Aktualności

Microsoft Defender to rozwiązanie sprawdzone przez setki przedsiębiorstw na całym świecie. Dzięki ciągłemu wykrywaniu luk w zabezpieczeniach oraz możliwości priorytetyzowania działań w zależności od poziomu ryzyka, każda organizacja może skuteczniej chronić swoje cyberbezpieczeństwo.

Chroń to co najważniejsze

Przejrzysty i intuicyjny interfejs umożliwi Ci aktywne obserwowanie i analizę wszystkich zasobów organizacji w jednym widoku. Pozwala to na zrezygnowanie z okresowego skanowania plików na rzecz ciągłego ich monitorowania w czasie rzeczywistym. Microsoft Defender wykrywa ryzyko nawet wtedy, gdy urządzenia nie są połączone z siecią firmową.

Zaawansowane narzędzia analityczne w Twojej organizacji

Rozwiązanie Microsoft Defender to nie tylko skuteczna ochrona. Poznaj charakter każdego zagrożenia, zrozum jego kontekst i jeszcze skuteczniej chroń przed nim swoją organizację w przyszłości.  Sprawnie neutralizuj naruszenia zabezpieczeń dzięki benchmarkom firmy Microsoft i normom branżowym, w tym CIS i STIG.

Skup się na priorytetach

Szybko eliminuj największe luki w zabezpieczeniach i chroń swoje najbardziej krytyczne zasoby. Priorytetyzuj działania w zależności od poziomu ryzyka, korzystając z analizy zagrożeń, prognoz prawdopodobieństwa i raportów z urządzeń.

Zautomatyzuj swoje cyberbezpieczeństwo

Znacząco zmniejsz ryzyko przy pomocy zautomatyzowanych narzędzi, blokuj aplikacje z lukami w zabezpieczeniach i bezproblemowo monitoruj swoją organizację w czasie rzeczywistym.

Od teraz zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest dostępne w bezpłatnej wersji próbnej. Skorzystaj z DEMO i dowiedz się więcej!

Wypełnij formularz, a nasz ekspert skontaktuje się z Tobą!

[grwebform url=”https://app.getresponse.com/view_webform_v2.js?u=Snsxe&webforms_id=38215403″ css=”on” center=”off” center_margin=”200″/]

Lata mijają, ale jedno się nie zmienia – wciąż pojawiające się nowe wyzwania w zakresie Cyberbepieczeństwa, przed którymi staje każda organizacja. Co nas czeka w nowym roku? Na jakie aspekty cyberbezpieczeństwa warto szczególnie zwrócić uwagę? Zapraszamy do zapoznania się z naszymi przewidywaniami, jakie będą trzy najważniejsze wyzwania przed jakimi staną organizacje w tym roku.
Zagrożenia dla infrastruktury krytycznej
Eksperci są zgodni – rok 2023 będzie rokiem zagrożeń dla infrastruktury krytycznej. Już od 2020 roku sektor publiczny jest nieustająco ulubionym celem ataków hakerskich. Wyposażeni w coraz to nowsze technologie cyberprzestępcy z rosnącym wyrafinowaniem wyszukują słabe punkty, szczególnie na styku sektora publicznego z prywatnym.
Wraz z kolejnymi instytucjami publicznymi przechodzącymi do chmury, zwiększa się zarazem pole do działania dla hakerów. Starsze rozwiązania mogą być niewystarczające w obliczu rosnącej liczby różnorodnych zagrożeń cybernetycznych, dlatego tak istotne jest trzymanie ręki na pulsie.
Ataki ransomware
Nie powinniśmy także zapominać o zagrożeniach ransomware. Ataki te, to obecnie jedno z najpoważniejszych zagrożeń, jakie może spotkać firmę. Niezmiennie najsłabszym ogniwem pozostaje czynnik ludzki, w wyniku czego nawet najlepsze zabezpieczenia mogą okazać się niewystarczające.
W nowym roku warto położyć nacisk na szkolenia antyphishingowe w organizacji, a także zwiększenie świadomości pracowników w celu zminimalizowania potencjalnego zagrożenia.
Zagrożenia związane z uwierzytelnianiem
Popularnym celem ataków staje się uwierzytelnianie i zarządzanie dostępem do tożsamości. Cyberprzestępcy będą jeszcze częściej obierać za cel tokeny uwierzytelniania wieloskładnikowego, starając się je pozyskać lub wyszukać luki w zabezpieczeniach.
Niezwykle istotne dla bezpieczeństwa organizacji jest także świadome zarządzanie dostępem do danych oraz rozumienie procesów uwierzytelniania.
Podsumowanie
Witając nowy rok i wypatrując szans, które ze sobą niesie, nie zapominajmy o starych oraz nadchodzących wyzwaniach jakie stoją przed cyberbezpieczeństwem organizacji. Tylko wtedy będziemy mogli w pełni wykorzystać potencjał swojego biznesu oraz cieszyć się spokojem w każdym z 365 dni.

Phishing może dosięgnąć każdą organizację. Istotne są pewne podstawowe elementy, dzięki którym możemy się przed tym zagrożeniem obronić. O cyberhigienie rozmawiali Michał Turlejski (Cloud Business Unit Director w Integrity Partners) oraz Krzysztof Malesa (Członek Zarządu i Dyrektor ds. Strategii Bezpieczeństwa w Microsoft Polska).

Michał Turlejski: Z raportów wynika, że przeciętna rodzina wydaje w sieci między 8-10 tys. zł rocznie. To są duże pieniądze i cyberprzestępcy mogą nas w łatwy sposób pozbawić tych środków. Krzysztofie, w jaki sposób możemy się zabezpieczyć? Jak nie stracić tych środków?

Krzysztof Malesa: Pytanie bardzo ważne. Chyba wszystkich interesuje, jak ochronić swoją własność i pieniądze. Do odpowiedzi będziemy dochodzić stopniowo, wymieniając się poglądami na temat tego problemu, roli technologii oraz w jaki sposób może ona zapewnić bezpieczeństwo danych i systemów informatycznych. Ta technologia ma podwójne znaczenie dziś. Technologia z jednej strony pozwoliła nam pracować zdalnie, a z drugiej wyprowadziła setki tysięcy osób poza kontrolowane środowiska IT.

Podobną sytuację mieliśmy po wybuchu wojny na Ukrainie. Technologia pozwoliła z jednej strony ewakuować się bezpiecznie rządowi ukraińskiemu z krytycznymi danymi do chmury obliczeniowej. Trudno wymierzyć jakiś atak w te dane, ponieważ są one chronione przez globalnego dostawcę i rozproszone w wielu miejscach. Z drugiej strony za technologią podążają przestępcy a to powoduje, że działania w cyberprzestrzeni idą pełną parą.

Gdzieś w samym środku tego jest człowiek, zwykły użytkownik systemów IT lub domowego komputera, który potrzebuje czasem pewnej porady, wsparcia i czytając ten artkuł, dowie się, jak uniknąć dużej części ataków.

Coroczny raport Microsoft, który pokazuje, jaki jest stan cyberbezpieczeństwa, stawia tezę, że cyberhigiena (nasza umiejętność codziennego obcowania z komputerem w sposób bezpieczny) zabezpieczy nas właściwie przed 98% ataków.

MT: Od maleńkiego rodzice nas uczyli, żeby dbać o tę higienę. Tak samo powinniśmy mieć nawyk cyberhigieny. Często pracujemy w modelach hybrydowych. Często się przemieszczamy. Często mamy mnóstwo danych na urządzeniach przenośnych. Nie wszystkie te urządzenia są kontrolowane przez działy IT organizacji. Jak zadbać o tę cyberhigienę, żeby uchronić się przed utratą danych, naszych prywatnych i firmowych?

KM: Trzeba pamiętać, że dobrodziejstwa techniki i rozwijająca się technologia są rzeczami dostępnymi nie tylko dla nas, ale i przestępców. Oczywiście wiele będzie takich ataków, które są wykonywane przez „młodych adeptów sztuki”, przez boty, które harcują sobie po Internecie i szukają ewidentnych podatności. Atak potrafi być wysublimowany, potrafi zmylić doświadczonego gracza. Ja ostatnio dostałem wiadomość z Microsoft, żeby uzupełnić swój wniosek urlopowy. Już miałem to kliknąć, kiedy zauważyłem, że kolory w naszym logo są poprzestawiane. Sprawdziłem uważnie wszystkie linki. Okazało się, że to nie jest prawdziwe wezwanie z naszych kadr.

Warto się tego uczyć, warto to trenować. Nie wystarczy przyjąć do wiadomości, że istnieją kampanie phishingowe. Bądźmy świadomi tego, że w każdej chwili możemy stać się celem takiego ataku, w którym ktoś będzie chciał ukraść naszą tożsamość. To my jako ten element architektury IT, który jest między monitorem, a fotelem, jesteśmy najbardziej podatni na próbę wyłudzenia. Nasza tożsamość jest skarbem, który musimy chronić, ponieważ jej strata może mieć wymierne konsekwencje. Utrata tożsamości zawsze oznacza kłopoty:

zagrożenie dla zasobów, które są schowane w naszych systemach informatycznych,
zwyczajnie utrata pieniędzy

Skupienie się na ochronie tożsamości wymaga wytrenowania przeciętnego użytkownika komputera, żeby wiedział, jak się zachować w pewnych sytuacjach, żeby wiedział czego nie klikać. To nie mogą być teoretyczne lekcje. Trzeba pokazać użytkownikowi taką sytuację, w której to on staje się celem ataku.

MT: Mówimy o tożsamości, o zarządzaniu tożsamością. Czy jesteśmy w stanie w tym obszarze, w tym treningu dojść do najwyższego stopnia i powiedzieć „Jestem mistrzem, potrafię wszystko. Nikt mnie już nie oszuka. Nikt nie złamie mojej tożsamości”? Czy jest taka możliwość?

KM: Jest dobra i zła wiadomość. Słyszymy bardzo często pytanie „Czy jesteśmy gotowi na wojnę w cyberprzestrzeni”? Nigdy nie będziemy gotowi, ponieważ cyberbezpieczeństwo to nie jest jakiś etap, który chcemy osiągnąć. To jest codzienny proces, w którym wszyscy bierzemy udział: od prezesa firmy, przez adminów IT, księgowe, po koleżanki z recepcji. Każdy z nas jest elementem tej układanki. My cały czas ten proces musimy realizować. Przyzwyczaić się do tego, że cyberbezpieczeństwo po prostu pielęgnujemy codziennie, siedząc przy komputerze.

MT: Czyli to tak, tak jak z codziennym myciem zębów. Tak samo codziennie powinniśmy być wyczuleni na to, że ktoś może nas złapać na gorszym dniu. Odbierzemy maila, nie czytając go dokładnie. Klikniemy w link, który nie prowadzi do naszej strony firmowej. Klikniemy w link do banku, który nie będzie oznaczony kłódką. Naprawdę trzeba bardzo uważać. Jak o to zadbać jeszcze bardziej?

KM: Jest potrzebna konsekwencja w tym procesie. Zasada Zero-Trust, mówi że nie możemy wykluczyć żadnej ewentualności. Nie zakładajmy z góry, że to nie ja będę zaatakowany. To dobrze, że mamy antywirusa, natomiast chronić trzeba wiele miejsc naraz. Skoro atak może przyjść z każdej strony, to trzeba chronić każdy element architektury IT: sieci, infrastrukturę, aplikacje, dane, urządzenia końcowe, a przede wszystkim naszą tożsamość.

Raport, o którym wspomniałem wcześniej i ta teza, że 98% to jest właśnie cyberhigiena, składa się z kilku prostych rzeczy:

Wieloskładnikowe uwierzytelnienie,
Zrozumienie, że nie wszystkie dane w firmie są równoważne – są dane wrażliwe i mniej wrażliwe. Z danymi wrażliwymi pewnych rzeczy się nie robi. Trzeba umieć poklasyfikować te informacje i nad niektórymi bardziej się pochylić, bardziej się o nie zatroszczyć,
Aktualizacja oprogramowania – bądźmy świadomi, że nieaktualne oprogramowanie jest po prostu dziurawe. To są otwarte drzwi zapraszające kogoś, żeby wszedł do nas i narobił szkód
Korzystanie z usług sprawdzonych dostawców.

To jest kwestia kilku prostych czynności, które powinniśmy wykonywać codziennie. To też kwestia pracy z ludźmi. Często jest tak, że cyberbezpieczeństwo jest sprowadzane jedynie do aspektu technicznego. Spychane do niszy, gdzie siedzą fachowcy od IT, uprawiający tajemną wiedzę.  Każdy obszar bezpieczeństwa składa się z trzech równolegle funkcjonujących ze sobą wątków: organizacji, ludzi i dopiero technologii. Żadnego z nich nie możemy zaniedbać. Możemy mieć najlepszych fachowców od IT, ale jeżeli nie nauczymy ludzi, że drzwi zamyka się za sobą, jak się wychodzi, to przez te drzwi może wejść ktoś niepowołany. Dlatego powtarzam cały czas, kwestie organizacyjne i ludzkie powinny być pilnowane tak samo jak kwestie techniczne.

MT: Obecnie działy bezpieczeństwa w różnych organizacjach mają dosyć duże budżety. Prezesi i zarządy widzą, że tam nie wolno oszczędzać, że tam są rzeczy, o które trzeba zadbać. Utrata tych danych będzie kosztowała organizację utratę reputacji i pieniędzy. W jaki sposób można pomóc tym użytkownikom? Dział IT zabezpieczy nasze serwery i komputery, ale w jaki sposób można pomóc użytkownikom każdej końcówki, komputera, tabletu, komórki, tak żeby w jakiś sposób go wytrenować?

KM: Posłużę się przykładem z mojej poprzedniej kariery zawodowej. To będzie przykład strażacki, który będzie przemawiał do wszystkich. Kiedyś rozmawialiśmy z komendantem głównym straży pożarnej i uświadomił nam jedną rzecz. Powiedział tak „Słuchajcie, jeżeli dokupię jeszcze więcej sprzętu, jeszcze więcej czerwonych samochodów, węży strażackich, komputerów dla straży pożarnej – od tego nie ubędzie mi liczby ofiar w pożarach. Ludzie na tym etapie naszego i ich przygotowania, umierają w domach, dlatego że zasypiają w łóżku z papierosem i nie mają czujnika tlenku węgla. Po prostu zachowują się nieodpowiedzialnie. Inwestowanie z mojej strony niewiele już tutaj zmieni. Trzeba zacząć pracować nad tymi ludźmi”.

Przenosząc to na grunt teleinformatyczny: do ataków nie dochodzi dlatego, że zabezpieczenia w firmie są słabe, że za mało pieniędzy wydaliśmy na IT. Jest to spowodowane tym, że ludzie nie są świadomi pewnych rzeczy albo nie mieli szansy zobaczyć, jak wygląda prawdziwy atak. Danie im szansy w postaci treningu, pozwoliłoby na wykształcenie pewnych nawyków, uświadomienie „Uwaga! Gdybyś kliknął w ten link, połowa firmy byłaby sparaliżowana. To na szczęście były tylko ćwiczenia”. To muszą być takie ćwiczenia, które będą wykonane na ich komputerze, w ich codziennym miejscu pracy. Muszą zobaczyć, że ten atak może przyjść do ich komputera. Wtedy to zapamiętają.

MT: Czy taki trening wystarczy przeprowadzić przez jeden tydzień i te osoby nauczyć w jaki sposób odpierać te ataki? Czy powinniśmy to w jakimś innym horyzoncie czasowym umieścić?

KM: Taki trening trzeba powtarzać cyklicznie i trzeba wykonywać do skutku. Tak długo możemy podrzucać ludziom pendrive na parkingu, który będzie generować komunikat na ekranie „To był tylko trening, ale w normalnej sytuacji byłoby już po tobie! -1000 zł z premii”.  Jak będziemy to robić cyklicznie, to ludzie w końcu przestaną wkładać ten pendrive do komputerów. Jeżeli będziemy cyklicznie sprawdzali, jaka jest klikalność linków, które wysyłamy, to ta liczba będzie spadać. Będziemy osiągali wtedy swój cel. W tym procesie kształtowania cyberbezpieczeństwa zaczniemy być skuteczni. Absolutnie jednorazowa akcja tego nie zmieni. Trzeba też właścicielom biznesu pokazać, że takie akcje rzeczywiście przynoszą efekt. Przy pierwszej akcji 30% załogi nam kliknie w sfabrykowany link, ale już przy trzeciej akcji tylko 7%.

MT: Tego typu trening mógłby pomóc wszystkim użytkownikom końcowym. Taka sytuacja: dzwoni ankieter z banku i informuje nas, że ktoś chce wykonać przelew z naszego konta. Potem w ramach weryfikacji naszej tożsamości prosi o autoryzację kodem Blik. Na tego typu działania musimy być wyczuleni, a trening antyphishingowy może nam w tym pomóc.

KM: To są zupełnie dwie różne rzeczywistości. Jak ja sobie teraz rozmawiam z tobą i się uśmiechamy, że dzwonił jakiś oszust i wyciągnął od kogoś kod Blik, to bardzo łatwo się o tym rozmawia. W momencie, gdy odbiorę taki telefon od człowieka, który się wytrenował, który żyje z tego i zarabia (może nawet gdzieś kupił profesjonalne szkolenie z technik manipulacji), to naprawdę łatwo się z kimś takim nie rozmawia. Możliwość przejścia suchą stopą przez taki symulowany atak zdecydowanie zmienia optykę. Łatwo się o tym rozmawia w komfortowych warunkach. Oszust nigdy nie złapie nas w komfortowych warunkach. Zawsze będzie chciał mieć nad nami jakąś przewagę.

MT: Pamiętam takie ataki „na wnuczka”. Dzwonili do naszych dziadków przestępcy i próbowali wmówić, że coś nam się stało. Tak teraz ci sami przestępcy są bardziej wyedukowani i używając różnych sztuczek psychologicznych, próbują nas tak zmanipulować, żebyśmy podali im dane autoryzacji transakcji z naszego konta. Czy to będzie Blik czy to będą jakieś inne dane. W ten sposób będziemy łatwą ofiarą dla nich. Tak jak mówisz, ci ludzie cały czas podnoszą swoje kwalifikacje.

KM: Poza tym osoby, z którymi rozmawiałem i które padły ofiarą takiego ataku, po jakimś czasie jak sobie przeanalizowały tę sytuację mówią „Boże, jaki ja byłem głupi. Nie wiem, dlaczego podałem te dane. Nie wiem, dlaczego tak się zachowałem. Po prostu ktoś mnie prowadził jak po sznureczku, a ja nie miałem pojęcia co się dzieje”. Czujność zdecydowanie tak, ale czasami krótki trening pozwoli już ten schemat rozpoznać i zauważyć, że ktoś próbuje nas wprowadzić w koleiny psychologiczne.

MT: Ten trening przed phishingiem poszerza horyzonty każdego z nas. Daje dużo wiedzy i odporności. Można to porównać do takiej szczepionki, która podawana w różnych dawkach uodparnia nasz organizm pod względem patrzenia na to bezpieczeństwo.

KM: To jest bardzo istotne, co teraz mówisz. Zwróćmy uwagę, że nie mamy wpływu na to, czy oszust do nas przyjdzie czy nie. Tym zagrożeniem w cyberprzestrzeni nie jesteśmy w stanie zarządzić. Tak naprawdę jesteśmy w stanie budować swoją odporność jako organizacja i jako załoga. W momencie gdy się nie uda, to będziemy mieć procedurę reagowania na to. Nie jesteśmy w stanie zarządzić przestępcami, którzy chcą wyłudzić nasze dane i pieniądze. Musimy założyć, że tak czy inaczej przyjdą. Jedyna rozsądna rzecz, o której mówisz to ta szczepionka – budowanie odporności systematycznym treningiem, który będzie uczciwie oceniany.

MT: Zdarzały się ataki poprzez Messenger. Ktoś pisał do mnie z prośbą o kod Blik, bo zabrakło mu 50 zł, a ta autoryzacja była prawdopodobnie na dużo więcej. Trzeba zatem uważać w życiu codziennym, jak zarządzamy tą tożsamością. To jest też ekstremalnie ważne, żeby weryfikować takie dane. Ja wiem, że cyberprzestępcy, którzy do nas dzwonią, tak prowadzą rozmowy, żeby się nie rozłączać, żeby nie mieć możliwości zweryfikowania informacji.

KM: Zwróćmy uwagę na jedną rzecz. Technologia dostępna jest i dla nas i dla przestępców. Teraz mamy problem z wyszczekanym oszustem, który jest kogoś w stanie zrobić „na wnuczka”. Co będzie za jakiś czas, gdy ktoś przy pomocy funkcji Deep Fake będzie z nami rozmawiał głosem naszej babci potrzebującej pomocy. Na wideo czacie nałoży sobie maskę dynamiczną i będzie się pod kogoś podszywać. Jak sobie wtedy damy radę? Ta technologia powoduje, że naprawdę będziemy musieli się bardziej zabezpieczać niż teraz i nie łapać się na takie rzeczy. Czy osoba, z którą rozmawiam to rzeczywiście ta osoba, a nie inna? Czy można użyć innego składnika, który potwierdzi tożsamość? Wchodzimy tu bardziej w kwestie organizacyjne, ale o tym trzeba też myśleć.

MT: Czy mógłbyś przytoczyć przykład prezesa, który zmanipulował bank?

KM: Podczas rozmowy telefonicznej z bankiem, prezes tego banku zlecił przelew na jakąś potężną sumę. Jego głos został rozpoznany, pracownik banku go znał z wcześniejszych rozmów. Bardzo się nie trzeba napracować, żeby się pod kogoś podszyć.

MT: Przed nami jeszcze rewolucja technologiczna, która będzie wchodziła do metaverse. Wszystko będzie jeszcze bardziej zwirtualizowane. Otaczający nas świat będzie miał dużo zastępczych rzeczy, które będą na wyciągnięcie ręki dla każdego. Jak podejść do tego, by nie dać się złapać?

KM: W tym zupełnie niematerialnym świecie ratują nas takie składniki uwierzytelniania, które są jednak materialne. Przy wieloskładnikowym uwierzytelnianiu można użyć klucza USB, skanowania tęczówki albo odcisku palca, czegoś co znamy na pamięć i co jest w naszej głowie (kod pin) albo połączyć wszystko i dodać analizę behawioralną, która też jest dzisiaj łatwo dostępna. Bank może się zorientować po tempie wpisywania kodu pin, że to nie jestem ja. Wyścig trwa i nie można w tym wyścigu zwalniać.

MT: Cyfrowa rewolucja i zarządzanie tożsamością w tym momencie jest ekstremalnie ważne, bo to nas przygotowuje na następny etap tej rewolucji. Cyberhigiena, którą my powinniśmy w sobie tworzyć, przygotuje nas i naszych bliskich. Musimy tylko o tym rozmawiać. Tą cyberhigieną powinniśmy się dzielić z innymi. Nią powinny żyć też organizacje, które zarabiają potężne pieniądze. Każde przedsiębiorstwo powinno do swoich procesów, do swojej kultury organizacji dodawać to, czym jest cyberhigiena.

KM: Ona powinna być uczona wszędzie: od przedszkola, przez szkołę podstawową (oczywiście na różnym etapie technologicznym). Nad cyberhigieną powinniśmy pracować od najmłodszych lat. Akurat mam syna w pierwszej klasie szkoły podstawowej. Na pierwszej lekcji dostaje zadanie, żeby nauczyć się hasła do Teamsów. I już w tym momencie trzeba wytłumaczyć dziecku, że nie wszystko co pojawia się na ekranie jest dobre. Nie wszystko co wiąże się z komputerem musi być dobre. Wtedy komputer jest dla dziecka tak atrakcyjny, że wszystko to, co pojawia się na ekranie dostaje kredyt zaufania. Dziecko, tak jak szeregowy pracownik, nie musi sobie zdawać sprawy jak wielkie szkody może wyrządzić rodzicom, czy też organizacji, zachowując się nieodpowiedzialnie.

MT: Z punktu widzenia organizacji to bardzo dobra inwestycja, żeby trenować pracowników każdego szczebla. To warto kontynuować, na to nie warto szczędzić środków, tak jak nie szczędzimy pieniędzy na ochronę np. serwerów. To jest drugi krok w cyfrowej rewolucji: żeby zadbać o tych użytkowników, żeby oni chcieli trenować. Myślę, że w tę stronę zmierzamy.

KM: Pieniądze wydane na cyberbezpieczeństwo zawsze się zwracają. Jeżeli są wydane mądrze i uprzedza to analiza ryzyka, to to nie jest wydatek, to jest inwestycja. 98% bezpieczeństwa w sieci jest czymś tak prostym jak te elementy cyberhigieny. Stosunek włożonej energii i wydanych pieniędzy do osiągniętych wyników – to jest po prostu mistrzowskie.

MT: Trening phishingowy „Jak się nie dać złapać?” w ludziach w białych kołnierzykach ma wzbudzić myślenie, jak możemy sobie wzajemnie pomagać i mówić o tych różnych atakach, weryfikować dane. Można też podchodzić nieufnie do tych maili, które otrzymujemy od człowieka, który już nie jest w naszej organizacji.

KM: Ataki phishingowe nie muszą być siermiężne. W Internecie można być kim się chce. Byłem świadkiem takich kampanii phishingowych, w których osoba podejrzewała coś, mimo że dostała wiadomość z właściwego adresu, z właściwym podpisem, z autentyczną treścią, ale adresatem była osoba, która nie żyła od kilku miesięcy.

MT: Te ataki są jeszcze bardziej wysublimowane, bo przestępcy co raz więcej o nas wiedzą. Ten personalizowany atak jest dużo łatwiejszy do przeprowadzenia.

KM: Nie trzeba poświęcać godzin, żeby mieć personalizowany atak. Wystarczy zadać sobie trochę trudu przez 15 minut i już można przy pomocy mediów społecznościowych określić jakiś obszar zainteresowania. Dzięki temu mail wysyłany przez oszusta będzie bardziej autentyczny dla ofiary. Człowiek łapie się na bardzo proste triki. Musimy zautomatyzować w sobie nieufność.

MT: W ten trening phishingowy warto zainwestować swój czas i czas pracowników oraz zbadać na przestrzeni kilku miesięcy, jak ta sprawność wzrosła, czyli jak zmalała klikalność w podejrzane maile. Ci ludzie będą szczęśliwsi także w życiu prywatnym, bo nie dadzą się złapać na te proste triki.

KM: Wielokrotnie byłem świadkiem, że treningi, które były wcześniej zaplanowane, potem były przekładane, bo akurat był to zły czas. Przestępcy nigdy nie przekładają. W ich interesie jest zorientować się, że w organizacji rok fiskalny kończy się w danym terminie, więc 2 tygodnie wcześniej jest idealny czas na atak. Wtedy pracownicy klikają w co popadnie. Przestępcy wybierają sobie taki moment, w którym wszyscy będą zmęczeni, kiedy będzie 14:00 po lunchu i wtedy właśnie zaatakują. Dobry trening jest wtedy, kiedy my nie wiemy, że on się odbywa.

MT: Warto zatem przeprowadzać ten trening, nie mówiąc jednocześnie o nim szeroko w organizacji, żeby był on jak najbardziej efektywny.

KM: Oczywiście po fakcie, trzeba o tym porozmawiać i pokazać efekty. Powiedzieć „Zobacz, zachowałeś się tak, a mogłeś zrobić to inaczej”.

MT: Bardzo dziękuję za tę rozmowę, a Was zachęcam do pobrania aktualnej oferty Microsoft Attack Simulator. Jako eksperci cyfrowej ewolucji, pomożemy przeprowadzić symulację ataku phishingowego w Waszej organizacji i przedstawić kompleksowy raport i rekomendacje na przyszłość.

Phishing Attack Simulator – kampania jednodniowa / dwumiesięczna (integritypartners.pl)

Nowy raport 2022 Gartner® Magic Quadrant™ dotyczący Access Management ujrzał właśnie światło dzienne. Znalazło się w nim miejsce dla firmy CyberArk, i to od razu na pozycji lidera!
To już drugi raport Gartnera w tym roku, w którym został doceniony nasz wieloletni Partner. W poprzednim zestawieniu dotyczącym Privileged Access Management również udało im się obronić pozycję lidera, czwarty raz z rzędu!

CyberArk jest w tym roku jedynym liderem w obu raportach, co jeszcze bardziej podkreśla wartość tej organizacji jako naszego Partnera. Opracowana przez nich platforma zabezpieczeń tożsamości pozostaje najbardziej wszechstronną w branży, umożliwiając ochronę wszystkich tożsamości — ludzi i maszyn — na wszystkich urządzeniach, w środowiskach hybrydowych i chmurowych.

Gratulujemy CyberArk zdobycia tak prestiżowego wyróżnienia i życzymy na przyszłość jeszcze większych sukcesów!

Integrity Partners od lat jest jednym z wyróżniających się partnerów firmy CyberArk w regionie:
▪ Partnerstwo z CyberArk | 2008,
▪ Pierwszy Platynowy Partner w regionie CEE | 2015,
▪ Najlepszy partner w regionie CIS | 2019,
▪ Największa sprzedaż | 2021,
▪ Ponad 500 000 obsługiwanych tożsamości uprzywilejowanych,
▪ Ponad 60 wdrożeń w sektorze finansowym, publicznym i usługowym.

Jeżeli jesteś zainteresowany rozwiązaniami z zakresu cyberbezpieczeństwa skontaktuj się z nami pod adresem: marketing@integritypartners.pl

Polfa Tarchomin przyciąga nowe cyfrowe talenty i pracowników z doświadczeniem w badaniach oraz produkcji leków. Obecnie blisko 700 pracowników TZF Polfa  korzysta z usług chmurowych, w tym Microsoft Teams. Organizacja stawia na zmianę kultury wewnątrz firmy a digitalizację wpisuje w strategię rozwoju całej instytucji. Dzięki temu procesowi TZF Polfa przyciąga nowe talenty i pracowników z doświadczeniem w badaniach oraz produkcji leków.
Budowa Centrum Rozwoju i Produkcji Leków Onkologicznych, największej inwestycja w historii TZF,  spowoduje ogromny skok technologiczny, ale też da nowe szanse dla szpitali oraz ludzi dotkniętych tą poważną chorobą. To unikalna inicjatywa nie tylko na skalę Polski, ale i Europy

Inwestycji towarzyszy wewnętrzna restrukturyzacja i modernizacja przedsiębiorstwa. Polfa Tarchomin postawiła na nowoczesne środowisko współpracy i komunikacji, aby dać ludziom szansę na komfortową i efektywną pracę z dowolnego miejsca oraz współpracę z klientami, szpitalami i dostawcami. Cyfryzacja niweluje podział na pracowników biurowych i fizycznych, a wraz z odchodzeniem od papierowej wersji dokumentów, przeobrażeniu ulegają też dotychczasowe role.

„W ciągu ostatnich dwóch lat TZF Polfa Tarchomin wykonała skok technologiczny. Zrealizowaliśmy wiele kluczowych projektów z różnych obszarów, w tym m.in. uruchomiliśmy nową platformę TZF.Health dla lekarzy i pacjentów oraz wdrożyliśmy system Business Intelligence do kompleksowej analizy danych, który pomoże zwiększyć efektywność sprzedaży i zarządzania finansami firmy. Wprowadzenie elektronicznego obiegu dokumentów w całej organizacji zrewolucjonizowało sposób naszej pracy. Transformacja cyfrowa utorowała zmiany także w aspekcie ludzkim, poszerzając kompetencje pracowników i przyciągając nowych. Jako innowacyjna organizacja, TZF Polfa Tarchomin jest zaszczepiana młodymi ludźmi, którzy wnoszą świeżą krew i pozytywnie się nakręcają, jeszcze bardziej motywując firmę do wdrażania nowych narzędzi cyfrowych” – mówi Arkadiusz Gronek, CIO w TZF Polfa Tarchomin.

 
Zetka i boomer w kompetencyjnej symbiozie
Młodych profesjonalistów przyciąga praca z dostępem najnowocześniejszego sprzętu i technologii. Wymaga ona wysokiego poziomu umiejętności cyfrowych, które są domeną młodszego pokolenia. Ich obecność napędza transformację cyfrową

„Młode pokolenia są przyzwyczajone do pracy z nowymi narzędziami. To bardzo ważne i rozwojowe, że firma z 200-letnią tradycją dąży, by temu sprostać i chce mieć na pokładzie kompetentnych ludzi zaznajomionych z technologiami. Różnorodność napędza cyfryzację i innowacyjność – kluczowe elementy rozwoju w Polskiej Dolinie Cyfrowej – a także motywuje do pracy w zróżnicowanych zespołach i otwartości na uczenie się nowych kompetencji” – zauważa Anna Wardziak, szefowa departamentu Modern Work i Security z polskiego oddziału Microsoft.

Kluczową rolę w Tarchomińskich Zakładów Farmaceutycznych odgrywa zespół pracowników z bogatym doświadczeniem, których kwalifikacje zawodowe i doświadczenie stanowią o wielu przewagach na rynku.

„Jesteśmy świadomi wyzwań związanych z realizacją projektów, które wymagają szczególnej wiedzy eksperckiej. Praca w farmacji wiąże się z ogromem kompetencji, ale też przestrzeganiem procedur bezpieczeństwa, dyscypliną i odpowiedzialnością. Ich ukształtowanie wymaga często lat doświadczenia” – podkreśla Wojciech Hubert, IT Infrastructure Manager w TZF Polfa Tarchomin.

 
Cyfrowa odporność
Z perspektywy firmy farmaceutycznej, której zasadnicza część działalności opiera się na budowaniu relacji z lekarzami, moment zwrotny stanowił pandemiczny lockdown. Chęć utrzymania ciągłości działania firmy podczas fali restrykcji i ograniczeń znacząco przyspieszyła jej cyfrowy rozwój, przenosząc wiele procesów do sfery online. W 2021 r. powstała platforma omnichannel TZF.Health, służąca do utrzymania kontaktów z lekarzami, a jednocześnie pozwalająca firmie realizować jej misję edukacyjną w obszarze zdrowia. Aby podtrzymać częstotliwość i jakość organizowanych przez Polfę Tarchomin konferencji o tematyce medycznej, zaczęto organizować je w formule hybrydowej. Dzięki ogólnopolskiej transmisji, dostęp do nich zyskali nie tylko lekarze zaproszeni przez przedstawicieli handlowych spółki, ale również specjaliści branżowi z całej Polski.

Firma wprowadziła także system cyfrowego obiegu dokumentów, pozbywając się ogromnej ilości dokumentów papierowych krążących pomiędzy pomieszczeniami i budynkami. Wychodzący z obiegu system pocztowy Exchange w wersji lokalnej został zamieniony na nowoczesne środowisko hybrydowe Microsoft. Stara centrala telefoniczna została zlikwidowana, a numery telefonów przeniesione do telefonii IP zintegrowanej ze środowiskiem Teams. Usługi obudowane nowoczesnymi narzędziami do współpracy i komunikacji (Teams, SharePoint, OneDrive) są dostępne na każdym urządzeniu np. laptopie i komórce zarówno w biurze jak i poza nim. Stanowią modelową bazę do dalszego rozwoju i budowy środowiska zgodnego z kierunkiem Digital Workplace.

„Szybkie i skuteczne wdrożenie rozwiązań Microsoft w Polfie Tarchomin podniosło nie tylko poziom produktywności pracowników, ale również bezpieczeństwo w całej organizacji. Niezwykle budujący jest widok postępującej transformacji cyfrowej w branży farmaceutycznej. Jest nam niezmiernie miło, że możemy łączyć tradycję z nowoczesnością i dostarczać tak dobre narzędzia firmie z 200-letnią historią. To właśnie takie firmy jak Polfa Tarchomin potwierdzają gotowość polskiego rynku na wykorzystywanie najlepszych  rozwiązań cyfrowych.” – mówi Sławomir Sip, Cloud Sales Director w Integrity Partners.

Pracownicy mają dostęp do tego cyfrowego środowiska z każdego miejsca na świecie. W rezultacie wszyscy zatrudnieni w TZF Polfa wykazują się dzisiaj kompetencjami miękkimi i umiejętnościami cyfrowymi. Ich zdobywaniu sprzyja szereg inicjatyw podnoszących kompetencje przyszłości, ale też nacisk Polfy na międzypokoleniowy transfer wiedzy – zmianę kultury pracy, ambitne programy rozwojowe, szkolenia naukowe oraz możliwość odbycia stażu i intensywnego rozwoju zawodowego.

Microsoft Partner Awards 2022
Microsoft Partner Awards 2022  już za nami. Tegoroczna edycja wydarzenia przyniosła ze sobą nie tylko okazję do spotkania się z wieloma ekspertami z branży, ale i potwierdzenie silnych kompetencji, którymi może poszczycić się Integrity Partners. 

W tym roku zostało nagrodzonych dwanaście najlepszych firm partnerskich. Nagrody przyznawane przez Microsoft są od lat wyróżnieniem dla organizacji, które skutecznie wdrażają bezpieczne i innowacyjne rozwiązania technologiczne u swoich Klientów.  

Integrity Partners w tym roku zdecydowanie wraca z konferencji z największą liczbą wyróżnień. Dzięki ciężkiej pracy całego naszego Zespołu udało nam się zdobyć jako jedynemu partnerowi na całej konferencji nie jedną, ale, aż dwie statuetki! 

W kategorii Partner Roku Modern Work zostaliśmy wyróżnieni za ekspercką wiedzę, imponujące wyniki sprzedaży i aktywne poszukiwanie nowych projektów. 

Z kolei w kategorii Partner Roku Security doceniono fakt, że potrafimy zadbać o najwyższy poziom bezpieczeństwa  organizacji, wykorzystując eksperckie kompetencje i unikalną wiedzę. 

Dla Integrity Partners bezpieczeństwo klientów w chmurze to najwyższy priorytet, a Zero Trust to zasada, którą kierujemy się na co dzień, komunikując, edukując i z sukcesem wdrażając ją w polskich organizacjach. Przeprowadziliśmy już dziesiątki symulacji ataków, by zadbać o najwyższy poziom bezpieczeństwa, dbając o świadomość i adaptację najlepszych praktyk. 

Zwycięstwo w obu tych kategoriach to dla nas nie tylko potwierdzenie wysokich kompetencji, ale przede wszystkim sygnał, że warto w kolejnych latach stawać się jeszcze lepszymi. 

Bardzo dziękujemy za wyróżnienie i do zobaczenia za rok! 😊 

https://youtu.be/XuzZ1vbicdw

W nieprzerwanie zmieniającym się świecie bezpieczeństwo IT jest drogą, a nie celem samym w sobie. Informacje przetwarzanie w systemach IT stanowią wartość dla każdego z nas, a ochrona tych informacji stała się koniecznością zarówno dla osób prywatnych jak i przedsiębiorstw. Według ankiety przeprowadzonej przez Gartner w 2022 wśród członków zarządu, 88% z nich klasyfikuje cyberbezpieczeństwo jako ryzyko biznesowe.

W raporcie G DATA dotyczącym zagrożeń odnotowano w czwartym kwartale 2021 r. wzrost zagrożeń o ponad 25% w porównaniu z poprzednim okresem. Ponadto w całym 2021 r. zidentyfikowano ponad 23,7mln próbek złośliwego oprogramowania. W porównaniu z rokiem 2020 jest to wzrost aż o 47%. Metody cyberprzestępców (ang. threat actors) ulegają ciągłym modyfikacjom wymuszając odpowiednią reakcje. W dążeniu do zmniejszenia powierzchni ataku, dostępnej dla atakujących, przedsiębiorstwa powinny kierować się dobrze znanym podejściem zmierzającym do budowy modelu wielowarstwowej ochrony środowiska IT. Podejście takie dąży do zapewnienia optymalnego poziomu zabezpieczenia informacji, przy jednoczesnym optymalizowaniu kosztów ponoszonych na wdrożenie poszczególnych rozwiązań.

Pandemia SARS-CoV19 przyśpieszyła transformację technologiczną wielu firm wymuszając szereg zmian oraz przeniosła ciężar z pracy biurowej na zdalną. Bezpieczeństwo IT w coraz większym stopniu zależy od czynnika ludzkiego, a powinnością szerokorozumianego sektora IT jest wsparcie użytkownika biznesowego, w procesie wykrywania i przeciwdziałania zagrożeniom w środowisku IT firmy. Wyzwaniem dla branży IT jest tworzenie odpowiednich narzędzi oraz polityk bezpieczeństwa podnoszących poziom zabezpieczeń przy jednoczesnym zachowaniu dostępności i pełnej funkcjonalności biznesowej dla Klienta czy Pracownika. Kolejnym wyzwaniem jest brak klasycznych granic ochrony (ang. Peremiter), gdyż informacje firmowe mogą być przetwarzane na urządzeniach używanych w biurze / siedzibie ale również w  domu pracownika czy też w systemach zlokalizowanych w chmurze. Bez względu na wielkość organizacji, standardy bezpieczeństwa są niezbędne dla  kompleksowego i kompletnego podejścia do zagadnienia zapewnienia bezpieczeństwa aktywów informacyjnych. Odpowiednio dostoswane i skonfigurowane przez ekspertów narzędzia bezpieczeństwa nie dopuszczą do sytuacji zagrożenia danych oraz pozwolą uruchomić odpowiednie procedury i działania w przypadku wystąpienia incydentu.

Postrzegając bezpieczeństwo IT w sposób holistyczny możemy posłużyć się powszechnie znaną triadą CIA – poufnością, integralnością oraz dostępnością. Aby zapewnić wszystkie wyżej wymienione atrybuty bezpieczeństwa informacji, zalecane jest wdrożenie metodologii Defense in Depth. Model ten pozwala chronić infrastrukturę IT firmy za pomocą wielowarstwowych zabezpieczeń stopniowo ograniczających przeprowadzenie ataku mogącego prowadzić do wystąpienia incydentu bezpieczeństwa. Nadrzędną wartością wykorzystania Defense in Depth jest konieczność pokonania szeregu przeszkód przez atakującego, a przełamanie pojedynczego systemu zabezpieczającego nie umożliwia kompromitacji środowiska Klienta pozwalającego. Wdrożenie modelu Defense in Depth jest właściwą podstawą, jednak nie może zakończyć realizacji działań w obszarze cyberbezpieczeństwa. Jak wspomnieliśmy na początku, charakter działań podejmowanych przez atakujących zmienia się w czasie. Podejmują oni wysiłki w celu ominięcia lub znalezienia luki w zastosowanych rozwiązaniach. Działania obronne także powinny być prowadzone w sposób ciągły, podstawą do oceny skuteczności stosowanych rozwiązań jest analiza ryzyka.

Rzeczywistość wymaga ciągłej pracy nad doskonaleniem zabezpieczeń, ponieważ nawet najlepiej skonfigurowane narzędzia i programy są zagrożone tzw. podatnościami 0 Day, które wymagają odpowiedniej czujności oraz niwelowania luk tak szybko jak jest to możliwe.

W dobie ograniczonej dostępności specjalistów z zakresu Cyber bezpieczeństwa osobu odpowiedzialne za Security powinny rozważyć skorzystanie z gotowych rozwiązań i usług dostawców tak, aby własny wysokokwalifikowany zespół specjalistów wykonywał wyłącznie zadania zgodne z kwalifikacjami i adekwatne do wynagrodzenia.

Zarządzanie incydentami i korelacja zdarzeń z użyciem rozwiązań klasy SIEM

Najważniejsza jest nie ilość, a jakość logów po ich uprzedniej odpowiedniej korelacji i analizie.

Ochrona tożsamości uprzywilejowanych (PAM)

Kompleksowe rozwiązanie do ochrony, monitorowania, wykrywania, ostrzegania i reagowania w stosunku do haseł kont uprzywilejowanych.

Wykrywanie anomalii (Cyber AI Analytics)

Skorzystaj z pomocy sztucznej inteligencji w celu monitorowania środowiska i wykrywaniu niestandardowych zachowań.

Ochrona aplikacji www (WAF)

Ochroń swoją aplikację lub stronę www za pomocą wyspecjalizowanych narzędzi odpierających ataki DoS i DDoS.

Wykrywanie podatności (Vulnerability Scanner)

Znajdź i usuń podatności oraz luki  w swojej infrastrukturze IT zanim zrobi to cyberprzestępca.

Ochrona poczty (Email Security)

Chroń swoją organizację przed malware i phishingiem zanim zainfekowana wiadomość email dotrze do użytkownika biznesowego.

Ochrona użytkownika i urządzeń (Endpoint Security)

Szczególnie istotna w trakcie pracy zdalnej/hybrydowej. Pozwala chronić urządzenie użytkownika końcowego włącznie z przeciwdziałaniem ransomware, jednemu z największych zagrożeń dla funkcjonowania biznesu.

Budowa świadomości (Phishing Awareness)

Edukuj użytkowników za pomocą wyspecjalizowanych narzędzi, aby odpowiednio reagowali w sytuacji prawdziwego ataku typu phishing\spear phishing\whaling\smishing\vishing.

Zabezpieczenie i przechowywanie danych (Backup)

Ludzie dzielą się na tych, którzy już robią backupy oraz tych, którzy będą je robić. Sugerujemy, aby być w tej pierwszej grupie.

Audyt, analiza potrzeb i mapa drogowa (Security Roadmap)

Zaufaj ekspertom, którzy sprawdzą na jakim etapie dojrzałości jest Twoje środowisko IT i pomogą Ci je odpowiednio zabezpieczyć.

Rozwój programu bezpieczeństwa (Cybersecurity Consulting)

Bądź liderem we wszystkim co robisz, również w kwestii zabezpieczeń Twojej organizacji.

Dobierając pojedyncze warstwy cyberbezpieczeństwa lub łącząc je dowolnie Klient może korzystać z naszej eksperckiej wiedzy i doświadczenia prowadząc ciągły proces eliminowania potencjalnych źródeł zagrożeń dla swojej organizacji.

A od czego radzimy zacząć?

Jak zwykle, czyli od analizy stanu obecnego, potrzeb i ryzyk organizacji w zakresie bezpieczeństwa IT.

Integrity Partners Security Days 2022 – po raz kolejny na wysokim poziomie

Już po raz szesnasty organizowaliśmy konferencję Integrity Partners Security Days. Jak co roku wydarzenie przyciągnęło ekspertów z dziedziny CyberSecurity i Klientów zainteresowanych tematyką ochrony tożsamości uprzywilejowanych, urządzeń mobilnych, poczty e-mail czy wykrywaniem anomalii.
Security Days – merytoryczne prezentacje
Konferencję otworzył Grzegorz Brol, CEO Integrity Partners oraz Mariusz Szczęsny, CyberSecurity Business Unit Director i Artur Wrześniewski, CyberSecurity Operations Manager.

Partnerzy wydarzenia postarali się o wyjątkowo ciekawe prezentacje przedstawiające współczesne zagrożenia cybernetyczne. Agenda wydarzenia obfitowała w praktyczne zagadnienia CyberSecurity, a tematyka nawiązywała do atrakcji wieczoru.

Lista tematów:

Wywiad cybernetyczny jako suplement diety inżynierów SOC – Mateusz Olszewski i Maciej Martinek (Recorded Future)
Gdzie projektów ochrony tożsamości sześć, tam nie ma co jeść – Bartosz Kryński (CyberArk)
Cyber Pączek – Droga do całkowitej autonomii – Bartłomiej Ozon (Darktrace)
„Business continuity” firmy, a ataki ransomware – ciężki orzech do zgryzienia – Seweryn Jodłowski (SentinelOne)
Malinowa chmurka – przepis Tenable na udany wypiek – Sebastian Mazurczyk (Tenable)
Jak oddać dane do chmury i zachować nad nimi pełną władzę? – Piotr Wróbel (Thales)
Ransomwarowe rewolucje i przepis na przeżycie – Mateusz Ossowski (Barracuda)
Bezpieczeństwo na wynos – czyli jak chronić urządzenia mobilne przed zagrożeniami – Welat Grigoleit (Zimperium)

Atrakacja dla uczestników
W tym roku konferencja odbyła się w podwarszawskim Pałacu Alexandrinum, gdzie uczestnicy mogli liczyć na dwa dni merytorycznych prezentacji, networkingu oraz integracji. W ramach atrakcji przygotowaliśmy pokaz gotowania, w którym wzięli udział znani szefowie kuchni z programu Master Chef. Oprócz tego goście mogli podziwiać pokaz barmański w wykonaniu Mistrza Świata i Mistrza Polski w pokazach typu Flair.

Dziękujemy wszystkim za uczestnictwo i zapraszamy na kolejne nasze wydarzenia!

Partnerami konferencji Integrity Partners Security Days 2022 byli:

https://youtu.be/uAlhU3fOe2o

CyberArk ponownie liderem w raporcie Gartner® Magic Quadrant™ dla Privileged Access Management 2022

To co było praktyczne pewne, stało się faktem. CyberArk został uznany liderem w raporcie Gartner® Magic Quadrant™ dla Privileged Access Management (PAM). Jest to kolejna nagroda dla firmy specjalizującej się w dostępie uprzywilejowanym, której jesteśmy wieloletnim partnerem. CyberArk ponownie został sklasyfikowany na najwyższej pozycji zarówno pod względem wdrożenia rozwiązania, jak i swojej wszechstronnej wizji.

Najlepszy Partner

CyberArk posiada duży ekosystem partnerski, a Integrity Partners jest jego częścią i liderem w regionie East. W ostatnim czasie świętowaliśmy najlepszą sprzedaż produktów CyberArk, a Grzegorz Brol (CEO Integrity Partners) dołączył do Rady Doradczej Partnerów (PAC) CyberArk. Takie wyróżnienia tylko napędzają nas do dalszej, ciężkiej pracy.

Oferta produktowa

Oferta PAM CyberArk jest bardzo konkurencyjna, oferując jedne z najbardziej dojrzałych możliwości na rynku, zwłaszcza Privileged Account & Session Management (PASM) i jego funkcje Secrets Management, a także zarządzanie dostępem uprzywilejowanym, poświadczeniami, rejestrowanie i raportowanie, integrację i automatyzację pokrewnych technologii oraz Cloud Infrastructure Entitlements Management (CIEM).

CyberArk był pierwszym dostawcą PAM, który wprowadził zarówno Secrets Management, jak i funkcjonalność CIEM w swoim produkcie. W bogatym portfolio można ponadto znaleźć:

PASM z Privileged Access Manager,
Privilege Elevation and Delegation Management (PEDM) z narzędziem Endpoint Privileged Manager,
zarządzanie wpisami tajnymi,
zarządzanie aplikacjami za pomocą Secrets Manager,
funkcjonalność CIEM z Cloud Entitlements Manager.
zdalne narzędzie PAM o nazwie Vendor Privileged Access Manager.

Identity Security Platform

Nowoczesne, ujednolicone podejście oparte na Zero Trust i najmniejszych przywilejach, czyli Identity Security

Skoncentrowana na inteligentnej kontroli uprawnień funkcja Identity Security bezproblemowo zabezpiecza dostęp do wszystkich tożsamości i elastycznie automatyzuje cykl życia tożsamości, zapewniając ciągłe wykrywanie zagrożeń i zapobieganie im, chroniąc najbardziej krytyczne zasoby.

Platforma CyberArk Identity Security Platform jest używana przez większość firm z listy Fortune 500 oraz przez organizacje rządowe na całym świecie.

Skontaktuj się z nami – przedstawimy najkorzystniejszą ofertę wdrożenia rozwiązań CyberArk w Twojej organizacji!

Impact 2022 już za nami. Co przyniosła ze sobą kolejna już edycja konferencji organizowanej przez CyberArk? Jakie trendy będą wyznaczać kierunki rozwoju branży w kolejnych latach? Zapraszamy do zapoznania się z naszą relacją z konferencji.

 
CyberArk Impact – platforma dialogu dla specjalistów w dziedzinie cyberbezpieczeństwa
Specjaliści zajmujący się cyberbezpieczeństwem po raz kolejny wzięli udział w CyberArk Impact, by wymieniać między sobą cenne doświadczenie zdobywane podczas codziennej pracy nad eliminacją zagrożeń. Profesjonaliści z całego świata przybyli do Bostonu (osobiście lub wirtualnie), aby uczestniczyć w konferencji poświęconej bezpieczeństwu tożsamości. Podczas trzech dni Impact 2022 dzielili się swoimi historiami, słuchali opinii innych ekspertów i poznawali innowacyjne rozwiązania, które już teraz wyznaczają nowe standardy w cyberbezpieczeństwie.

 
Cyfrowy świat jest skomplikowany – cyberbezpieczeństwo nie powinno takie być
Partnerzy i klienci CyberArk zebrani podczas wydarzenia zwracali uwagę, że skuteczna ochrona przedsiębiorstwa oznacza ochronę uprzywilejowanego dostępu. Podczas gdy wymuszona przez pracę zdalną cyfryzacja, rosnące zagrożenia cybernetyczne oraz zwykła konieczność zaczęły napędzać gruntowne zmiany w branży, patrzący w przyszłość liderzy bezpieczeństwa myśleli już nieszablonowo i odważnie sięgali po nowe rozwiązania.

Zdali sobie sprawę, że zabezpieczanie tożsamości wszędzie tam, gdzie jest to możliwe – w centrach danych, środowiskach hybrydowych, wielochmurowych i SaaS – jest stale rosnącym, wieloaspektowym wyzwaniem, które wymaga inteligentnej kontroli uprawnień, a także sprawnego zarządzania dostępem i tożsamością – wszystko to uzupełniane o kompleksową analizę danych. Nie oznacza to jednak, że musi to być skomplikowane.

O to właśnie chodzi w wizji CyberArk Identity Security – podejście zorientowane na bezpieczeństwo, oparte na głębokiej wiedzy w temacie bezpieczeństwa uprawnień, aby móc ułatwić organizacjom zabezpieczanie tożsamości zarówno ludzi, jak i  maszyn, z dostępem do wszystkich zasobów z każdej możliwej lokalizacji. Dzięki temu rozwiązaniu organizacje będą miały możliwość osiągnąć wymierną redukcję ryzyka cybernetycznego i osiągnąć swoje strategiczne cele biznesowe.

 
Jedna ujednolicona platforma bezpieczeństwa tożsamości w celu wzmocnienia odporności cybernetycznej w sześciu kluczowych obszarach
W inauguracyjnym przemówieniu założyciel CyberArk, prezes i dyrektor generalny Udi Mokady przedstawił konkretne kroki, jakie zostały podjęte w ciągu ostatniego roku w celu wzmocnienia istniejących rozwiązań i wprowadzenia na rynek nowych innowacji, które ujednolicają bezpieczeństwo tożsamości w sześciu kluczowych obszarach.

Dostęp dla pracowników i klientów: Przewiduje się, że do końca 2022 r. jedna czwarta profesjonalistów będzie w pełni pracowała zdalnie, a obecnie aż 42% z nich już pracuje w trybie hybrydowy. Możliwość dostępu do zasobów firmy z dowolnego miejsca staje się więc koniecznością. Odpowiedzią na to wyzwanie mogą być jedynie rozwiązania zapewniające zaawansowaną ochronę dostępu uprzywilejowanego, takie jak CyberArk Secure Web Sessions.

Bezpieczeństwo punktów końcowych: Ataki ransomware w punktach końcowych są wciąż rosnącym problemem. Skutecznie poradzić sobie z nimi mogą jedynie rozwiązania z kontrolą uprawnień i aplikacji, ochroną przed kradzieżą poświadczeń, a także silnym uwierzytelnianiem wieloskładnikowym dla każdej próby eskalacji.

Zarządzanie dostępem uprzywilejowanym: Zarządzanie dostępem uprzywilejowanym (PAM) pomogło rozwiązać wiele poważnych wyzwań w zakresie bezpieczeństwa. Niezależnie czy są to rozwiązania PAM samoobsługowe, czy te oparte na SaaS, dziś organizacje mogą kompleksowo chronić każdy rodzaj uprzywilejowanego dostępu m.in. z pomocą CyberArk.

Zarządzanie tajemnicą organizacji: Im bardziej organizacje przekształcają się cyfrowo, tym więcej jest tajemnic dotyczących aplikacji, które pragniemy chronić przed niepowołanym dostępem. Dlatego tak istotne jest upraszczanie procesów i skalowanie poziomów zabezpieczeń. CyberArk Secrets Hub umożliwia centralne przeglądanie, kontrolowanie i audytowanie tajemnic organizacji, bez jednoczesnego zakłócania pracy programistów.

Zarządzanie tożsamością: W ekosystemie każdego przedsiębiorstwa istnieją miliony zdarzeń związanych z tożsamością – sprawdzenie wszystkich z nich (nie mówiąc już o ustalaniu priorytetów i reagowaniu na nie) jest ogromnym problemem. Aby pomóc przedsiębiorstwom przezwyciężyć to wyzwanie, CyberArk zaprezentował Identity Flows – jednopanelowe rozwiązanie do orkiestracji tożsamości, które pomaga organizacjom w automatyzacji zadań i przyspiesza reagowanie na zagrożenia.

Zabezpieczenie dostępu do chmury: Aż 52% organizacji nie przeprowadza krytycznych kontroli bezpieczeństwa skoncentrowanych na tożsamości w środowisku chmury CyberArk Secure Cloud Access pomaga analizować, zabezpieczać i monitorować uprzywilejowany dostęp do chmury publicznej, zapewniając Twojej organizacji dodatkową ochronę.

 
Stwórzmy razem bezpieczniejszą przyszłość dla biznesu
Świat cyfrowy doświadcza przełomowych zmian – i przełomowych wyzwań, które zmuszają organizacje do ponownego przemyślenia indywidualnego podejścia do zarządzania dostępem uprzywilejowanym i tożsamością. Możemy wykorzystać te wyzwania i zbudować bezpieczniejszy świat.

Przyjmując ujednolicone podejście do bezpieczeństwa tożsamości, skoncentrowane na inteligentnej kontroli uprawnień, organizacje mogą lepiej bronić się nawet przed największymi źródłami zagrożeń.

Cyfrowa transformacja  to jedno z wyzwań jakie stawiają przed nami postpandemiczne czasy. Jej nadejście wiąże się z wieloma szansami, ale i wyzwaniami, które prędzej czy później staną się udziałem każdego biznesu. Na szczęście, możemy się do niej odpowiednio przygotować. W takim właśnie celu powstał program Microsoft Solution Assessment.

 
Microsoft Solution Assessment – rozwiązanie skrojone pod cyfrową transformację
Dostarczany przez firmę Microsoft, we współpracy z Integrity Partners, program, to darmowe i kompleksowe rozwiązanie będące odpowiedzią na potrzeby współczesnego biznesu, związane bezpośrednio z optymalizacją posiadanych zasobów oraz przeniesieniem ich do chmury.

Zespół naszych ekspertów przy użyciu profesjonalnego oprogramowania przeprowadza dokładną analizę środowiska IT Klienta. W wyniku procesu powstaje raport, dzięki któremu Klient otrzymuje pełny wgląd w środowisko firmy oraz pakiet rekomendacji dotyczących rozwiązań chmurowych. Jest to pierwszy krok ku migracji części lub całości komponentów infrastruktury do chmury.

 
Co możesz zyskać?
Decydując się na Microsoft Solution Assessment zyskujesz nie tylko wsparcie naszych ekspertów, ale i pewność, że Twoja firma nie zostanie w tyle z transformacją cyfrową . Wyprzedź swoją konkurencję i zyskaj wymierne korzyści już dziś.

Przeprowadzając Solution Assessment zyskasz:

analizę, kontrolę i optymalizację infrastruktury IT,
nowe możliwości dla swojego biznesu,
spersonalizowany plan migracji danych do chmury,
optymalizację firmowych zasobów,
obniżenie kosztów i większą kontrolę nad nimi,
zwiększenie produktywności,
wzrost świadomości odnośnie cyberbezpieczeństwa.

 
Jak zaplanować skuteczną migrację do chmury Microsoft ?
Microsoft Solution Assessment jest bezpłatnym rozwiązaniem dla firm otwartych na nowe możliwości, jakie niesie ze sobą postpandemiczna rzeczywistość. Nasi eksperci za pośrednictwem specjalistycznych narzędzi zbierają i analizują zasoby IT przedsiębiorstwa. W wyniku przeprowadzonego procesu powstaje szczegółowy raport zawierający propozycje optymalizacji oraz plan rozwoju biznesu Klienta.

Sam proces Microsoft Solution Assessment składa się z 5 etapów:

Kick-off. Nasz ekspert ustala z Klientem szczegóły współpracy: wspólnie planują pracę, ustalają harmonogram i zakres analizy, Klient otrzymuje wymagania dotyczące instalacji urządzeń. Czas trwania: 30 min.
Instalacja narzędzi. Czas trwania: 45 min. – 4 godz.
Zbieranie danych. W trakcie tego etapu specjalistyczne oprogramowanie monitoruje pracę środowiska IT Klienta, skanuje je oraz zbiera niezbędne dane. Czas trwania: 4 godz. – 4 tyg.
Opracowanie raportu. Po zakończeniu zbiórki danych nasi eksperci analizują je i przygotowują dla Klienta szczegółowy raport wraz ze spersonalizowanym planem rozwoju. Czas trwania: 2 – 4 tyg.
Przedstawienie wyników i rekomendacji. Czas trwania: 60 min.

 
Oferta Integrity Partners we współpracy z Microsoft
Cyfrowa transformacja na nikogo nie poczeka, dlatego zachęcamy do skorzystania ze specjalnej oferty przygotowanej przez Integrity Partners we współpracy z Microsoft. Zapisz się bezpłatnie do programu Microsoft Solution Assessment już dziś i wprowadź swój biznes w cyfrową erę. Aby przystąpić do programu należy wypełnić poniższy kwestionariusz.

[grwebform url=”https://app.getresponse.com/view_webform_v2.js?u=Snsxe&webforms_id=34667503″ css=”on” center=”off” center_margin=”200″/]

Przypominamy o ogłoszonej wcześniej przez Microsoft informacji dla użytkowników systemów MS Exchange w wersji 2013 i 2016:

Dniu 20 kwietnia 2022 roku została opublikowana ostatnia aktualizacja zbiorcza (CU) obejmująca swoim zakresem wersje Exchange Server 2013 oraz Exchange Server 2016.

Zgodnie z informacją udostępnioną przez Microsoft następna aktualizacja zbiorcza CU będzie obejmowała wyłącznie wersje od Exchange Server 2019 i zostanie ona wydana w drugiej połowie 2022.

Wersje Exchange Server 2013 oraz Exchange Server 2016 nie otrzymają już poprawek w ramach mainstream suport, kolejne CU nie będą obejmowały wymienionych wersji.

Wersje te będą  otrzymywały wyłącznie SU (aktualizacje bezpieczeństwa dla krytycznych luk).

Wraz z wydaniem CU23 dla Exchange Server, Microsoft zmienia również cykle wydawnicze zbiorczych poprawek z kwartalnego na półroczny.

W związku z powyższą informacją sugerujemy użytkownikom:

– wersji MS Exchange 2013 i 2016 –  dokonanie upgrade do nowszej wersji

– użytkownikom MS Exchange w wersji powyżej 2019  – zaplanowanie instalacji kolejnych CU zgodnie z półrocznym harmonogramem ich udostępniania.

 
Przedłuż wsparcie MS Exchange 2013 i 2016!

Jeżeli ktoś z was miał styczność z przedstawicielami Microsoft i brał udział w rozmowach o przyswojeniu Microsoft Teams w organizacji – na pewno spotkał się z określeniem change management, czyli właśnie zarządzania zmianą. Pytanie brzmi natomiast – co to dokładnie jest? Artykułów w Internecie na ten temat jest sporo i ciągle przybywa (wraz z popularyzacją tego określenia), ale często zaczynają one od części mocno teoretycznej, albo zbyt praktycznej. W tym, stosunkowo krótkim, artykule, chciałbym pokazać tzw. ‘core’ (podstawy) zarządzania zmianą, omówić jego połączenie właśnie z produktami Microsoft i w końcu odpowiedzieć na pytanie – czy bez tego da się w organizacji zaadoptować np. Microsoft Teams?
No dobra – zarządzanie zmianą… Skąd to?
Zacznę od nieco innej strony – kojarzycie pewnie zarządzanie projektami, co? Jest to podejście, które już na stałe przyjęło się w niemal każdej organizacji. Po pierwsze: istnieje “projekt” – przykładowo chcemy coś zbudować. W tym projekcie dysponujemy zasobami – ludźmi, materiałami itd. Następnie pod uwagę bierzemy dostępność tych zasobów, różne ceny etc. Na koniec zwracamy uwagę na etapy – jak budujemy dom, to nie zaczniemy od dachu 😊

Żeby miało to ręce i nogi – powstaje plan, którego staramy się trzymać i (mamy szczerą nadzieję) wszystko gra!

No i tutaj pojawia się właśnie nasz change management, jako uzupełnienie tradycyjnego modelu prowadzenia projektów. Zobaczcie – dostajecie licencję Microsoft Teams jako nowego narzędzia do komunikacji. Od strony IT – przypisujemy te licencje do użytkowników i instalujemy oprogramowanie (MOCNO spłycając proces :D). Czy to oznacza, że następnego dnia nasza efektywność w organizacji skoczy o 40%?

Aby tak faktycznie było, nasi użytkownicy muszą wiedzieć jak się poruszać w nowym środowisku, po co ono jest itp. itd. Nawiążę do tradycyjnego powiedzenia, że jak dacie człowiekowi rybę to nie będzie głodny do końca dnia, ale jak mu dacie wędkę, to nie będzie głodny do końca życia.

Osobiście się z tym nie zgadzam, bo wychodzimy z założenia (często mylnego), że nasz gość będzie umiał tą wędką się posługiwać, a nie np. rzucać nią w ryby z nadzieją, że trafi…

A co w momencie, kiedy tutaj mówimy o bardziej skomplikowanej „wędce”, jak np. Microsoft Teams?
Metodyka Prosci® i model ADKAR
Właśnie ze względu na wcześniejszy scenariusz, do wdrażania nowych technologii, procesów itp. powinniśmy rozważyć zarządzanie zmianą (a najlepiej uwzględnić, a nie ‘rozważyć’ 😉). Czyli konkretnie – powinniśmy uwzględnić LUDZI.

Metodologia, która jest polecana przez Microsoft (i przeze mnie, z racji na mój certyfikat 😉) to Prosci® – skalowalne podejście, wypracowane na podstawie ponad 20 lat badań.

Ja dzisiaj chciałbym wam przekazać drobny wycinek jakim jest model ADKAR. Jest to jedna z podstaw całego zarządzania zmianą, akronim, którego każda litera oznacza kolejny ‘etap’ wymagany do prawidłowego wdrożenia i zaadaptowania zmian.

Po kolei – pierwsza A to Awareness, czyli świadomość. Będę cały czas posługiwał się tymi naszymi nieszczęsnymi Teamsami jako przykład 😊

Co mamy na myśli, mówiąc o świadomości – chodzi de facto o to, aby nasi użytkownicy wiedzieli, dlaczego w ogóle te Teamsy wprowadzamy. Co to w ogóle za apka (‘tims? A na co to komu?), dlaczego nagle mamy z niej korzystać (‘przecież nasze obecne gadu-gadu świetnie działa!’), skąd potrzeba do zmiany?

Możemy o to zadbać na szereg różnych sposobów – odpowiednia informacja przesłana do wszystkich, wsparcie ze strony menadżerów średniego szczebla, organizowanie sesji pytań i zgłaszania wątpliwości od strony waszych użytkowników.

ALE – to nie wystarczy. Nawet jeżeli ktoś mnie przekona, że mój wypracowany sposób działania MOŻNA usprawnić i dlatego wpada coś nowego, to wcale nie znaczy, że ja teraz będę chciał to zrobić. Pojawia nam się druga literka, czyli D – Desire (chęć).

Musimy zachęcić naszych użytkowników do tejże zmiany, do spróbowania nowej technologii. Może marchewką – np. gamifikacją, albo jakimiś nagrodami czy przywilejami, raczej stroni się od metody ‘kija’ 😉 Pokazując, że z wykorzystaniem nowego podejścia uciążliwe zadania nagle stają się banalnie proste, nasi użytkownicy sami będą chcieli tego spróbować!

I tutaj pojawiają się kolejne dwie literki – K i drugie A. K odnosi się do Knowledge (wiedza), jak możemy się zmienić. Przykładowo – mamy tutaj taką jedną fajną aplikację Microsoft Teams, gdzie, jeżeli zaczniecie wymieniać się danymi w ramach zespołu, to tworzycie wspólne repozytorium na pliki, w ogóle to możecie pracować i edytować te pliki naraz w kilka osób, a każda zmiana jest zapisywana w historii wersji.

Wiedza natomiast nie wystarcza, bo potrzebne są jeszcze umiejętności – stąd A od Ability. Nasi pracownicy muszą wiedzieć jak wykorzystać tą aplikację, jak zaadoptować procesy, jak zmienić swoje przyzwyczajenia.

I wydaje mi się, że jedna z najważniejszych literek na sam koniec – R od Reinforcement (wzmocnienie, wsparcie, utrzymanie). Zmiana jest procesem – dlatego na bieżąco musimy naszym użytkownikom pomagać, rozwijać, wspierać w całym procesie. Pojawiają się nowi pracownicy, nowe aplikacje etc. – trzeba to uwzględnić 😊 Ważne, aby nie stracić zapału na początku!

 
Oferta Adoption and Change Management z Integrity Partners i Silfra Consulting!
W odpowiedzi na zapotrzebowanie rynku i wspólnie z Silfra Consulting – ekspertami jakich mało w dziedzinie zarządzania zmianą, przygotowaliśmy dedykowaną ofertę do Adopcji Microsoft 365!

Z wcześniejszych paragrafów powinniście już wiedzieć (tak +/- 😉) po co jest zarządzanie zmianą, po co jest adopcja, co to oznacza i z czego się składa. Natomiast sam proces oczywiście ma duuużo więcej elementów!

Potrzebne jest odpowiednie dobranie sponsorów, przygotowanie ambasadorów czy też ‘championów’ zarówno zmiany jak i od strony technologii, przygotowanie planu komunikacji, planu szkoleń, przeprowadzenie tychże warsztatów i tak dalej i tak dalej… Porządne podejście do adopcji jest naprawdę rozbudowane!

Z tego też powodu przygotowaliśmy modułową ofertę, dzięki której każdy klient ma możliwość wyboru jak głęboko chce wejść w temat adopcji Microsoft 365 i zarządzania zmianą. Nie ma problemu, jeżeli chcecie zacząć od podstawowych szkoleń, a dopiero potem przejść do pełnego wdrożenia. Nie ma również problemu, jeżeli zależy wam na nieco bardziej rozbudowanym podejściu, ale może jeszcze nie pełnym, aby nieco zoptymalizować koszty. A dla chętnych – możemy iść całościowo 😉!

Zachęcam do kontaktu, abyśmy mogli przedstawić co kryje się za poszczególnymi modułami, wyjaśnić wybrane elementy i wskazać jak wszystko ze sobą się łączy. Najważniejsza rzecz – to od was zależy (wraz z naszą pomocą!) w jaki sposób adopcja Microsoft 365 będzie wyglądała w waszej organizacji! Podejście 0/1 w tym kontekście absolutnie się nie sprawdza 😉

Opisy modułów i całej oferty znajdziecie pod poniższym linkiem – pamiętajcie proszę tylko, że jeżeli coś jest niejasne – my czekamy na kontakt, aby wszystko przedstawić krok po kroku!

Adoption and Change Management – Zarządzanie zmianą w organizacji (integritypartners.pl)

Szczególnie zwróćcie uwagę na ulotkę, która zawiera krótki opis każdego z dostępnych modułów!

Oferta i opis modułów w PDF

Nowa, przejrzysta, intuicyjna – taka właśnie jest nowa strona internetowa Integrity Partners. W specjalnych zakładkach znajdziesz naszą historię, produkty Cloud, Cyber Security oraz Managed Services, fachowe artykuły, zaproszenia na webinary i wiele więcej. Poniżej znajduje się krótka instrukcja, jak poruszać się po naszym nowym serwisie. Zapraszamy!
Strona główna Integrity Partners – sprawdź wszystkie opcje
Na stronie głównej wprowadziliśmy nawigację, pozwalającą wybrać obszar, którym jesteś aktualnie zainteresowany. Zachęcamy do przetestowania i sprawdzenia wszystkich animacji, które pojawiają się wraz z przemieszczaniem się po slajderach.
W prawym górnym rogu też mamy kilka ciekawych funkcjonalności. Przede wszystkim to wyszukiwarka, dzięki której szybko znajdziesz każdą treść w naszym serwisie. Klikając w ikonę flagi, możesz przełączyć się na wersję anglojęzyczną. Trzy poziome kreski to popularny na stronach internetowych hamburger menu. Po kliknięciu rozwinie się menu strony, z poziomu której możemy szybko przenieść się do produktów Cloud, ofert pracy, czy referencji.

Hamburger menu – wszystko w jednym miejscu
Z tego poziomu możesz dostać się praktycznie w każdy zakątek naszej strony internetowej. W sekcji „Rozwiązania” znajdziesz wszystkie produkty i usługi, jakie oferujemy z podziałem na kategorie. Znajdziesz tu również klikalny baner promujący artykuł, rozwiązanie lub ofertę pracy.
Pewnie zauważyłeś czerwone kółka z numerami. To informacja, że na konkretnej podstronie znajduje się nowy materiał.

Nawigacja na podstronach – znajdź to czego szukasz
Tak jak na stronie głównej, tak i na poszczególnych podstronach dodaliśmy intuicyjną nawigację po stronie. Łatwo możesz przejść do sekcji i zobaczyć nasze produkty, obszary specjalizacji, schemat pracy z Klientem, nagrody i inne istotne informacje.

Formularze kontaktowe – pozostańmy w kontakcie
Na każdej podstronie umieściliśmy formularz kontaktowy, by dać Ci możliwość szybkiego kontaktu z nami. Jeśli uznasz po przeczytaniu opisu usługi, że jesteś zainteresowany wdrożeniem jej w swojej organizacji, nie musisz już szukać adresu mailowego do nas. Wystarczy, że wypełnisz formularz znajdujący się na stronie, na której aktualnie się znajdujesz, a my zajmiemy się resztą.
Oprócz formularzy kontaktowych dajemy Ci możliwość porozmawiania z nami na chacie. W prawym dolnym rogu znajdziesz ikonkę wiadomości. Po kliknięciu w nią możesz rozpocząć konwersację z naszym konsultantem.

Produkty Cloud i CyberSecurity – filtruj i wybierz
To chyba najbardziej rozbudowana opcja na naszej stronie internetowej. Posegmentowaliśmy wszystkie nasze produkty i usługi na kategorie i podkategorie, tak by łatwo było znaleźć interesujące Cię rozwiązanie. Przejdź do strony z produktami Cloud lub CyberSecurity, wybierz kategorię i wyszukaj produkt, który spełnia Twoje oczekiwania.

Aktualności – artykuły eksperckie pod ręką
W zakładce Aktualności umieściliśmy filtry z kategoriami i tagami do każdego artykułu. Jeśli chcesz zagłębić się w lekturę artykułów na temat Microsoft Defender, wystarczy przefiltorwać wszystkie materiały (np. kategoria Cloud i tag Microsoft Defender). Miłej lektury!

Webinary – zarejestruj się i poznaj nowe rozwiązania
W zakładce Webinary znajdziesz wszystkie nadchodzące warsztaty online, jak i te dostępne w opcji VOD. Jeśli jeszcze nie uczestniczyłeś w naszych webinarach, koniecznie zarejestruj się (lub pobierz nagranie).

Dziękujemy, że dołączyłeś do naszej ewolucji!
Mamy nadzieję, że będziesz często odwiedzał naszą nową stronę internetową. Zapewniamy dużą dawkę wiedzy merytorycznej (artykuły eksperckie i webinary) oraz szeroki wachlarz produktów i usług.
A teraz do dzieła! Sprawdź stronę Integrity Partners!

Wzrost cyberataków na kluczowe instytucje
Rosnące napięcia geopolityczne doprowadziły do ​​eskalacji ryzyka cyberataków.

Codziennie słyszymy o masowych blokadach stron rządowych, dużych przedsiębiorstw, czy nawet serwisów streamingowych, które przestają funkcjonować pod naporem ataków DDoS.

FBI i Departament Bezpieczeństwa Wewnętrznego USA szczególnie ostrzegają przed cyberatakami na krytyczną infrastrukturę narodową.

W tym artykule przedstawimy charakterystykę poważnych zagrożeń, które pojawiały się w ostatnim czasie, a także odpowiemy na pytanie jak skutecznie ochronić przedsiębiorstwo.
Rodzaje cyberzagrożeń
„HermeticWiper”

Już w 2017 roku pojawiło się jedno z poważniejszych zagrożeń, którym jest złośliwe oprogramowanie typu wiper, takie jak NotPetya stworzone przez rosyjskie służby wywiadowcze do wykorzystania przeciwko celom na Ukrainie. Podobne oprogramowanie zostało wykorzystane także w styczniu 2022 r. i ponownie 23 lutego, wraz z najnowszą odmianą nazwaną przez badaczy z firmy Symantec i ESET jako „HermeticWiper”.

„HermeticWiper” ma charakterystykę i zachowanie ransomware, ale idzie o krok dalej i niszczy systemy zamiast szyfrować dane dla okupu. Oprogramowanie to zostało wykorzystane na kilka godzin przed rosyjskim atakiem na Ukrainę, prawdopodobnie po to, aby utrudnić działania ukraińskich firm i instytucji w pierwszych godzinach ataku.
Ataki ransomware za pośrednictwem poczty e-mail
Typowy wektor dostarczenia ransomware to poczta e-mail lub wykorzystanie podatnej na ataki infrastruktury internetowej. Różne źródła podają, że infekcji HermeticWiper dokonano wykorzystując znane podatności w Exchange kilka miesięcy wcześniej, ale dokładny wektor ataku mógł być różny dla poszczególnych instytucji.

W przypadku udanych ataków ransomware za pośrednictwem poczty e-mail zazwyczaj mamy później do czynienia z połączeniami z nietypowym adresem IP/domeną lub pobraniem złośliwego pliku.

Podczas wojny hybrydowej celem ataków często staje się infrastruktura krytyczna, która pełni szczególną rolę dla obywateli. Atakowane mogą być:

infrastruktura państwa agresora,
infrastruktura państwa, które się broni
infrastruktura krajów, które pośrednio lub bezpośrednio wspierają jedną ze stron konfliktu.

Charakterystyka sieci przemysłowych czyni je szczególnie podatnymi na ataki. Oprogramowanie w sieciach tego typu jest rzadko aktualizowane, ze względu na możliwy przestój w działaniu systemów, co wiąże się z dodatkowymi stratami. Niestety często też zapomina się w sieciach tego typu o odpowiedniej segmentacji a nawet oddzieleniu tej sieci od klasycznej sieci IT. W konsekwencji włamanie do sieci IT często skutkuje także zdobyciem przyczółku przez atakującego również w sieci przemysłowej.
Widoczność i identyfikacja zagrożeń
Do wykrywania tego typu zagrożeń dobrym rozwiązaniem są systemy wykrywające anomalie, które są w stanie zareagować na zagrożenia typu zero-day nawet, jeśli nie ma dostępnych sygnatur, które pozwoliłyby na ich wykrycie.

Taka aktywność może być zwykle zidentyfikowana przez rozwiązania typu Network Behavior Anomaly Detection lub EDR. Następnie wykrywane są zazwyczaj zachowania typu lateral movement oraz potencjalnie eksfiltracja danych na zewnątrz organizacji. Samo usuwanie danych może być trudniejsze do wykrycia, jeśli wykonywane jest lokalnie na zainfekowanym systemie.
Sieci przemysłowe
Klasyczne rozwiązania cyberbezpieczeństwa dla IT są niewystarczające dla sieci przemysłowych, z uwagi na ich odmienną specyfikę. Dlatego też najlepiej jest stosować rozwiązania specjalnie dedykowane do takich celów. Zabezpieczenie środowiska OT powinno obejmować kilka obszarów, w tym:

Widoczność wszystkich urządzeń przemysłowych;
Zarządzanie aktualizacjami;
Stosowanie odpowiednich zabezpieczeń, dedykowanych dla sieci OT np. Firewalle, IPS, IDS;
Monitorowanie ruchu sieciowego wraz ze wsparciem obsługi protokołów charakterystycznych dla tej sieci;
Segmentację sieci;
Analizę ryzyka wpływu ataków na infrastrukturę przemysłową;
Monitorowanie incydentów oraz procedury reagowania na zagrożeń;
Świadomość zagrożeń.

W efekcie wdrożenie kompletnego procesu i technologii zabezpieczających środowiska OT jest niezwykle czasochłonnym i skomplikowanym procesem. Stąd, w pierwszej kolejności warto rozważyć narzędzia, które w czasie rzeczywistym monitorują anomalie i potrafią zablokować atak. Takie rozwiązania będą frontem obrony przed hakerami i zminimalizują ryzyko wystąpienia incydentu, a co za tym idzie, często katastrofalnych jego skutków.

Proaktywne blokowanie zagrożeń w czasie rzeczywistym

Ostatnio, w odwecie na rosyjski atak na Ukrainę, grupa haktywistów „Anonymous” przeprowadziła kilka operacji mających na celu tzw. defacement i zaburzenie działania rosyjskiej infrastruktury przemysłowej. Jednym z udanych ataków, o którym ostatnio jest głośno jest włamanie do systemu kontroli dystrybucji gazu należącego do rosyjskiej firmy Tvingo Telecom. Po uzyskaniu zdalnego dostępu do sterownika grupa zmodyfikowała parametry pracy systemu, doprowadzając do wzrostu ciśnienia w instalacji i niemal doprowadzając do eksplozji. Przed eksplozją instalacji uchroniła podobno szybka reakcja operatora na miejscu zdarzenia.

Powyższy przykład pokazuje jak ważne jest proaktywne blokowanie zagrożeń w czasie rzeczywistym. Niedoskonałości zabezpieczeń sieci przemysłowych mogą doprowadzić nie tylko do pojedynczych zakłóceń przemysłu, ale też katastrofalnych skutków np. w postaci całkowitego wyłączenia procesu dostarczania energii elektrycznej (“blackout”) czy zniszczeń wynikających z zakłócenia działania urządzeń. A skutki takich ataków bezpośrednio mogą przełożyć się na zdolność Państwa do odpierania ataków nieprzyjaciela.

Powyższe zagrożenia powinny, a nawet muszą być wykrywane narzędziami monitorującymi anomalie w sieci. Z racji swojej charakterystyki sieci OT są raczej statyczne, więc każdy rodzaj nietypowej zmiany może zostać wykryty przez to narzędzie.
3. stopień alarmowy CRP na terytorium całego kraju przedłużony
Mimo, że głównym celem tego typu działań na ten moment jest Ukraina, to również polskie firmy i instytucje mogą być celem tego typu ataków, szczególnie w związku z deklaracją udzielenia wsparcia Ukrainie. Dlatego też w najbliższym czasie należy szczególną uwagę zwrócić na bezpieczeństwo naszej organizacji i zapewnić jej ochronę przynajmniej w podstawowym zakresie.

Warto także nadmienić, że w ostatnim czasie zostało podpisane zarządzenie przedłużające obowiązywanie trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terytorium całego kraju do 15 marca 2022 r. do godz. 23:59. Ostrzeżenie zostało wprowadzone w celu przeciwdziałania zagrożeniom w cyberprzestrzeni.

Jeśli Twoja firma padła ofiarą ataku lub potrzebuje wsparcia w zabezpieczeniu infrastruktury skontaktuj się z nami.

Zgodnie z zapowiedziami z minionego Ignite 2021, Microsoft udostępnia w wersji preview kolejny produkt z rodziny bezpieczeństwa – Microsoft Defender for Business. Młodszy brat znanego już od kilku lat systemu klasy EDR, Microsoft Defender for Endpoint, oferuje rozwiązanie klasy Enterprise dla organizacji do 300 użytkowników, wprowadzając jednocześnie zmiany w licencjonowaniu i pozycjonowaniu produktów z rodziny Defender.

To, jakie są obecnie wersje systemu Defender dla stacji roboczych (w zasadzie końcówek, ponieważ serwery także mieszczą się w tym zakresie), wymaga pewnego uporządkowania. Najlepiej te dane prezentuje poniższa tabela:

(2) These capabilities are optimized for small and medium-sized businesses.

Szczegółowe porównanie wersji Defendera znajduje się na witrynie Compare Microsoft Defender for Business to Microsoft Defender for Endpoint Plans 1 and 2

Z powyższego widać, że Defender for Business jest idealnym rozwiązaniem także dla dużych organizacji, które niekoniecznie są w stanie wykorzystać narzędzia do huntingu, jednak licencjonowanie mówi wprost – MDB jest dla organizacji poniżej 300 użytkowników. Szczegóły cennika nie są jeszcze znane, jednak patrząc na ofertę rozwiązań Microsoft M365 Business Premium vs E3/E5 można być praktycznie pewnym że będzie to świetna propozycja dla wielu firm i instytucji.

Dodatkowe elementy, które zapewnia nam MDB, to między innymi web content filtering oraz zarządzanie firewallem systemowym. Te funkcje zdecydowanie ułatwiają kompleksowe zaadresowanie potrzeb w zakresie zabezpieczenia stacji. Same stacje, czy to Windows 10/11, czy też macOS, Linux, a nawet urządzenia mobilne Android oraz iOS, podłączymy do MDB bez najmniejszego problemu.

O zaletach systemów EDR nie trzeba nikogo przekonywać, a dodatkowym motorem do wdrożenia MDB jest możliwość rezygnacji z wykorzystywanego rozwiązania tradycyjnie nazywanego systemem antywirusowym na rzecz wbudowanego w Win10/11 Windows Defendera. Prostota wdrożenia za pomocą Microsoft Endpoint Managera na pewno zostanie zauważona przez organizacje z niego korzystające.

Może zabrzmi to przewrotnie, ale systemy EDR można poniekąd traktować jako bezobsługowe. Mechanizmy AIR (Automated investigation and response) mogą reagować automatycznie, usuwając zagrożenie i „cofając” wszystkie wyrządzone szkody. w ramach modułu EDR pozwala na wyśledzenie każdego zdarzenia, które się pojawiło od momentu rozpoczęcia incydentu, aż do jego ujawnienia i zatrzymania. Bezpieczeństwo wprost z chmury!

Jak uruchomić nowego Defendera for Business?
Dla firm zainteresowanych przetestowaniem rozwiązania MDB mamy propozycję specjalną. Integrity Partners jako partner Microsoft specjalizujący się we wdrożeniach Modern Workplace oraz Security oferuje swoim klientom możliwość włączenia licencji próbnych narzędzia Defender for Business. Liczba licencji jest ograniczona, zachęcamy do kontaktu z nami – i przeprowadzenia 90 dniowego testu opisanych funkcji we własnym środowisku.*

[*] Uwaga: preview nie będzie widoczny dla klientów posiadających wyższe pakiety usług, jak np. Defender for Endpoint Plan 2

W tym artykule, poznasz kompleksowe podejście do tematu monitorowania bezpieczeństwa usług biznesowych oraz infrastruktury krytycznej, a co za tym idzie – podłączania systemów źródłowych do systemu SIEM (ang. Security Information and Event Management System). Co to oznacza?

Podczas planowania polityki monitorowania systemów i usług powinniśmy pamiętać, by obejmowało ono  całą ścieżkę przetwarzania informacji. Tylko kompleksowe, wielopoziomowe podejście może odpowiednio wspomóc nas w monitorowaniu i wykrywaniu incydentów.  

Oczywiście, żaden system nie zagwarantuje nam 100% bezpieczeństwa. Rozwój zagrożeń jest obecnie tak szybki, że potrafią one ewoluować już z dnia na dzień. Dobrze przemyślane wdrożenie – w szczególności podłączenie właściwych systemów źródłowych (z odpowiednim poziomem logowania zdarzeń) zwiększy prawdopodobieństwo na detekcję niepożądanych zdarzeń. Wyznacznikiem do monitorowania usług są obowiązujące przepisy prawa, normy czy standardy. Należy również pamiętać, że najlepsze praktyki w zakresie wdrożenia polityki bezpieczeństwa w organizacjach, zobowiązują do monitorowania i wykrywania incydentów bezpieczeństwa, jak również ich późniejszej obsługi.

W tym artykule znajdziesz informacje na temat podejścia do podłączania systemów źródłowych z punktu widzenia zespołu planującego wdrożenie monitorowania usługi biznesowej:

Jak przeprowadzić proces podłączenia systemów?
Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?

Proces podłączania systemów źródłowych do systemu SIEM

Załóżmy, że posiadamy już zamkniętą listę usług biznesowych, z podziałem na ich krytyczność, przypisanych właścicieli oraz osoby merytoryczne (czytaj – użytkownicy oraz administratorzy aplikacji). Nasze prace związane z monitorowaniem usługi biznesowej powinniśmy rozpocząć od inwentaryzacji systemów biorących udział w przetwarzaniu informacji przez tą usługę. Zależnie od organizacji, możemy je podzielić zgodnie z poniższą tabelą:

Jest to tylko przykład. Generalnie chodzi o to, abyśmy mieli pełną świadomość, jakie elementy naszej infrastruktury „biorą” udział w przetwarzaniu informacji.

Z punktu widzenia bezpieczeństwa wszystkie elementy (rodzaje systemów) mogą mieć wpływ na działanie takiej usługi. Dlatego istotne jest, aby zbierać/przesyłać zdarzenia do systemu SIEM, ze wszystkich warstw systemu, nie punktowo lub jednowymiarowo. Mając „pod ręką” zdarzenia z różnych systemów mamy możliwość ich korelacji co pozwoli na szybsze wykrycie zdarzenia/incydentu bezpieczeństwa oraz adekwatną reakcję. Jednocześnie należy pamiętać o właściwym zabezpieczeniu tych systemów przed zagrożeniami zewnętrznymi oraz wewnętrznymi (np. regularne aktualizacje, hardening). Niniejszy artykuł nie obejmuje swoim zakresem sposobów zabezpieczenia systemów. Patrząc na powyższą tabelę, łatwo dojść do wniosku, że systemy Infrastrukturalne oraz Bezpieczeństwa należy podłączyć do systemu SIEM, ponieważ należą do części wspólnej dla większości monitorowanych aplikacji (systemów biznesowych). Oczywiście wspominam w tym miejscu o klasycznej infrastrukturze, niewchodzącej w skład infrastruktury OT, która powinna być w jakiś sposób odizolowana.

Zatem, w pierwszej kolejności powinniśmy nasze prace rozpocząć od podłączenia systemów Infrastrukturalnych oraz Bezpieczeństwa. Podłączając każdy system powinniśmy się kierować co najmniej następującymi wytycznymi:

Ustalić z administratorem i skonfigurować właściwy poziom logowania. Właściwy, to znaczy taki, który pozwoli nam stworzyć potrzebne reguły bezpieczeństwa. Można zacząć od standardowych polityk. W kolejnym etapie wdrożenia można zmodyfikować niniejszy zakres.

Przykłady:

– Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;-

– Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa).  Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie,  czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.

Podłączając systemy Windows na początek przekazujemy dzienniki security. Już w oparciu o te zdarzenia jesteśmy w stanie stworzyć wiele reguł bezpieczeństwa, które podwyższą poziom bezpieczeństwa w organizacji;
Podłączając systemy Firewall zwróćmy uwagę, które połączenia mają włączone logowanie. Czy będziemy mieć informacje na temat wszystkich połączeń przychodzących od strony sieci Internet, czy tylko te, które są blokowane? Wszystko musimy dokładnie przeanalizować wspólnie z administratorem systemu i wspólnie powinniśmy podjąć decyzję, zgodną z naszą Polityką Bezpieczeństwa. Musimy „wyważyć” przede wszystkim dwie kwestie, tj. ilość odbieranych EPS (zdarzeń na sekundę) przez system SIEM a wykorzystanie tych zdarzeń dla stworzenia tzw. Use Cases (przypadków użycia/scenariuszy bezpieczeństwa).  Przecież nie sposób jest włączyć logowanie dla wszystkich lub większości połączeń. Należy sobie również postawić pytanie,  czy wykorzystamy takie zdarzenia na etapie tworzenia przypadków użycia? Druga kwestia to ograniczenie w postaci licencji, która pozwala na przetwarzanie określonej ilości zdarzeń np. w ciągu doby.
Połączenia z systemów źródłowych do systemu SIEM i z powrotem, na potrzeby przekazania zdarzeń powinny być szyfrowane przy wykorzystaniu protokołów oraz algorytmów uznanych powszechnie za bezpieczne.
W warstwie transportowej zdarzenia powinny być przesyłane za pomocą protokołu TCP. Zapewni to wyższą niezawodność w transporcie logów do systemu SIEM, niż protokół UDP. Podejmując decyzję wysyłania logów za pomocą protokołu UDP (czytaj – mniejszy narzut ruchu sieciowego), akceptujemy większe ryzyko niedostarczenia pewnej ilości logów, chociażby z powodu krótkiej przerwy w działaniu sieci.
Dla systemów zlokalizowanych w strefach „mniej zaufanych”, np. DMZ, system SIEM powinien być tak skonfigurowany, aby zdarzenia z tych segmentów były pobierane z sieci LAN (czytaj z LAN do DMZ). Nigdy w odwrotną stronę, czyli ruch sieciowy z DMZ do LAN, ponieważ w ten sposób możemy sami ułatwić „ścieżkę” dostępu do systemów zlokalizowanych wewnątrz naszej sieci potencjalnemu atakującemu.
Należy stosować różne, dedykowane konta serwisowe na potrzeby pobierania zdarzeń, z poszczególnych typów systemów. Jeżeli jesteśmy zmuszeni zapisać poświadczenia w pliku w postaci niezaszyfrowanej, należy ograniczyć uprawnienia do niezbędnego minimum.
Przeanalizować logi pod kątem anonimizacji wybranych kategorii zdarzeń. Wiele systemów potrafi zanonimizować wybrane wartości pola w zdarzeniu. Jeżeli istnieje uzasadniona potrzeba „ukrycia” pewnych informacji w myśl zasady minimalizacji przetwarzanych informacji, system SIEM powinien być w ten sposób skonfigurowany. Przykładowymi informacjami, które mogłyby być poddane zanonimizowaniu będą: numery kart kredytowych, dane osobowe, hasła. Wszystko zależy od kontekstu przetwarzanych informacji i potrzeby utworzenia scenariuszy bezpieczeństwa.
Skonfigurować system SIEM w zakresie monitorowania systemów źródłowych pod kątem odbierania logów. Administratorzy systemu powinni być powiadamiani w sytuacji gdy system źródłowy przestał przesyłać zdarzenia.

Posiadając „podłączone” do SIEM-a (skonfigurowane do przekazywania logów) systemy infrastrukturalne oraz bezpieczeństwa, możemy rozpocząć konfigurację podłączeniową systemów aplikacyjnych. Oczywiście proces podłączenia systemu aplikacyjnego zależy od jego możliwości oraz zdolności jakie daje system SIEM.

Ważnym elementem jest rozmowa z osobą z ramienia właściciela systemu. To zazwyczaj użytkownik/administrator ma największą wiedzę w organizacji, zarówno od strony możliwości podłączeniowej aplikacji, ale również, co w systemie można nazwać normalnym zachowaniem, a co anomalią/zdarzeniem/incydentem. Na tej podstawie administrator systemu SIEM powinien wybrać optymalną metodę podłączenia systemu.

W kolejnej fazie wdrożenia, analityk we współpracy z administratorem i/lub użytkownikiem aplikacji powinni uzgodnić scenariusze bezpieczeństwa.

Kolejnym istotnym elementem naszych czynności powinno być upewnienie się, że systemy bezpieczeństwa służące do wykrywania incydentów (takie jak IPS/IDS, WAF) poddają inspekcji cały ruch sieciowy (czytaj – istnieje potrzeba deszyfracji ruchu) kierowany z/do aplikacji. Tylko w ten sposób możemy przekazać z systemów bezpieczeństwa do systemu SIEM, wszystkie informacje o wykrytych incydentach.

Na jakie elementy warto zwrócić uwagę podczas konfigurowania systemu SIEM?

               W początkowej fazie wdrożenia systemu warto wziąć pod uwagę kilka istotnych elementów, które powinny zostać przeanalizowane, następnie wykonane w systemie. Chodzi przede wszystkim o właściwą konfigurację, która zapewni odpowiednie działanie systemu, które przełożyć możemy na główne korzyści funkcjonowania naszego SIEM-a.

Integracja z innymi systemami

Poniższa lista systemów ma charakter przykładowy. Każda organizacja zależnie od potrzeb powinna przeanalizować to indywidualnie i podjąć właściwą decyzję w zakresie integracji. Spora część poniższych zaleceń może wydawać się oczywista. Jednak dosyć często można zauważyć, integrację z systemami z pominięciem pewnych czynności. To właśnie kompleksowe podejście zwiększa bezpieczeństwo naszego systemu/organizacji.

Dla wysyłania powiadomień, potrzebna jest integracja z systemem pocztowym. Do tego celu warto wykorzystać uwierzytelnianie dedykowanym użytkownikiem. Pamiętajmy aby nie pozostawić serwerów tzw. Open Relay (niezabezpieczony serwer przed nieautoryzowanym wykorzystaniem). Ważne jest, aby komunikacja z takim systemem była szyfrowana.
Do uwierzytelniania warto wykorzystać usługę katalogową (np. Active Directory), z zaimplementowanym szyfrowaniem komunikacji.
Synchronizacja czasu to podstawowy element działania każdego systemu, dlatego SIEM powinien być zintegrowany z serwerem czasu w każdej organizacji.
Zależnie od naszej polityki backupu może być konieczna integracja z systemem backupu. Zatem takie wymaganie może wiązać się z instalacją agenta na każdym z systemów operacyjnych naszego SIEM-a. Odnośnie instalacji na wirtualnych hostach, raczej nie powinniśmy mieć większych problemów, ale z instalacją na tzw. fizycznych appliance-ach powinniśmy być ostrożni. Taki „gotowy”, fizyczny appliance, posiada system operacyjny przygotowany przez producenta. Agent backupu może wymagać instalacji dodatkowych pakietów. Pamiętajmy, że podczas procesu aktualizacji SIEM-a, będziemy zmuszeni przeanalizować tą zależność, aby nie mieć problemów z przeprowadzeniem aktualizacji systemu. Może być potrzeba podmontowania dodatkowego repozytorium, z którego system będzie musiał pobrać nowsze wersje pakietów dla agenta backup. Inne rozwiązanie to odinstalowanie wcześniej zainstalowanych dodatkowych pakietów, aktualizacja systemu i finalnie zainstalowanie nowych pakietów agenta.
Posiadając system Help Desk, który pełni rolę systemu zgłoszeń/incydentów, warto wykonać integrację z systemem SIEM, który przekaże informacje w zakresie wystąpienia określonego incydentu. Niniejsza integracja pozwoli nam zautomatyzować pewną część procesu zarządzania incydentami (np. zgłoszenie będzie utworzone w trybie automatycznym oraz przydzielone właściwej grupie na 1. linii wsparcia).
Wiele organizacji integruje swoje SIEM-y z platformami, które dostarczają informacje na temat wskaźników włamań tzw. IOC (ang. Indicator of compromise). Systematycznie aktualizowane i pobierane przez system SIEM, są porównywane z wartościami tej samej kategorii, znajdujących się w zdarzeniach z systemów źródłowych. W ten sposób można znaleźć np. potwierdzenie komunikacji hosta z naszej sieci, który komunikował się z adresem sklasyfikowanym jako „niebezpieczny”.

Retencja przechowywanych zdarzeń bezpieczeństwa

Długość okresu przechowywania zdarzeń bezpieczeństwa powinien zależeć przede wszystkich od wymagań prawnych oraz do jakich zadań wykorzystujemy nasze logi. Wyjaśniając: możemy podzielić zdarzenia przetwarzane w systemie SIEM na co najmniej dwie kategorie (bieżące – to te które wyzwalają nam nowe incydenty, archiwalne – to zdarzenia, które wykorzystujemy do analizy, weryfikacji, potwierdzenia incydentów/zdarzeń, które wystąpiły jakiś czas temu). Jak się zapewne domyślacie, taki podział generuje nam konkretne wymagania, które powinniśmy uwzględnić.

Dla zdarzeń bieżących proponuję maksymalnie 1 miesiąc przechowywanych zdarzeń. Nic nie stoi na przeszkodzie aby było to również 14 dni. Tego typu logi powinny być przechowywane na szybszych dyskach (np. SSD), ze względu na potrzebę szybkiego dostępu do danych oraz jak najszybszą potrzebę przetwarzania danych, finalnie utworzenia właściwych incydentów. Przydzielając zasoby dyskowe, powinniśmy odpowiedzieć na kluczowe pytanie: W jakim okresie czasowym będziemy potrzebowali przeszukiwać tego typu zdarzenia według przyjętych kryteriów?
Dla zdarzeń archiwalnych zalecane są wolniejsze dyski, ponieważ nie potrzebujemy aż tak szybkiego dostępu do wyników wyszukiwania. Akceptujemy dłuższy okres oczekiwania na rezultaty przeszukiwania logów. Rozmiar przestrzeni powinniśmy określać przede wszystkim w oparciu o obowiązujące przepisy prawa. Bardzo często, wiele organizacji jest zobligowanych do przechowywania zdarzeń ze względu np. na potrzebę rozliczalności użytkowników lub potwierdzenia komunikacji z adresami zidentyfikowanymi jako niebezpieczne.
Spora część rozwiązań daje możliwość ustawienia retencji zależnie od rodzaju logów. Załóżmy, że zdarzenia z Firewall-i, z jakiegoś powodu musimy przechowywać 2 lata, a zdarzenia z systemów operacyjnych 1 rok.

Wykorzystanie najlepszych baz wiedzy na potrzeby stworzenia scenariuszy bezpieczeństwa

Aktualnie znaną i polecaną bazą wiedzy w tym zakresie jest MITRE ATT&CK (https://attack.mitre.org/), która bazuje na najlepszej wiedzy i doświadczeniu ekspertów bezpieczeństwa. Podstawą wyżej wymienionego framework-u są tzw. taktyki oraz techniki. Zależnie od stosowanej technologii mamy możliwość szybkiego zapoznania się z atakami oraz zaleceniami ochrony przed nimi. W odniesieniu do szczegółowych informacji publikowanych w MITRE ATTA&CK, można utworzyć bardzo dużo scenariuszy, które znacząco podniosą dojrzałość organizacji w zakresie wykrywania incydentów bezpieczeństwa.

Minimalizacja uprawnień

Bardzo często pomijany element całej układanki.  Powinniśmy zadbać o to, aby system albo usługa były uruchamiane i pracowały z uprawnieniami, które wystarczą do prawidłowej pracy. W tym przypadku powinniśmy kierować się zasadą minimalizacji. Jeśli producent wspiera taką konfigurację, to tak należy zrobić, czyli uruchamiać usługi z uprawnieniami dedykowanego użytkownika (nieposiadającego uprawnień administracyjnych). Nie konfigurujmy/uruchamiajmy usług naszego systemu z wykorzystaniem użytkowników typu root/Administrator. W przypadku ataku, wykorzystanie błędu w takiej usłudze o wiele bardziej narazi system na włamanie. Oczywiście tę czynność zazwyczaj wykonujemy na etapie instalacji lub początkowej konfiguracji. Możemy jednak to zrobić, nawet gdy „zastaliśmy” w taki sposób skonfigurowany system.

Lokalny Firewall

Po pierwsze, nie wyłączaj lokalnego Firewall-a! Dodawaj reguły tylko dla skonfigurowanych usług na potrzeby prawidłowej pracy systemu. Filtracja ruchu przez lokalny firewall to również ważna kwestia bezpieczeństwa systemu. Nie zapominajmy o tym. W pewnych okolicznościach może się okazać, że to była ostatnia deska ratunku.

Podsumowanie

               Temat monitorowania usługi biznesowej to dosyć złożony proces. W mojej ocenie najważniejsze elementy tego procesu to podłączenie właściwych systemów oraz integracja z właściwymi elementami infrastruktury organizacji. Tylko kompleksowe podejście do tematu zapewni nam odpowiedni poziom monitorowania usługi biznesowej za pomocą systemu SIEM. Z punktu widzenia zespołów bezpieczeństwa tego typu system, jest głównym narzędziem w codziennej pracy. Mając zdarzenia bezpieczeństwa w jednym systemie, zespoły wszystkich linii wsparcia mogą czerpać z niego wiele korzyści.

Wychodząc naprzeciw oczekiwaniom naszych Klientów, świadczymy wsparcie na każdym etapie wdrożenia systemów SIEM. Rozpoczynając od planowania samego wdrożenia, kończąc na implementacji scenariuszy bezpieczeństwa oraz integracji z systemami typu SOAR, aby zautomatyzować pewne procesy dla całej organizacji.

W styczniu 2022 r. państwa członkowskie Organizacji Narodów Zjednoczonych (ONZ) rozpoczynają negocjacje w sprawie nowej globalnej konwencji o cyberprzestępczości, uruchamiając wieloletni proces mający na celu zwiększenie międzynarodowych zdolności prawnych do zwalczania naruszeń w sieci.  
Wysiłki te wzbudziły jednak obawy, że nowy traktat może podważyć prawa człowieka lub istniejące systemy współpracy międzynarodowej. Mając to na uwadze, we wrześniu ubiegłego roku Cybersecurity Tech Accord połączył siły z CyberPeace Institute, by wspólnie opublikować manifest – Multistakeholder Manifesto on Cybercrime.
Chociaż traktat może potencjalnie poprawić współpracę międzynarodową, wiele osób obawia się, że inicjatywa ta stanowi okazję dla rządów do ograniczenia wolności słowa w Internecie, a także podważenia istniejących międzynarodowych instrumentów współpracy. Powyższe obawy wynikają z oświadczeń państw, które już przedłożyły swoje stanowisko w sprawie nowego traktatu.

 
Ponadto niektóre z tych oświadczeń nie zawierają żadnej wzmianki o tym, w jaki sposób nowa konwencja dotycząca cyberprzestępczości powinna uwzględniać prawa człowieka. Niepokojące jest to, że jednymi z najgłośniejszych zwolenników nowego traktatu o cyberprzestępczości są rządy, które od dawna przymykają oko na operacje cyberprzestępcze odbywające się w ich własnych granicach.
Podczas gdy część rządów złożyło wstępne oświadczenia, wiele innych nie określiło, co należy traktować priorytetowo i jak podejść do konstruowania nowego, międzynarodowego instrumentu walki z cyberprzestępczością. To właśnie dla tej społeczności państw opracowano Manifest Wielostronny, który został zatwierdzony przez ponad 60 podmiotów z całego społeczeństwa obywatelskiego, sektora prywatnego i liderów myśli.
Manifest wyjaśnia, że nowa konwencja dotycząca cyberprzestępczości nie może być negocjowana za zamkniętymi drzwiami i musi priorytetowo traktować potrzeby ofiar nad potrzebami państw. Ten proces musi być tak przejrzysty i oparty na konsensusie, jak to tylko możliwe, ponieważ jego wynik będzie miał poważne konsekwencje dla organizacji, osób i społeczeństwa.
W 2018 roku dołączyliśmy do globalnej inicjatywy Tech Accord jako sygnatariusz wspierający walkę z cyberprzestępczością. Tym samym zależy nam, by Manifest służył jako cenne źródło informacji dla rządów i interesariuszy na całym świecie. Chcemy zapewnić szeroki dostęp do dokumentu, dlatego również i my publikujemy na naszej stronie internetowej oryginalny tekst Manifestu. Mamy nadzieję, że wszystkie strony zaangażowane w proces negocjacji nowej konwencji w sprawie cyberprzestępczości zastanowią się i poprą przedstawione w niej zasady.
Pobierz Manifest w języku angielskim

Gartner opublikował raport Gartner Peer Insights 2021 „Voice of the Customer” for SIEM, w którym Micro Focus otrzymał wyróżnienie „Customers’ Choice” za platformę CyberRes ArcSight. Rozwiązanie otrzymało doskonałe oceny klientów i cieszyło się dużym zainteresowaniem wśród użytkowników.

Jesteśmy dumni z rosnącej popularności produktu naszego Partnera, z którym współpracujemy od 2021 roku. To dla nas potwierdzenie, że oferujemy naszym Klientom najlepsze narzędzia Cyber Security.

Raport Gartnera opiera się na opiniach zweryfikowanych klientów i partnerów z branży, którzy regularnie korzystają z ArcSight i innych rozwiązań SIEM. Materiał dostępny na platformie Gartner Peer Insights jest szczególnie pomocy osobom decyzyjnym, ponieważ jest odzwierciedleniem rzeczywistych doświadczeń i potrzeb użytkowników. Dzięki tym informacjom będzie zdecydowanie łatwiej podjąć decyzję odnośnie wykorzystania ArcSight w swojej organizacji.

Więcej o rozwiązaniu ArcSight

ArcSight Enterprise Security Manager wyposaża Twój zespół w potężny, konfigurowalny SIEM, który w czasie rzeczywistym wychwytuje zagrożenia oraz wbudowany SOAR dla Twojego Zespołu Obsługi Incydentów.

Nie można walczyć z zagrożeniami których nie widać, dlatego priorytetem jest odpowiednia forma wizualizacji danych. Elastyczność i wbudowane narzędzia ArcSight pozwalają na dokładną analizę bezpieczeństwa Twojej firmy.

Dzięki funkcjom takim jak agregacja, normalizacja i wzbogacanie danych, poprzez uzupełnienie ich o informacje zewnętrznych źródeł, analitycy zyskują niezawodne narzędzie do walki z cyberzagrożeniami.

Chcesz wdrożyć rozwiązanie ArcSight w swojej organizacji?

Skontaktuj się z nami!

Wraz z zakupem nowego auta, zwłaszcza wyższego segmentu zyskujemy niekiedy nie tylko rozbudowany system elektroniki, ale również swoiste centrum zarządzania samochodem.
Dzięki temu na przykład za pomocą smartfona jesteśmy w stanie dostosować temperaturę wnętrza zanim jeszcze do niego wsiądziemy. Możemy również uzyskać wiele informacji o stanie samochodu, liczbie przejechanych kilometrów, czy ostatnio pokonanej trasie z wykorzystaniem GPS. Parując urządzenie bluetooth z autem możemy o wiele łatwiej nawiązywać połączenia, odczytywać SMS, czy na nie odpisywać. Czy jednak tak duże nagromadzenie elektroniki nie wpływa negatywnie na przetwarzanie naszych danych? Czy auta mogą stać się celem hakerów?
Branża motoryzacyjna osiągnęła ważny kamień milowy w 2020 roku: ponad połowa samochodów sprzedawanych na całym świecie była standardowo wyposażona w łączność z Internetem. Nowoczesne pojazdy zaczęły przypominać mobilne superkomputery, z których każdy zawiera miliony linijek kodu i może przetwarzać ogromne ilości danych.
Branża motoryzacyjna podwaja ilość danych, aby poprawić wrażenia z jazdy i zarabiać na informacjach. Ale ta hiperłączność wiąże się ze znacznym ryzykiem. Na początku roku 2021 dwóch badaczy zaprezentowało, jak Tesla – i prawdopodobnie inne samochody – mogą zostać zhakowane zdalnie, bez interakcji użytkownika, za pomocą drona.

Strach pomyśleć co mogłoby się stać gdyby nie były to wyłącznie testy.
Największe domniemane zagrożenia bezpieczeństwa dla przemysłu motoryzacyjnego to:

Kradzież samochodu
Informacje o użytkowniku pozyskane w wyniku naruszenia danych
Zdalna manipulacja lub kontrola pracy samochodu, która zagraża bezpieczeństwu fizycznemu kierowców, pasażerów i innych osób na drodze

Mając na uwadze powyższe, chcieliśmy zbadać niektóre z największych wyzwań związanych z bezpieczeństwem, przed którymi stoją producenci samochodów w dającej się przewidzieć przyszłości.
Ryzyko łańcucha dostaw
Hakerzy zwracają uwagę na samochody z dostępem do Internetu. Mają wiele punktów wejścia, więc istnieje kilka sposobów na czerpanie korzyści z ataków. Od 2016 r. liczba cyberataków na pojazdy połączone z internetem wzrosła o prawie 100% rocznie.
Kradzież i zdalny rozruch o wiele prostsze
Jednym z celów wprowadzania lepszej technologii do samochodów jest uczynienie ich wygodniejszymi i bezpieczniejszymi przed kradzieżą. Przykładem jest przejście z kluczy fizycznych na karty, które wykorzystują nadajnik radiowy krótkiego zasięgu. Jednak dzisiaj wystarczy para gadżetów radiowych za 11 dolarów, aby zhakować kartę i ukraść samochód. Zdalny rozruch to kolejna funkcja, która jest coraz częściej wykorzystywana przez złodziei samochodów.
Hakowanie systemów bezpieczeństwa w podłączonych samochodach i dostępność tanich urządzeń do kradzieży, nawet tych wykonanych przy użyciu starych Nintendo Game Boys , oznacza, że ​​złodzieje mogą uzyskać dostęp do niemal każdego podłączonego samochodu, jaki tylko chcą. 
Naruszenia danych
Dzięki rozwoju technologii nowoczesne pojazdy mogą zbierać więcej danych osobowych o swoich użytkownikach – to nie tylko ułatwienie, ale również niebezpieczeństwo. Były dyrektor generalny Intela, Brian Krzanich, przewiduje że tylko jeden autonomiczny samochód zużyje 4000 GB danych dziennie. 
Niestety, różne tryby łączności takie jak:

Pojazd do sieci (V2N)
Pojazd do infrastruktury (V2I)
Pojazd do pojazdu (V2V)
Pojazd do chmury (V2C)
Pojazd do pieszego (V2P)
Pojazd do urządzenia (V2D)
Pojazd do sieci (V2G)

oraz przechowywanie informacji w niezabezpieczonych repozytoriach, to duża szansa na ich wykradzenie. Na przykład śledztwo Washington Post ujawniło, ile danych osobowych można wydobyć z używanego komputera informacyjno-rozrywkowego z Chevrolet. Ponieważ coraz więcej modeli jest dostarczanych z łącznością 4G lub 5G, hakerzy nie potrzebują nawet fizycznego dostępu do pojazdu, aby go infiltrować i wydobyć prywatne informacje.
 
Samochody wykonujące niepożądane czynności
Utopijna możliwość odebrania kontroli kierowcy przeniosła się z filmów akcji do świata rzeczywistego. Jednym z najbardziej znanych przykładów było to, że badacze włamywali się i wyłączali skrzynię biegów w Jeepie Cherokee, gdy jechał on na autostradzie z prędkością 70 mil na godzinę. To ostatecznie doprowadziło do tego, że Chrysler wycofał 1,4 miliona pojazdów. 
Zdalne przejmowanie funkcji systemu jest poważnym problemem dla pojazdów autonomicznych. Naukowcy wykazali, w jaki sposób zaawansowane systemy wspomagania jazdy (ADAS) w Tesli Model X mogą zostać oszukane, aby zmienić kierunek jazdy. By pojazdy podłączone do sieci osiągnęły swój pełny potencjał, producenci samochodów muszą przekonać organy regulacyjne i klientów, że są naprawdę bezpieczne.
Połączone aplikacje samochodowe
Aplikacje mobilne zastępujące karty to kolejny znaczący postęp, którego zaczynamy być świadkiem. Obecnie te aplikacje mogą wykonywać proste funkcje, takie jak odblokowywanie samochodu, po zaawansowane czynności, takie jak samodzielne parkowanie lub wzywanie samochodu. Wszystkie te funkcje wymagają przechowywania i przekazywania poufnych informacji z poziomu aplikacji. Dlatego zabezpieczenie danych w spoczynku i w ruchu ma kluczowe znaczenie dla zdobycia zaufania klientów.
Aby tak się stało, twórcy aplikacji muszą nadać najwyższy priorytet cyberbezpieczeństwu połączonego samochodu. Ale to nie jest takie proste, jak się wydaje. Posiadanie wystarczająco dużego wewnętrznego zespołu ds. bezpieczeństwa, aby utrzymać bezpieczeństwo aplikacji na wymaganym poziomie, może nie zawsze być realną opcją dla producentów samochodów.
Aplikacje są już trzecim najpopularniejszym wektorem ataków wykorzystywanym do infiltracji podłączonych samochodów. Wraz z rosnącą liczbą kradzieży aplikacje samochodowe mogą stać się jeszcze większym i lukratywnym celem.
Droga przed nami: lepsze bezpieczeństwo nowoczesnych, smart samochodów
Wzmocnienie cyberbezpieczeństwa samochodów połączonych do sieci i zabezpieczenie powiązanych aplikacji motoryzacyjnych przed włamaniem wymaga wielu technik blokowania i udaremniania wysiłków hakerów.
Firma Zimperium dysponuje narzędziami pozwalającymi chronić nie tylko wielkie koncerny, kody źródłowe i zaawansowane aplikacje, ale także nasze mobilne urządzenia wykorzystywane w różnego rodzaju organizacjach.
Zimperium oferuje jedyną ochronę w czasie rzeczywistym na urządzeniu opartą na uczeniu maszynowym. Rozwiązania Zimperium chronią mobilne punkty końcowe i aplikacje przeciwko atakom na urządzenia, sieć, phishing i złośliwe aplikacje.
Zimperium zapewnia jedyne rozwiązania MTD (Mobile Threat Defense), które:

zapewniają ochronę przed atakami rozpoznanych i nierozpoznanych urządzeń, sieci, złośliwych aplikacji i phishingiem;
bazują na systemach Android, iOS i Chromebook;
mogą być zarządzane z każdego systemu chmurowego i on-prem;
posiadają certyfikację FedRAMP “Authority to Operate”;
mogą chronić prywatność bez wysyłania żadnych danych umożliwiających identyfikację użytkownika;

Jeśli chcesz dowiedzieć się więcej o rozwiązaniach Zimperium skontaktuj się z nami.