naszych usług, zarówno, jeśli chodzi o rozwiązania IaaS, PaaS jak i SaaS. Dla przykładu takim rozwiązaniem dla chmury Azure jest „Security Center”. Dla uzyskania wszystkich korzyści musimy posiadać wersję płatną, ale już w bezpłatnej może ona dać nam sporo wskazówek na temat tego jak zabezpieczyć nasze środowisko.
[caption id="attachment_1993" align="aligncenter" width="605"] Rekomendacje Azure Security Center[/caption]
Oczywiście Security Center ma dużo więcej możliwości, ale nie jest to tematem tego artykułu.
Utworzenie wzorca
Żeby zapewnić skalowalność naszego przedsięwzięcia dobrze jest zredukować powtarzalne procesy. Dla przykładu, jeśli planujemy utwardzić kilkanaście czy kilkadziesiąt systemów typu Centos dobrze jest zacząć od stworzenia maszyny wzorcowej. Stwórzmy jeden podstawowy obraz maszyny w postaci utwardzonej z wyłączonymi niepotrzebnymi usługami, bez zbędnych aplikacji, niepotrzebnie otwartych portów i z bezpieczną konfiguracją. Potem dla każdego nowego systemu nie musimy zaczynać od nowa a wystarczy skorzystać z istniejącego obrazu. Na tej samej zasadzie można stworzyć baseline konfiguracji urządzeń sieciowych.
Jeśli chodzi o środowiska chmurowe, często dostępne są już gotowe, utwardzone obrazy maszyn wirtualnych. Dla przykładu gotowe maszyny zgodnie z wytycznymi CIS (CIS hardened images) możemy znaleźć w poniższej tabeli.
[caption id="attachment_1994" align="aligncenter" width="605"] Gotowe obrazy maszyn wirtualnych, stworzone przez CIS[/caption]
 
Podsumowanie
Hardening, czy po polsku „utwardzanie” systemów, to proces długotrwały i wymagający dużo pracy, do którego powinniśmy podejść ostrożnie. Najlepiej byłoby, gdyby był wykonywany przez dział bezpieczeństwa w bliskiej kooperacji z działem IT oraz przy wsparciu zarządu. To w jakim stopniu utwardzimy systemy powinno wynikać z naszych potrzeb, polityk i aktualnych priorytetów. W trakcie realizacji dobrze jest postępować zgodnie z procesem Zarządzania Zmianą, który zapewni nam, że odpowiednie osoby zostaną poinformowane o zmianie i że proces w razie wystąpienia awarii będzie możliwy do odwrócenia.
Mam nadzieję, że tym artykułem przybliżyłem w skrócie na czym może polegać hardening. Jeśli potrzebujesz pomocy w realizacji podobnego przedsięwzięcia nie wahaj się skorzystać z doświadczenia profesjonalistów, jakimi są Integrity Partners.
Skontaktuj się z nami!

Tym razem nieco inna strona szeroko pojętego ‘Modern Workplace’, czyli nowoczesnego miejsca pracy – urządzenia Microsoft Surface!
Microsoft kilka lat temu rozszerzył swoje portfolio o urządzenia pod całkiem miłą nazwą Surface (ang. powierzchnia), a tak naprawdę to jedno urządzenie – Surface Pro (wtedy ciut inna nazwa, ale do złudzenia przypomina właśnie tą wersję). Z czasem, tak samo jak sytuacja wygląda z chmurą 😉, ta rodzina się rozrosła i teraz urządzeń z rodziny Surface jest już… no właśnie – ile?
Chciałbym wam dzisiaj pokazać, jak wygląda sytuacja giganta z Redmond na tym polu – jakie są urządzenia, jakie mają specyfikacje, do jakich odbiorców są adresowane. Zwracam uwagę, że skupiam się dzisiaj na urządzeniach dla biznesu.
A, no i jeszcze jedno… Prywatnie używam Surface Pro od paru lat, więc będę starał się być jak najbardziej obiektywny, ale sami wiecie 😉

Microsoft Surface Pro 7+ – po co zmieniać zwycięską formułę?

Flagowy sprzęt, który nie zmienił się znacząco od pierwszej jego iteracji. W tym momencie mamy już 8 wersję (nie wiedzieć czemu zamiast Surface Pro 8 otrzymaliśmy Surface Pro 7+…), która od poprzednika różni się nowszym procesorem (11 generacja Intela), a także wersją z LTE.
Czysto subiektywnie – mój faworyt, sam korzystam prywatnie (również służbowo) od kilku już lat i co mogę powiedzieć – zdecydowanie polecam! Rewelacyjna mobilność (można schować bez problemu do każdej większej torby, wielkość kartki A4), lekkie urządzenie, które może pracować aż w 4 trybach pracy (dzięki ekranowi dotykowemu i odpinanej klawiaturze).
Dla kogo? Dla wszystkich! Jest to (obok Surface Laptop, o którym za chwile) najbardziej uniwersalne urządzenie. Przeszkodą, jak i zaletą, może być rozmiar ekranu – 12.3 cala.
No i specyfikacja też w sumie pokrywa całe spektrum wymagań – najbardziej ‘biedna’ wersja posiada procesor i3, 8GB Ramu (nawet wersji z 4gb już nie ma <3) i dysk 128gb. Realistycznie polecam patrzeć w stronę wersji z i5 oraz 16gb Ramu. Dla najbardziej wymagających jest i7 z aktywnym chłodzeniem (które niestety też skutkuje nieco ‘bogatszymi’ doznaniami akustycznymi z pracy urządzenia), 32gb Ramu i 1TB dyskiem (niestety brakuje mi wersji z i7, 32gb RAMu i dyskiem duuużo mniejszym).
Ważna sprawa – decydując się na wersję z wbudowanym modemem LTE tracimy nieco elastyczności – tylko i5, 8/16 gb RAMu i dyski 128/256gb.
I najważniejsze – jest też dostępny cały czarny!

Microsoft Surface Laptop 4 – czyli klasyczne laptopy, ale premium

Od momentu pojawienia się laptopów, od razu pojawiło się grono użytkowników, którzy przesiedli się z wersji Pro – jednak co klasyczny design, to klasyczny design 🙂 W tym momencie na rynku (od tego roku) dostępna jest wersja z numerkiem 4 – ale względem poprzednika wygląd niemal się nie zmienił.
W przeciwieństwie do Surface Pro – tutaj mamy dostępne dwa rozmiary ekranu i samego urządzenia – z przekątną 13.5 cala oraz 15 cali. Klawiatury też są w różnym wykończeniu – albo piękny metal, albo kiziasta alcantara!
Nowością na pewno będą wersje z procesorami AMD – konkretnie R5se i R7se. Obok nich dostępne tradycyjne Intele i5/i7 (11 generacja, zwróćcie uwagę, że brakuje i3!).
Konkretną różnicą względem Pro jest też dłuższy czas na baterii – każde urządzenie ma ponad 15h, ale przykładowo wersja 13.5” z procesorem AMD i 8gb ramu potrafi wytrzymać ponad 19h! Czekam, aż producenci będą chwalić się całodobowymi bateriami 😉
Surface Laptop jest uniwersalnych urządzeniem, które śmiało może służyć za narzędzie pracy każdemu użytkownikowi biurowemu. Jest też chyba najpopularniejszą obecnie platformą – przynajmniej z mojego doświadczenia i opinii (i zamówień :D) klientów.

Surface Book 3 – kombajn, najmocniejszy mobilny komputer wśród Surface’ów!

Taki Surface Laptop, ale z konkretną mocą obliczeniową! No i cięższy i mniej poręczny przez to ☹I podobnie jak laptop, również ma wersje z 13.5” i 15” ekranem.
Z drugiej strony odnajdziemy w nim nieco Surface Pro, ponieważ ekran można… odłączyć! Podstawka (czyli klawiatura) zawiera drugą baterię i kartę graficzną, ale ekran sam spokojnie może służyć jak ‘standalone’ – i nagle nieco bardziej praktyczne to nasze narzędzie 😊
Wspomniałem już o tym, ale jest to najmocniejszy sprzęt w stajni – oprócz najsłabszej wersji z grafiką Iris Plus (tylko jedna specyfikacja), reszta prezentuje sobą konkrety – GTX 1650/1660 lub wersje z kartami AMD – Quadro RTX 3000. Nie muszę wspominać, że znajdziecie tutaj do 32gb RAMu i głównie procesory i7 😉
Target to użytkownicy, którzy potrzebują mocy obliczeniowej – graficy, analitycy danych, wszystkie zawody, gdzie potrzeba konkretnych „bebechów”.

Go 2 oraz Laptop Go – czyli ‘maluchy’ od Microsoft, z niższym progiem wejścia

Na zdjęciu co prawda jest Laptop Go obok Surface Pro X (o nim za chwile), ale modele nie różnią się mocno od siebie.
Czym są wersje Go? Coś jakbyśmy wzięli tradycyjne modele i je dodatkowo odchudzili, pomniejszyli i jeszcze bardziej skupili się na mobilności. No i bardzo ważne – są sporo tańsze od ‘większych’ braci!
W parze z powyższym oczywiście idzie też specyfikacja, która odstaje od poprzedników – Surface Go posiada procesory Pentium Gold lub m3, 4/8GB RAM i dysk do 128 GB (jest też wersja z LTE!). Jego odpowiednik wśród laptopów posiada wersje z procesorem i5, 8/16 GB RAM i ekran 12.45”.
Są też specjalne wersje laptopów dedykowane dla sektora edukacyjnego 🙂
Trochę też zdradza to target – w dużej mierze jest to sektor edukacji, ale również pracownicy, na których głównym wymaganiem jest mobilność. Sprzęty są jeszcze mniejsze, lżejsze, a jednocześnie posiadają specyfikacje, która udźwignie aplikacje pakietu Office bez większego wysiłku.
Co ciekawe – mimo swoich rozmiarów i wagi, nadal potrafią działać przez cały dzień bez ładowania (laptop do 13h, Surface Go do 10h)!

Pro X – awangarda, w znajomym wydaniu

 
A to chyba najbardziej ciekawa pozycja – i jak widzicie po zdjęciu, nie ze względu na design.
Surface Pro X wygląda bardzo podobnie do wersji Pro czy Surface Go (też jest nieco większy niż tradycyjny Pro, bo przekątna to 13”), ale różni się tym co w środku – nie znajdziecie tam tradycyjnych procesorów Intela czy AMD w architekturze x86, ale specjalne, stworzone przez Microsoft we współpracy z Qualcomm’em, procesory SQ1 i SQ2, oparte o ARM64!
Nie zamierzam wchodzić w szczegóły różnicy między tymi procesorami (sporo można by o tym pisać), ale w skrócie powiem, że ARM jest dedykowany dla aplikacji ze sklepu Microsoft (coś jak apki mobilne). ALE nie oznacza to, że nie jest w stanie odpalić tradycyjnych aplikacji – pomaga w tym emulacja 😊
No i klawiatura, która zawiera w sobie… rysik! Oprócz tego, użytkownicy na pewno docenią szybki czas ładowania (w 1h nawet do 90% baterii).
No i dochodzimy do pytania dla kogo jest to sprzęt – i zdecydowanie powiem, że nie dla każdego 😊 Jest to chyba najbardziej unikalne narzędzie w ofercie na ten moment, ale przyznam, że jak tak nad tym się zastanowić – to wychodzi na to, że w sumie to każdy może być odbiorcą! Dlaczego? Większość z nas korzysta z przeglądarki, aplikacji office, OneDrive, jakiś readerów PDF, może VPNa i aplikacji LOB (Line-of-business, czyli w sumie wewnętrzne aplikacje w firmie 😊). A w tym wszystkim Surface Pro X się sprawdzi – dorzucając fajną baterię, LTE, szybkie ładowanie i dotykowy ekran! Microsoft wspomina, że ich celem są tzw. ‘nomadic workers’ – ciągle w ruchu, niezależni od lokacji.
Jeżeli potrzebujesz mocniejszych sprzętów, chcesz obrabiać grafikę czy bawić się CADem – raczej patrz w stronę innych urządzeń!

Realizacja skomplikowanych projektów w obszarze cloud wiąże się z koniecznością głębokiej znajomości narzędzi z portfolio Microsoft.
Dobranie odpowiednich rozwiązań do wymagań poszczególnych klientów – mając na uwadze specyfikę każdej firmy oraz potrzeby wynikające między innymi z konkretnych regulacji prawnych sprawiają, że w cenie jest partner elastycznie podchodzący do wdrożeń. Przede wszystkim jednak, znający szerokie, wszechstronne możliwości, pozwalające na daleko posuniętą indywidualizację rozwiązań.
Microsoft Advanced Specializations
Idąc tym tropem, Microsoft zdecydował o specjalnym premiowaniu swoich wybranych partnerów, których doświadczenie i kompetencje techniczne są poparte referencjami uzyskanymi od najważniejszej kategorii audytorów – czyli klientów docelowych.
Nowym sposobem weryfikacji tych umiejętności technicznych jest wprowadzona w 2021 roku kategoria „Advanced Specialization (microsoft.com)”. Ten sposób granularnej oceny konkretnych obszarów doświadczenia pozwala wyłonić z szerokiego grona partnerów firmy i specjalistów, którzy zapewniają najlepszy dobór oferty do konkretnej potrzeby klienta.
Przy skokowym wzroście liczby obszarów pokrywanych przez oprogramowanie i hardware związany z Microsoft takie wyróżnienie można porównać z dobrym oznaczeniem szlaku turystycznego. Wprawdzie możesz dotrzeć do punktu docelowego na przełaj, ale zajmie to więcej czasu, możesz trafić na potok nie do przeskoczenia – a szlak poprowadzi Cię właśnie tam, gdzie planowałeś dojść.
Modern Work
Dynamicznie rosnący katalog zaawansowanych specjalizacji najszybciej zaczął tworzyć się w obszarze Modern Work. Dziedzina, w której zgromadzone są najbardziej popularne – a także najszerzej dostępne – rozwiązania, poszła na „pierwszy ogień” zawężania specjalizacji partnerskich.
Nic w tym dziwnego, jeśli w pakietach Microsoft 365 i Office 365 znajdziemy zarówno najbardziej widoczne zestawy narzędzi do obsługi poczty lub dokumentów, jak i ukryte dla użytkowników końcowych obszary zarządzania tożsamością, czy obsługi zabezpieczeń. Obszary productivity, security, communication, a nawet devices to tak pojemna kategoria, że specjalizacja na konkretnych ścieżkach wydaje się naturalna.
Spektakularny rozwój platformy Teams uwydatnia tę wszechstronność – przyzwyczajeni do mówienia o „następcy Skype’a” muszą przecierać oczy ze zdumienia, bo w skład „komunikatora” wchodzą w tej chwili również obszary współdzielenia i współpracy nad dokumentami, urządzeń do transmisji i strumieniowania, setki integracji z zewnętrznym oprogramowaniem, które aktualnie wrosło już w teamsowy krajobraz. Słowem, mówimy o agregowaniu większości narzędzi pracy codziennej. Stąd specjalizacje odnoszące się do platformy Teams, takie jak:

Teamwork Deployment,
Calling for Microsoft Teams,
Meetings and Meeting Rooms for Microsoft Teams.

Dodajmy do tego specjalizację związaną z szeroko pojętym zarządzaniem zmianą, która stała się codziennością ze względu na konieczność wprowadzenia procedur bezpiecznej i zdalnej pracy w skali świata, i do naszego katalogu dodamy również specjalizację Adoption and Change Management.
Te wyróżnienia stały się udziałem specjalistów Integrity Partners – nasi klienci, udzielając nam wymaganych referencji, potwierdzili nasze kompetencje w powyższych obszarach. I w ten sposób zagadnienia cyfrowej transformacji rozpoczęły ścieżkę ekspercką #IntegriTeam, wskazując naszym partnerom właściwy adres dla zapytań związanych z nowoczesną komunikacją w firmie.
Security
Sama nazwa Integrity Partners wskazuje, że nasz profil działalności zakłada partnerstwo technologii – ze szczególnym akcentem położonym na działkę bezpieczeństwa. Stąd naturalną decyzją był wybór kolejnych obszarów specjalizacji, w których wykorzystywać możemy kompetencje zespołów wyspecjalizowanych w zabezpieczaniu infrastruktury klientów. Tytuł zaawansowanych specjalistów w zakresie Threat Protection i Identity and Access Management nie jest niczym szokującym dla klientów współpracujących z nami od dawna, jednak pomaga dokonać właściwego wyboru tym firmom, które poszukują fachowego wsparcia.
Specjalizacje ze świata security to dynamiczny katalog, którego kształt z pewnością nie jest zamknięty na zawsze, podobnie jak ma to miejsce w przypadku coraz nowszych, bardziej skomplikowanych zagrożeń dla bezpieczeństwa organizacji. Do zaawansowanych specjalizacji Integrity Partners może z dumą dołożyć listę zewnętrznych wyróżnień, wynikających z naszej współpracy z zewnętrznymi partnerami, rozpoznawalnymi na skalę światową markami jak CyberArk, Darktrace, Barracuda.
Azure
Stosunkowo najmłodszym, jednak rozwijanym intensywnie przez zespół operacyjny obszarem specjalizacji z pewnością jest dziedzina Azure.
Zgodnie z naszym długim doświadczeniem, ten obszar rozpoczęliśmy rozwijać od weryfikacji naszych umiejętności z dziedziny migracji. Zdobyta specjalizacja Windows & SQL Server Migration to potwierdzenie naszej wiedzy, a jednocześnie pierwszy sprawdzian dokonywany nie tylko przez klientów, ale także przez zewnętrzny zespół audytorów.
Skrupulatnie sprawdzone procedury i umiejętności otwierają przed klientami Integrity Partners drzwi do realizacji złożonych projektów związanych z migracjami infrastruktury serwerowej. Dzieje się to w oparciu o metodykę opracowaną przez Microsoft, popartą codzienną pracą na wyzwaniach faktycznie napotkanych u klientów.
7 specjalizacji
Zdobycie 7 wymienionych wyżej specjalizacji stawia nas w pierwszym rzędzie wśród partnerów Microsoft nie tylko w Polsce, ale i Europie.
Nie jest to z pewnością koniec rozwoju naszych kompetencji, bowiem wciąż pracujemy nad poszerzaniem ich katalogu. Modern Work, Security, Business Applications, Azure – wszystkie te obszary obfitują w nowe możliwości wykorzystania ich dla osiągania biznesowych celów naszych klientów.
Specjalizując się w nich, oznaczamy szlak i likwidujemy przeszkody spod nóg firm i organizacji, których głównym obszarem zainteresowania powinna być realizacja ich celów biznesowych. A przeprawy przez strumienie i przedzieranie się przez zarośla – zostawmy na czas urlopu fanom tego typu atrakcji.

Największą nowością zapowiedzianą na tegorocznym Microsoft Inspire jest zaprezentowanie nowej usługi Windows 365, która już (od 2 sierpnia 2021) jest dostępna w sprzedaży.
Windows 365 to nic innego jak DaaS – czyli system operacyjny jako usługa. Z tym, że nie tylko OS – tak naprawdę pod spodem kryje się wirtualizacja, którą możecie kojarzyć z Windows Virtual Desktop czy Azure Virtual Desktop – bo właśnie o te usługi jest oparta omawiana nowość.
No to o co dokładnie chodzi?
 
Czyli że jak Office jest w chmurze, to teraz Windows też?

 
Upraszczając – tak. Wspominałem dopiero co o Azure/Windows Virtual Desktop – usługach, dzięki którym można odpalić maszynę wirtualną w Azure, odpowiednio ją skonfigurować (jaka pojemność dysku, RAM, ile procesorów), dobrać system operacyjny (Windows 10 Enterprise przykładowo), a w końcu – zainstalować aplikacje i przekazać do użytku użytkownikowi/użytkownikom.
Różnica polega na tym, że Windows 365 jest mocno uproszczony – wybieramy interesującą nas konfigurację (RAM, procesor, dysk), czy chcemy Windows 10 czy 11 (jak już będzie dostępny), przypisujemy użytkownikowi i… no i tyle.
 
No to jakie są tego korzyści i dla kogo to jest?
Najważniejsza rzecz – wasi użytkownicy dostają kalkę benefitów z Office 365, ale tym razem w kontekście całego systemu operacyjnego.
Uzyskują dostęp do swojego pulpitu z każdego urządzenia (wsparcie dla Windowsów, macOS, iOS, Android czy Linux!), dokładnie w takim stanie w jakim go zostawili (otwarte aplikacje, zakładki etc.), no i w końcu – dostajecie pełną elastyczność w dostosowaniu mocy obliczeniowej!
W tym momencie, w większości organizacji, panuje ok. 3-letni cykl życia urządzeń. W dużej mierze wynika to z ograniczeń właśnie sprzętowych – zaczyna brakować RAMu, trochę przycina itd. Teraz wasz użytkownik musi zacząć korzystać z PowerBI do zaawansowanej analizy i jego PC nie wystarczy? Po prostu podbijacie mu parametry maszyny!
No i w końcu – wszystko jest zcentralizowane. Korzystając z Microsoft Endpoint Managera (Microsoft Intune) wasze chmurowe Windowsy pojawiają się obok fizycznych maszyn i podlegają tym samym politykom, ustawieniom itd.
Mało tego – w końcu można wymusić pełne MFA (uwierzytelnianie wieloskładnikowe) przy logowaniu do systemu!
Od strony bezpieczeństwa ja bym wskazał jeszcze jedną ważną rzecz – ochrona danych. Zobaczcie, że w tym momencie dane idą z urządzeniem – zabezpieczamy je bitlockerem jak i często szeregiem rozwiązań lokalnego DLP, aby przypadkiem nic nigdzie nie uciekło. Korzystając z Windows 365 dane zostają w chmurze i nic nie zostaje na lokalnym dysku!
Ważna rzecz – aplikacje, które działają na Windowsie 7/8.1/10 również będą działać na Windows 365!
Dla kogo najlepiej sprawdzi się powyższe? Ciężko mi jednoznacznie wskazać konkretne działy czy branże, bo wydaje mi się, że każdy może odnaleźć tam coś przydatnego. Ogólnie rozwiązanie jest dla organizacji każdej wielkości, która potrzebuje elastycznego modelu pracy, szczególnie w przypadku posiadania pracowników pierwszej linii czy mocno rozproszonych.
 
Licencjonowanie – czarna magia?
O dziwno nie jest aż tak skomplikowane! Po pierwsze musicie wybrać edycję, które dzielą się tak samo jak Microsoft/Office 365, czyli:
Windows 365 Business lub Windows 365 Enterprise
Co ważne – Windows 365 jest licencjonowany per użytkownik! Nie jest na ten moment wspierany scenariusz współdzielonej stacji.
Pierwsza pozycja, Business, posiada podobne ograniczenie jak jej odpowiednik Microsoft 365, czyli maksymalnie 300 licencji na środowisko (tenant) i jest dedykowana dla małych lub/i średnich firm.
Wasz Windows 365 dostępny jest w wielu specyfikacjach (1/2/4/8 procesorów wirtualnych, od 2 do 32gb RAM i od 64 do 512gb miejsca na dane).
Plany i cennik platformy Windows 365

Nazwa/Opis:
Cena Euro netto miesięcznie:

Windows 365 Business 1 vCPU, 2 GB, 64 GB
21,90 €

Windows 365 Business 1 vCPU, 2 GB, 64 GB (with Windows Hybrid Benefit)
18,20 €

Windows 365 Business 2 vCPU, 4 GB, 128 GB
31,90 €

Windows 365 Business 2 vCPU, 4 GB, 128 GB (with Windows Hybrid Benefit)
28,20 €

Windows 365 Business 2 vCPU, 4 GB, 256 GB
40,10 €

Windows 365 Business 2 vCPU, 4 GB, 256 GB (with Windows Hybrid Benefit)
36,40 €

Windows 365 Business 2 vCPU, 4 GB, 64 GB
29,10 €

Windows 365 Business 2 vCPU, 4 GB, 64 GB (with Windows Hybrid Benefit)
25,50 €

Windows 365 Business 2 vCPU, 8 GB, 128 GB
41,00 €

Windows 365 Business 2 vCPU, 8 GB, 128 GB (with Windows Hybrid Benefit)
37,30 €

Windows 365 Business 2 vCPU, 8 GB, 256 GB
49,20 €

Windows 365 Business 2 vCPU, 8 GB, 256 GB (with Windows Hybrid Benefit)
45,50 €

Windows 365 Business 4 vCPU, 16 GB, 128 GB
63,80 €

Windows 365 Business 4 vCPU, 16 GB, 128 GB (with Windows Hybrid Benefit)
60,10 €

Windows 365 Business 4 vCPU, 16 GB, 256 GB
72,00 €

Windows 365 Business 4 vCPU, 16 GB, 256 GB (with Windows Hybrid Benefit)
68,30 €

Windows 365 Business 4 vCPU, 16 GB, 512 GB
95,60 €

Windows 365 Business 4 vCPU, 16 GB, 512 GB (with Windows Hybrid Benefit)
92,00 €

Windows 365 Business 8 vCPU, 32 GB, 128 GB
115,70 €

Windows 365 Business 8 vCPU, 32 GB, 128 GB (with Windows Hybrid Benefit)
112,00 €

Windows 365 Business 8 vCPU, 32 GB, 256 GB
123,90 €

Windows 365 Business 8 vCPU, 32 GB, 256 GB (with Windows Hybrid Benefit)
120,20 €

Windows 365 Business 8 vCPU, 32 GB, 512 GB
147,50 €

Windows 365 Business 8 vCPU, 32 GB, 512 GB (with Windows Hybrid Benefit)
143,90 €

Windows 365 Enterprise 1 vCPU, 2 GB, 64 GB
18,20 €

Windows 365 Enterprise 2 vCPU, 4 GB, 128 GB
28,20 €

Windows 365 Enterprise 2 vCPU, 4 GB, 256 GB
36,40 €

Windows 365 Enterprise 2 vCPU, 4 GB, 64 GB
25,50 €

Windows 365 Enterprise 2 vCPU, 8 GB, 128 GB
37,30 €

Windows 365 Enterprise 2 vCPU, 8 GB, 256 GB
45,50 €

Windows 365 Enterprise 4 vCPU, 16 GB, 128 GB
60,10 €

Windows 365 Enterprise 4 vCPU, 16 GB, 256 GB
68,30 €

Windows 365 Enterprise 4 vCPU, 16 GB, 512 GB
92,00 €

Windows 365 Enterprise 8 vCPU, 32 GB, 128 GB
112,00 €

Windows 365 Enterprise 8 vCPU, 32 GB, 256 GB
120,20 €

Windows 365 Enterprise 8 vCPU, 32 GB, 512 GB
143,90 €

WAŻNE! Dla klientów Windows 365 Business jest dostępny tzw. Windows hybrid benefit. Oznacza to, że jeżeli wasi użytkownicy korzystają z fizycznego komputera z licencją oem Windows 10 – możecie wystąpić o zniżkę do cen z cennika (nawet do 16%).
Dla bardziej wymagających bądź po prostu większych organizacji, przygotowano Windows 365 Enterprise. Nie znajdziecie tutaj limitu użytkowników/licencji, ale dostępne specyfikacje na ten moment są identyczne.
Troszkę inaczej wyglądają wymagania (o których za chwilę napiszę), ponieważ wersja Enterprise wymaga Windows 10 E3/E5 (które jest zawarte w licencjach Microsoft 365 E3 / E5 lub jako standalone).
 
Wymagania dla Windows 365
Licencja i Internet – to takie proste!
Po zakupieniu licencji Windows 365 Business lub Enterprise (pamiętajcie o wymogu Windows 10 E3/E5 dla wersji Enterprise) i przypisaniu ich do użytkowników, tak naprawdę niewiele więcej potrzeba.
Od strony użytkownika – wystarczy jakiekolwiek urządzenie z dostępem do internetu (prędkość łącza, która jest w stanie zapewnić streaming video wystarczy!) np. komputer z Windows 10, wasza komórka z Androidem lub iOS, bądź np. mac.
Tak naprawdę urządzenia będą korzystać albo z aplikacji Microsoft Remote Desktop, albo muszą wspierać przeglądarki z obsługą HTML5.
Nie ma wymogu dot. minimalnej ilości licencji.
 
Podsumowanie
Chciałbym po pierwsze przypomnieć o plusach rozwiązania od strony bezpieczeństwa – MFA przy logowaniu do stacji i dane, które nie zostają na pamięci lokalnej. Dodatkowo, jeżeli korzystacie z Microsoft Defender for Endpoint – jest on w pełni wspierany również z Windows 365.
Dane są szyfrowane, połączenie sieciowe również.
Od strony IT dostajecie proste we wdrożeniu narzędzie, które może być centralnie zarządzane z intune/Endpoint Managerem i posiada sporo dodatków do monitorowania (np. Endpoint Analytics dashboard, który pozwala sprawdzić ‘performance’ maszyn i odpowiednio go modyfikować).
Dla użytkowników to przede wszystkim elastyczność – mają dostęp do swoich danych i aplikacji z każdego miejsca i zastają wszystko w takim samym stanie niezależnie skąd i kiedy się łączą!
W przypadku braku miejsca, wolnego działania etc. – kilkoma kliknięciami możemy zwiększyć moc dostępnych maszyn.
Dostępne są wersje próbne Windows 365, ale na ten moment (początek sierpnia, świeżo po starcie usługi) zostały one wstrzymane, z racji ogromnego zainteresowania. Nadal oczywiście można kupić sobie jedną maszynkę na testy np. na miesiąc.
Windows 365 jest kolejnym krokiem w stronę chmury – tym razem dla rzeczy, która jest nam najbliżej, bo systemu operacyjnego. Nie będę ukrywać, że możliwość trzymania jednego i tego samego pulpitu i aplikacji na wielu urządzeniach dla mnie osobiście brzmi bardzo interesująco. Czekam z niecierpliwością na moją kolej do testów i was zachęcam do tego samego!

 
Skontaktuj się z nami, by przetestować Windows 365!
marketing@integritypartners.pl

Od kilku lat jesteśmy zafascynowani gepardami i ich szybkością. Ma to związek z tempem wzrostu naszej firmy o 33% w skali roku, ale to nie jedyny powód, dla którego postanowiliśmy adoptować gepardy z warszawskiego ZOO.
Gepardy są obecnie gatunkiem zagrożonym. Na świecie żyje około 10 tys. tych wielkich kotów, podczas gdy na początku XX wieku ich populacja wynosiła około 100 tys. Niestety to oznacza, że prawdopodobnie w ciągu kilkunastu lat zabraknie gepardów na naszej planecie. Chcieliśmy dołożyć swoją cegiełkę do ratowania tych szybkich kotów i pomogliśmy gepardom, które żyją najbliżej nas – w warszawskim ZOO.
Dzięki współpracy z Fundacją Panda udało nam się adoptować cztery młode gepardy, które przyszły na świat w 2020 roku. Dzięki naszemu finansowaniu koty mają zapewnione jedzenie, zabawki i inne atrakcje. Jesteśmy dumni, że możemy przyczynić się do rozwoju jednego z najbardziej zagrożonych gatunków na świecie.
Podczas pierwszych oficjalnych odwiedzin naszych gepardów, odsłoniliśmy tablicę sponsorską i odebraliśmy akt adopcji.
[embed]https://youtu.be/mHf1wfQLGbs[/embed]
Każdy może adoptować zwierzę z warszawskiego ogrodu zoologicznego. Wystarczy skontaktować się z Fundacją Panda.
Więcej o Fundacji Panda:
Co roku dzięki środkom pochodzącym  z akcji „adopcji” zwierząt, organizacji imprez, działalności sklepiku z upominkami oraz restauracji TEMBO możemy uatrakcyjniać nasz Ogród, poprawiać warunki ekspozycji zgodnie z zasadami dobrostanu zwierząt. Staramy się, żeby Ogród był miejscem niezwykłym, gdzie chętnie spędza się wolny czas, zdobywając jednocześnie wiedzę ekologiczną.  Fundacja wydaje kwartalnik PANDA, w atrakcyjnej formie przybliżający problematykę ochrony środowiska i roli ogrodów zoologicznych w ochronie gatunków zagrożonych wyginięciem.

Do grona naszych Partnerów dołączyła właśnie firma Zimperium. To światowy lider w dziedzinie bezpieczeństwa urządzeń mobilnych i aplikacji, oferujący ochronę w czasie rzeczywistym w systemach Android, iOS i Chromebook.
Celem firmy jest poprawa bezpieczeństwa mobilnego i właśnie dlatego zespół Zimperium postanowił na nowo opracować podejście do tego ważnego problemu. Wielokrotnie nagradzany i opatentowany silnik Z9 oparty na uczeniu maszynowym, chroni urządzenia mobilne przed atakami urządzeń zewnętrznych, sieci, phishingiem i innych aplikacji.
Dwa kluczowe rozwiązania od Zimperium to:

zIPS, który działa lokalnie na dowolnym urządzeniu mobilnym i wykrywa cyberataki bez połączenia z chmurą
Application Protection Suite (MAPS), kompleksowe rozwiązanie, które pomaga organizacjom chronić swoje aplikacje mobilne od fazy testowej, aż do pracy na urządzeniach użytkowników końcowych.

MAPS składa się z trzech rozwiązań:

zScan, który pomaga organizacjom odkryć i naprawić problemy związane ze zgodnością, prywatnością i bezpieczeństwem;
zShield, który chroni aplikację poprzez modyfikacje kodu i antytampering;
zDefend, SDK osadzony w aplikacjach, aby pomóc w wykrywaniu i obronie przed atakami, podczas gdy aplikacja jest w użyciu.

Zimperium zapewnia jedyne rozwiązania MTD (Mobile Threat Defense), które:

zapewniają ochronę przed atakami rozpoznanych i nierozpoznanych urządzeń, sieci, złośliwych aplikacji i phishingiem;
bazują na systemach Android, iOS i Chromebook;
mogą być zarządzane z każdego systemu chmurowego i on-prem;
posiadają certyfikację FedRAMP “Authority to Operate”;
mogą chronić prywatność bez wysyłania żadnych danych umożliwiających identyfikację użytkownika.

Zainteresowany ochroną urządzeń i aplikacji mobilnych? Napisz do nas, by dowiedzieć się więcej.
Zachęcamy również do obejrzenia demonstracyjnych ataków na stronie Zimperium: Chromebook Security for Remote Education, Students, Teachers (zimperium.com)
Opracowanie na podstawie materiałów opublikowanych przez Zimperium Blog.