Microsoft ONE 2021

During the 聽conference, addressed to Polish Microsoft partners, Integrity Partners was awarded the Partner of the Year award in the category …

Modern Work & Surface

This award is the result of a year-long work related to the implementation and education in the field of remote work. Thanks to cooperation with Microsoft, we were able to offer our clients flexible and safe solutions. This enabled a smooth relocation of their online offices, in a crucial moment when the global situation changed dynamically throughout 2020. Keeping that in mind, we need to truly appreciate the award in this particular category.聽

馃煝 If you are looking for professional support in purchasing modern Microsoft Surface equipment – ask us for an offer!

Team Cloud

The team that works on the sale, implementation and adoption of cloud solutions consists of engineers, professionals responsible for specialized branches of the Microsoft offer, as well as a growing sales team. The expanding group of employees allows us to reach more and more customers – and help them manage the shift in work mode.

The cloud team led by Artur Koz艂owski did not focus only on productivity. But the security aspects turned out to be equally important. This approach is possible thanks to the comprehensive approach to cloud and cybersecurity, characteristic of Integrity Partners. Thanks to our extensive competences in this field, customers could receive a comprehensive product from experts with various specializations.

Microsoft ONE 2021 Awards

This year’s winners of the Microsoft ONE awards were:

  • Modern Work & Surface – Integrity Partners
  • Modern Disti – TechData
  • New Star: Services – Advatech
  • New Star: ISV & Startup – Testportal
  • Business Application – XPLUS
  • Remote Science – T-Systems
  • ISV – Piwik PRO
  • Azure – Predica

Integrity Partners has been recognized as a company specializing in adoption and conscious use of the full potential of Microsoft 365 services, and thus we were announced the Partner of the Year in the field of Modern Work & Surface.

You can read more about this year’s awards on the Microsoft website.

To sum up: congratulations to all winners, and we would like to thank our Partners from Microsoft. The ONE Conference itself confirms our belief that our work is going in a good, common direction, for the benefit of our clients.


Wi臋cej aktualno艣ci

Rozpocz臋艂a si臋 cyfrowa ewolucja artyku艂
4.04.2022
Integrity Partners

Rozpocz臋艂a si臋 Cyfrowa Ewolucja! Poznaj now膮 stron臋 internetow膮 Integrity Partners.

Nowa, przejrzysta, intuicyjna – taka w艂a艣nie jest nowa strona internetowa Integrity Partners. W specjalnych zak艂adkach znajdziesz nasz膮 histori臋, produkty Cloud, Cyber Security oraz Managed Services, fachowe artyku艂y, zaproszenia na webinary i wiele wi臋cej. Poni偶ej znajduje si臋 kr贸tka instrukcja, jak porusza膰 si臋 po naszym nowym serwisie. Zapraszamy!
Strona g艂贸wna Integrity Partners – sprawd藕 wszystkie opcje
Na stronie g艂贸wnej wprowadzili艣my nawigacj臋, pozwalaj膮c膮 wybra膰 obszar, kt贸rym jeste艣 aktualnie zainteresowany. Zach臋camy do przetestowania i sprawdzenia wszystkich animacji, kt贸re pojawiaj膮 si臋 wraz z przemieszczaniem si臋 po slajderach.
W prawym g贸rnym rogu te偶 mamy kilka ciekawych funkcjonalno艣ci. Przede wszystkim to wyszukiwarka, dzi臋ki kt贸rej szybko znajdziesz ka偶d膮 tre艣膰 w naszym serwisie. Klikaj膮c w ikon臋 flagi, mo偶esz prze艂膮czy膰 si臋 na wersj臋 angloj臋zyczn膮. Trzy poziome kreski to popularny na stronach internetowych hamburger menu. Po klikni臋ciu rozwinie si臋 menu strony, z poziomu kt贸rej mo偶emy szybko przenie艣膰 si臋 do produkt贸w Cloud, ofert pracy, czy referencji.

Hamburger menu – wszystko w jednym miejscu
Z tego poziomu mo偶esz dosta膰 si臋 praktycznie w ka偶dy zak膮tek naszej strony internetowej. W sekcji „Rozwi膮zania” znajdziesz wszystkie produkty i us艂ugi, jakie oferujemy z podzia艂em na kategorie. Znajdziesz tu r贸wnie偶 klikalny baner promuj膮cy artyku艂, rozwi膮zanie lub ofert臋 pracy.
Pewnie zauwa偶y艂e艣 czerwone k贸艂ka z numerami. To informacja, 偶e na konkretnej podstronie znajduje si臋 nowy materia艂.

Nawigacja na podstronach – znajd藕 to czego szukasz
Tak jak na stronie g艂贸wnej, tak i na poszczeg贸lnych podstronach dodali艣my intuicyjn膮 nawigacj臋 po stronie. 艁atwo mo偶esz przej艣膰 do sekcji i zobaczy膰 nasze produkty, obszary specjalizacji, schemat pracy z Klientem, nagrody i inne istotne informacje.

Formularze kontaktowe – pozosta艅my w kontakcie
Na ka偶dej podstronie umie艣cili艣my formularz kontaktowy, by da膰 Ci mo偶liwo艣膰 szybkiego kontaktu z nami. Je艣li uznasz po przeczytaniu opisu us艂ugi, 偶e jeste艣 zainteresowany wdro偶eniem jej w swojej organizacji, nie musisz ju偶 szuka膰 adresu mailowego do nas. Wystarczy, 偶e wype艂nisz formularz znajduj膮cy si臋 na stronie, na kt贸rej aktualnie si臋 znajdujesz, a my zajmiemy si臋 reszt膮.
Opr贸cz formularzy kontaktowych dajemy Ci mo偶liwo艣膰 porozmawiania z nami na chacie. W prawym dolnym rogu znajdziesz ikonk臋 wiadomo艣ci. Po klikni臋ciu w ni膮 mo偶esz rozpocz膮膰 konwersacj臋 z naszym konsultantem.

Produkty Cloud i CyberSecurity – filtruj i wybierz
To chyba najbardziej rozbudowana opcja na naszej stronie internetowej. Posegmentowali艣my wszystkie nasze produkty i us艂ugi na kategorie i podkategorie, tak by 艂atwo by艂o znale藕膰 interesuj膮ce Ci臋 rozwi膮zanie. Przejd藕 do strony z produktami Cloud lub CyberSecurity, wybierz kategori臋 i wyszukaj produkt, kt贸ry spe艂nia Twoje oczekiwania.

Aktualno艣ci – artyku艂y eksperckie pod r臋k膮
W zak艂adce Aktualno艣ci umie艣cili艣my filtry z kategoriami i tagami do ka偶dego artyku艂u. Je艣li chcesz zag艂臋bi膰 si臋 w lektur臋 artyku艂贸w na temat Microsoft Defender, wystarczy przefiltorwa膰 wszystkie materia艂y (np. kategoria Cloud i tag Microsoft Defender). Mi艂ej lektury!

Webinary – zarejestruj si臋 i poznaj nowe rozwi膮zania
W zak艂adce Webinary znajdziesz wszystkie nadchodz膮ce warsztaty online, jak i te dost臋pne w opcji VOD. Je艣li jeszcze nie uczestniczy艂e艣 w naszych webinarach, koniecznie zarejestruj si臋 (lub pobierz nagranie).

Dzi臋kujemy, 偶e do艂膮czy艂e艣 do naszej ewolucji!
Mamy nadziej臋, 偶e b臋dziesz cz臋sto odwiedza艂 nasz膮 now膮 stron臋 internetow膮. Zapewniamy du偶膮 dawk臋 wiedzy merytorycznej (artyku艂y eksperckie i webinary) oraz szeroki wachlarz produkt贸w i us艂ug.
A teraz do dzie艂a! Sprawd藕 stron臋 Integrity Partners!

Czytaj wi臋cej
R贸wnoleg艂a wojna w cyberprzestrzeni grafika
18.03.2022
Integrity Partners

R贸wnoleg艂a wojna w cyberprzestrzeni

Wzrost cyberatak贸w na kluczowe instytucje
Rosn膮ce napi臋cia geopolityczne doprowadzi艂y do 鈥嬧媏skalacji ryzyka cyberatak贸w.

Codziennie s艂yszymy o masowych blokadach stron rz膮dowych, du偶ych przedsi臋biorstw, czy nawet serwis贸w streamingowych, kt贸re przestaj膮 funkcjonowa膰 pod naporem atak贸w DDoS.

FBI i Departament Bezpiecze艅stwa Wewn臋trznego USA szczeg贸lnie ostrzegaj膮 przed cyberatakami na krytyczn膮 infrastruktur臋 narodow膮.

W tym artykule przedstawimy charakterystyk臋 powa偶nych zagro偶e艅, kt贸re pojawia艂y si臋 w ostatnim czasie, a tak偶e odpowiemy na pytanie jak skutecznie ochroni膰 przedsi臋biorstwo.
Rodzaje cyberzagro偶e艅
鈥濰ermeticWiper鈥

Ju偶 w 2017 roku pojawi艂o si臋 jedno z powa偶niejszych zagro偶e艅, kt贸rym jest z艂o艣liwe oprogramowanie typu wiper, takie jak NotPetya stworzone przez rosyjskie s艂u偶by wywiadowcze do wykorzystania przeciwko celom na Ukrainie. Podobne oprogramowanie zosta艂o wykorzystane tak偶e w styczniu 2022 r. i ponownie 23 lutego, wraz z najnowsz膮 odmian膮 nazwan膮 przez badaczy z firmy Symantec i ESET jako 鈥濰ermeticWiper鈥.

鈥濰ermeticWiper鈥 ma charakterystyk臋 i zachowanie ransomware, ale idzie o krok dalej i niszczy systemy zamiast szyfrowa膰 dane dla okupu. Oprogramowanie to zosta艂o wykorzystane na kilka godzin przed rosyjskim atakiem na Ukrain臋, prawdopodobnie po to, aby utrudni膰 dzia艂ania ukrai艅skich firm i instytucji w pierwszych godzinach ataku.
Ataki ransomware za po艣rednictwem poczty e-mail
Typowy wektor dostarczenia ransomware to poczta e-mail lub wykorzystanie podatnej na ataki infrastruktury internetowej. R贸偶ne 藕r贸d艂a podaj膮, 偶e infekcji HermeticWiper dokonano wykorzystuj膮c znane podatno艣ci w Exchange kilka miesi臋cy wcze艣niej, ale dok艂adny wektor ataku m贸g艂 by膰 r贸偶ny dla poszczeg贸lnych instytucji.

W przypadku udanych atak贸w ransomware za po艣rednictwem poczty e-mail zazwyczaj mamy p贸藕niej do czynienia z po艂膮czeniami z nietypowym adresem IP/domen膮 lub pobraniem z艂o艣liwego pliku.

Podczas wojny hybrydowej celem atak贸w cz臋sto staje si臋 infrastruktura krytyczna, kt贸ra pe艂ni szczeg贸ln膮 rol臋 dla obywateli. Atakowane mog膮 by膰:

infrastruktura pa艅stwa agresora,
infrastruktura pa艅stwa, kt贸re si臋 broni
infrastruktura kraj贸w, kt贸re po艣rednio lub bezpo艣rednio wspieraj膮 jedn膮 ze stron konfliktu.

Charakterystyka sieci przemys艂owych czyni je szczeg贸lnie podatnymi na ataki. Oprogramowanie w sieciach tego typu jest rzadko aktualizowane, ze wzgl臋du na mo偶liwy przest贸j w dzia艂aniu system贸w, co wi膮偶e si臋 z dodatkowymi stratami. Niestety cz臋sto te偶 zapomina si臋 w sieciach tego typu o odpowiedniej segmentacji a nawet oddzieleniu tej sieci od klasycznej sieci IT. W konsekwencji w艂amanie do sieci IT cz臋sto skutkuje tak偶e zdobyciem przycz贸艂ku przez atakuj膮cego r贸wnie偶 w sieci przemys艂owej.
Widoczno艣膰 i identyfikacja zagro偶e艅
Do wykrywania tego typu zagro偶e艅 dobrym rozwi膮zaniem s膮 systemy wykrywaj膮ce anomalie, kt贸re s膮 w stanie zareagowa膰 na zagro偶enia typu zero-day nawet, je艣li nie ma dost臋pnych sygnatur, kt贸re pozwoli艂yby na ich wykrycie.

Taka aktywno艣膰 mo偶e by膰 zwykle zidentyfikowana przez rozwi膮zania typu Network Behavior Anomaly Detection lub EDR. Nast臋pnie wykrywane s膮 zazwyczaj zachowania typu lateral movement oraz potencjalnie eksfiltracja danych na zewn膮trz organizacji. Samo usuwanie danych mo偶e by膰 trudniejsze do wykrycia, je艣li wykonywane jest lokalnie na zainfekowanym systemie.
Sieci przemys艂owe
Klasyczne rozwi膮zania cyberbezpiecze艅stwa dla IT s膮 niewystarczaj膮ce dla sieci przemys艂owych, z uwagi na ich odmienn膮 specyfik臋. Dlatego te偶 najlepiej jest stosowa膰 rozwi膮zania specjalnie dedykowane do takich cel贸w. Zabezpieczenie 艣rodowiska OT powinno obejmowa膰 kilka obszar贸w, w tym:

Widoczno艣膰 wszystkich urz膮dze艅 przemys艂owych;
Zarz膮dzanie aktualizacjami;
Stosowanie odpowiednich zabezpiecze艅, dedykowanych dla sieci OT np. Firewalle, IPS, IDS;
Monitorowanie ruchu sieciowego wraz ze wsparciem obs艂ugi protoko艂贸w charakterystycznych dla tej sieci;
Segmentacj臋 sieci;
Analiz臋 ryzyka wp艂ywu atak贸w na infrastruktur臋 przemys艂ow膮;
Monitorowanie incydent贸w oraz procedury reagowania na zagro偶e艅;
艢wiadomo艣膰 zagro偶e艅.

W efekcie wdro偶enie kompletnego procesu i technologii zabezpieczaj膮cych 艣rodowiska OT jest niezwykle czasoch艂onnym i skomplikowanym procesem. St膮d, w pierwszej kolejno艣ci warto rozwa偶y膰 narz臋dzia, kt贸re w czasie rzeczywistym monitoruj膮 anomalie i potrafi膮 zablokowa膰 atak. Takie rozwi膮zania b臋d膮 frontem obrony przed hakerami i zminimalizuj膮 ryzyko wyst膮pienia incydentu, a co za tym idzie, cz臋sto katastrofalnych jego skutk贸w.

Proaktywne blokowanie zagro偶e艅 w czasie rzeczywistym

Ostatnio, w odwecie na rosyjski atak na Ukrain臋, grupa haktywist贸w 鈥濧nonymous鈥 przeprowadzi艂a kilka operacji maj膮cych na celu tzw. defacement i zaburzenie dzia艂ania rosyjskiej infrastruktury przemys艂owej. Jednym z udanych atak贸w, o kt贸rym ostatnio jest g艂o艣no jest w艂amanie do systemu kontroli dystrybucji gazu nale偶膮cego do rosyjskiej firmy Tvingo Telecom. Po uzyskaniu zdalnego dost臋pu do sterownika grupa zmodyfikowa艂a parametry pracy systemu, doprowadzaj膮c do wzrostu ci艣nienia w instalacji i niemal doprowadzaj膮c do eksplozji. Przed eksplozj膮 instalacji uchroni艂a podobno szybka reakcja operatora na miejscu zdarzenia.

Powy偶szy przyk艂ad pokazuje jak wa偶ne jest proaktywne blokowanie zagro偶e艅 w czasie rzeczywistym. Niedoskona艂o艣ci zabezpiecze艅 sieci przemys艂owych mog膮 doprowadzi膰 nie tylko do pojedynczych zak艂贸ce艅 przemys艂u, ale te偶 katastrofalnych skutk贸w np. w postaci ca艂kowitego wy艂膮czenia procesu dostarczania energii elektrycznej (鈥渂lackout鈥) czy zniszcze艅 wynikaj膮cych z zak艂贸cenia dzia艂ania urz膮dze艅. A skutki takich atak贸w bezpo艣rednio mog膮 prze艂o偶y膰 si臋 na zdolno艣膰 Pa艅stwa do odpierania atak贸w nieprzyjaciela.

Powy偶sze zagro偶enia powinny, a nawet musz膮 by膰 wykrywane narz臋dziami monitoruj膮cymi anomalie w sieci. Z racji swojej charakterystyki sieci OT s膮 raczej statyczne, wi臋c ka偶dy rodzaj nietypowej zmiany mo偶e zosta膰 wykryty przez to narz臋dzie.
3. stopie艅 alarmowy CRP na terytorium ca艂ego kraju przed艂u偶ony
Mimo, 偶e g艂贸wnym celem tego typu dzia艂a艅 na ten moment jest Ukraina, to r贸wnie偶 polskie firmy i instytucje mog膮 by膰 celem tego typu atak贸w, szczeg贸lnie w zwi膮zku z deklaracj膮 udzielenia wsparcia Ukrainie. Dlatego te偶 w najbli偶szym czasie nale偶y szczeg贸ln膮 uwag臋 zwr贸ci膰 na bezpiecze艅stwo naszej organizacji i zapewni膰 jej ochron臋 przynajmniej w podstawowym zakresie.

Warto tak偶e nadmieni膰, 偶e w ostatnim czasie zosta艂o podpisane zarz膮dzenie przed艂u偶aj膮ce obowi膮zywanie trzeciego stopnia alarmowego CRP (CHARLIE鈥揅RP) na terytorium ca艂ego kraju do 15 marca 2022 r. do godz. 23:59. Ostrze偶enie zosta艂o wprowadzone w celu przeciwdzia艂ania zagro偶eniom w cyberprzestrzeni.

Je艣li Twoja firma pad艂a ofiar膮 ataku lub potrzebuje wsparcia w zabezpieczeniu infrastruktury skontaktuj si臋 z nami.

Czytaj wi臋cej
Nowy Microsoft Defender for Business dost臋pny w wersji preview - grafika
18.03.2022
Integrity Partners

Nowy Microsoft Defender for Business dost臋pny w wersji preview

Zgodnie z zapowiedziami z minionego Ignite 2021, Microsoft udost臋pnia w wersji preview kolejny produkt z rodziny bezpiecze艅stwa 鈥 Microsoft Defender for Business. M艂odszy brat znanego ju偶 od kilku lat systemu klasy EDR, Microsoft Defender for Endpoint, oferuje rozwi膮zanie klasy Enterprise dla organizacji do 300 u偶ytkownik贸w, wprowadzaj膮c jednocze艣nie zmiany w licencjonowaniu i pozycjonowaniu produkt贸w z rodziny Defender.

To, jakie s膮 obecnie wersje systemu Defender dla stacji roboczych (w zasadzie ko艅c贸wek, poniewa偶 serwery tak偶e mieszcz膮 si臋 w tym zakresie), wymaga pewnego uporz膮dkowania. Najlepiej te dane prezentuje poni偶sza tabela:

(2) These capabilities are optimized for small and medium-sized businesses.

 

Szczeg贸艂owe por贸wnanie wersji Defendera znajduje si臋 na witrynie Compare Microsoft Defender for Business to Microsoft Defender for Endpoint Plans 1 and 2

 

Z powy偶szego wida膰, 偶e Defender for Business jest idealnym rozwi膮zaniem tak偶e dla du偶ych organizacji, kt贸re niekoniecznie s膮 w stanie wykorzysta膰 narz臋dzia do huntingu, jednak licencjonowanie m贸wi wprost – MDB jest dla organizacji poni偶ej 300 u偶ytkownik贸w. Szczeg贸艂y cennika nie s膮 jeszcze znane, jednak patrz膮c na ofert臋 rozwi膮za艅 Microsoft M365 Business Premium vs E3/E5 mo偶na by膰 praktycznie pewnym 偶e b臋dzie to 艣wietna propozycja dla wielu firm i instytucji.

Dodatkowe elementy, kt贸re zapewnia nam MDB, to mi臋dzy innymi web content filtering oraz zarz膮dzanie firewallem systemowym. Te funkcje zdecydowanie u艂atwiaj膮 kompleksowe zaadresowanie potrzeb w zakresie zabezpieczenia stacji. Same stacje, czy to Windows 10/11, czy te偶 macOS, Linux, a nawet urz膮dzenia mobilne Android oraz iOS, pod艂膮czymy do MDB bez najmniejszego problemu.

O zaletach system贸w EDR nie trzeba nikogo przekonywa膰, a dodatkowym motorem do wdro偶enia MDB jest mo偶liwo艣膰 rezygnacji z wykorzystywanego rozwi膮zania tradycyjnie nazywanego systemem antywirusowym na rzecz wbudowanego w Win10/11 Windows Defendera. Prostota wdro偶enia za pomoc膮 Microsoft Endpoint Managera na pewno zostanie zauwa偶ona przez organizacje z niego korzystaj膮ce.

Mo偶e zabrzmi to przewrotnie, ale systemy EDR mo偶na poniek膮d traktowa膰 jako bezobs艂ugowe. Mechanizmy AIR (Automated investigation and response) mog膮 reagowa膰 automatycznie, usuwaj膮c zagro偶enie i 鈥瀋ofaj膮c鈥 wszystkie wyrz膮dzone szkody. w ramach modu艂u EDR pozwala na wy艣ledzenie ka偶dego zdarzenia, kt贸re si臋 pojawi艂o od momentu rozpocz臋cia incydentu, a偶 do jego ujawnienia i zatrzymania. Bezpiecze艅stwo wprost z chmury!

 

Jak uruchomi膰 nowego Defendera for Business?
Dla firm zainteresowanych przetestowaniem rozwi膮zania MDB mamy propozycj臋 specjaln膮. Integrity Partners jako partner Microsoft specjalizuj膮cy si臋 we wdro偶eniach Modern Workplace oraz Security oferuje swoim klientom mo偶liwo艣膰 w艂膮czenia licencji pr贸bnych narz臋dzia Defender for Business. Liczba licencji jest ograniczona, zach臋camy do kontaktu z nami 鈥 i przeprowadzenia 90 dniowego testu opisanych funkcji we w艂asnym 艣rodowisku.*

[*] Uwaga: preview nie b臋dzie widoczny dla klient贸w posiadaj膮cych wy偶sze pakiety us艂ug, jak np. Defender for Endpoint Plan 2

 

Czytaj wi臋cej
27.01.2022
Integrity Partners

Monitorowanie bezpiecze艅stwa us艂ug biznesowych oraz infrastruktury krytycznej

W tym artykule, poznasz kompleksowe podej艣cie do tematu monitorowania bezpiecze艅stwa us艂ug biznesowych oraz infrastruktury krytycznej, a co za tym idzie – pod艂膮czania system贸w 藕r贸d艂owych do systemu SIEM (ang. Security Information and Event Management System). Co to oznacza?

Podczas planowania polityki monitorowania system贸w i us艂ug powinni艣my pami臋ta膰, by obejmowa艂o ono 聽ca艂膮 艣cie偶k臋 przetwarzania informacji. Tylko kompleksowe, wielopoziomowe podej艣cie mo偶e odpowiednio wspom贸c nas w monitorowaniu i聽wykrywaniu incydent贸w. 聽

Oczywi艣cie, 偶aden system nie zagwarantuje nam 100% bezpiecze艅stwa. Rozw贸j zagro偶e艅 jest obecnie tak szybki, 偶e potrafi膮 one ewoluowa膰 ju偶 z dnia na dzie艅. Dobrze przemy艣lane wdro偶enie – w szczeg贸lno艣ci pod艂膮czenie w艂a艣ciwych system贸w 藕r贸d艂owych (z聽odpowiednim poziomem logowania zdarze艅) zwi臋kszy prawdopodobie艅stwo na detekcj臋 niepo偶膮danych zdarze艅. Wyznacznikiem do monitorowania us艂ug s膮 obowi膮zuj膮ce przepisy prawa, normy czy standardy. Nale偶y r贸wnie偶 pami臋ta膰, 偶e najlepsze praktyki w zakresie wdro偶enia polityki bezpiecze艅stwa w organizacjach, zobowi膮zuj膮 do monitorowania i wykrywania incydent贸w bezpiecze艅stwa, jak r贸wnie偶 ich p贸藕niejszej obs艂ugi.

W tym artykule znajdziesz informacje na temat podej艣cia do pod艂膮czania system贸w 藕r贸d艂owych z punktu widzenia zespo艂u planuj膮cego wdro偶enie monitorowania us艂ugi biznesowej:

Jak przeprowadzi膰 proces pod艂膮czenia system贸w?
Na jakie elementy warto zwr贸ci膰 uwag臋 podczas konfigurowania systemu SIEM?

Proces pod艂膮czania system贸w 藕r贸d艂owych do systemu SIEM

Za艂贸偶my, 偶e posiadamy ju偶 zamkni臋t膮 list臋 us艂ug biznesowych, z podzia艂em na ich krytyczno艣膰, przypisanych w艂a艣cicieli oraz osoby merytoryczne (czytaj – u偶ytkownicy oraz administratorzy aplikacji). Nasze prace zwi膮zane z monitorowaniem us艂ugi biznesowej powinni艣my rozpocz膮膰 od聽inwentaryzacji system贸w bior膮cych udzia艂 w przetwarzaniu informacji przez t膮 us艂ug臋. Zale偶nie od聽organizacji, mo偶emy je podzieli膰 zgodnie z poni偶sz膮 tabel膮:

Jest to tylko przyk艂ad. Generalnie chodzi o to, aby艣my mieli pe艂n膮 艣wiadomo艣膰, jakie elementy naszej infrastruktury 鈥瀊ior膮鈥 udzia艂 w przetwarzaniu informacji.

Z punktu widzenia bezpiecze艅stwa wszystkie elementy (rodzaje system贸w) mog膮 mie膰 wp艂yw na dzia艂anie takiej us艂ugi. Dlatego istotne jest, aby zbiera膰/przesy艂a膰 zdarzenia do systemu SIEM, ze wszystkich warstw systemu, nie punktowo lub聽jednowymiarowo. Maj膮c 鈥瀙od r臋k膮鈥 zdarzenia z r贸偶nych system贸w mamy mo偶liwo艣膰 ich korelacji co pozwoli na szybsze wykrycie zdarzenia/incydentu bezpiecze艅stwa oraz adekwatn膮 reakcj臋. Jednocze艣nie nale偶y pami臋ta膰 o w艂a艣ciwym zabezpieczeniu tych system贸w przed zagro偶eniami zewn臋trznymi oraz wewn臋trznymi (np. regularne aktualizacje, hardening). Niniejszy artyku艂 nie聽obejmuje swoim zakresem sposob贸w zabezpieczenia system贸w. Patrz膮c na powy偶sz膮 tabel臋, 艂atwo doj艣膰 do wniosku, 偶e systemy Infrastrukturalne oraz Bezpiecze艅stwa nale偶y pod艂膮czy膰 do systemu SIEM, poniewa偶 nale偶膮 do cz臋艣ci wsp贸lnej dla wi臋kszo艣ci monitorowanych aplikacji (system贸w biznesowych). Oczywi艣cie wspominam w tym miejscu o klasycznej infrastrukturze, niewchodz膮cej w聽sk艂ad infrastruktury OT, kt贸ra powinna by膰 w jaki艣 spos贸b odizolowana.

Zatem, w pierwszej kolejno艣ci powinni艣my nasze prace rozpocz膮膰 od pod艂膮czenia system贸w Infrastrukturalnych oraz Bezpiecze艅stwa. Pod艂膮czaj膮c ka偶dy system powinni艣my si臋 kierowa膰 co najmniej nast臋puj膮cymi wytycznymi:

Ustali膰 z administratorem i skonfigurowa膰 w艂a艣ciwy poziom logowania. W艂a艣ciwy, to znaczy taki, kt贸ry pozwoli nam stworzy膰 potrzebne regu艂y bezpiecze艅stwa. Mo偶na zacz膮膰 od standardowych polityk. W kolejnym etapie wdro偶enia mo偶na zmodyfikowa膰 niniejszy zakres.

Przyk艂ady:

– Pod艂膮czaj膮c systemy Windows na pocz膮tek przekazujemy dzienniki security. Ju偶 w聽oparciu o te zdarzenia jeste艣my w stanie stworzy膰 wiele regu艂 bezpiecze艅stwa, kt贸re podwy偶sz膮 poziom bezpiecze艅stwa w organizacji;-

– Pod艂膮czaj膮c systemy Firewall zwr贸膰my uwag臋, kt贸re po艂膮czenia maj膮 w艂膮czone logowanie. Czy b臋dziemy mie膰 informacje na temat wszystkich po艂膮cze艅 przychodz膮cych od strony sieci Internet, czy tylko te, kt贸re s膮 blokowane? Wszystko musimy dok艂adnie przeanalizowa膰 wsp贸lnie z administratorem systemu i wsp贸lnie powinni艣my podj膮膰 decyzj臋, zgodn膮 z nasz膮 Polityk膮 Bezpiecze艅stwa. Musimy 鈥瀢ywa偶y膰鈥 przede wszystkim dwie kwestie, tj. ilo艣膰 odbieranych EPS (zdarze艅 na sekund臋) przez system SIEM a wykorzystanie tych zdarze艅 dla stworzenia tzw. Use Cases (przypadk贸w u偶ycia/scenariuszy bezpiecze艅stwa).聽 Przecie偶 nie spos贸b jest w艂膮czy膰 logowanie dla wszystkich lub wi臋kszo艣ci po艂膮cze艅. Nale偶y sobie r贸wnie偶 postawi膰 pytanie, 聽czy wykorzystamy takie zdarzenia na etapie tworzenia przypadk贸w u偶ycia? Druga kwestia to ograniczenie w postaci licencji, kt贸ra pozwala na przetwarzanie okre艣lonej ilo艣ci zdarze艅 np. w ci膮gu doby.

Pod艂膮czaj膮c systemy Windows na pocz膮tek przekazujemy dzienniki security. Ju偶 w聽oparciu o te zdarzenia jeste艣my w stanie stworzy膰 wiele regu艂 bezpiecze艅stwa, kt贸re podwy偶sz膮 poziom bezpiecze艅stwa w organizacji;
Pod艂膮czaj膮c systemy Firewall zwr贸膰my uwag臋, kt贸re po艂膮czenia maj膮 w艂膮czone logowanie. Czy b臋dziemy mie膰 informacje na temat wszystkich po艂膮cze艅 przychodz膮cych od strony sieci Internet, czy tylko te, kt贸re s膮 blokowane? Wszystko musimy dok艂adnie przeanalizowa膰 wsp贸lnie z administratorem systemu i wsp贸lnie powinni艣my podj膮膰 decyzj臋, zgodn膮 z nasz膮 Polityk膮 Bezpiecze艅stwa. Musimy 鈥瀢ywa偶y膰鈥 przede wszystkim dwie kwestie, tj. ilo艣膰 odbieranych EPS (zdarze艅 na sekund臋) przez system SIEM a wykorzystanie tych zdarze艅 dla stworzenia tzw. Use Cases (przypadk贸w u偶ycia/scenariuszy bezpiecze艅stwa).聽 Przecie偶 nie spos贸b jest w艂膮czy膰 logowanie dla wszystkich lub wi臋kszo艣ci po艂膮cze艅. Nale偶y sobie r贸wnie偶 postawi膰 pytanie, 聽czy wykorzystamy takie zdarzenia na etapie tworzenia przypadk贸w u偶ycia? Druga kwestia to ograniczenie w postaci licencji, kt贸ra pozwala na przetwarzanie okre艣lonej ilo艣ci zdarze艅 np. w ci膮gu doby.
Po艂膮czenia z system贸w 藕r贸d艂owych do systemu SIEM i z powrotem, na potrzeby przekazania zdarze艅 powinny by膰 szyfrowane przy wykorzystaniu protoko艂贸w oraz algorytm贸w uznanych powszechnie za bezpieczne.
W warstwie transportowej zdarzenia powinny by膰 przesy艂ane za pomoc膮 protoko艂u TCP. Zapewni to wy偶sz膮 niezawodno艣膰 w transporcie log贸w do systemu SIEM, ni偶 protok贸艂 UDP. Podejmuj膮c decyzj臋 wysy艂ania log贸w za pomoc膮 protoko艂u UDP (czytaj – mniejszy narzut ruchu sieciowego), akceptujemy wi臋ksze ryzyko niedostarczenia pewnej ilo艣ci log贸w, chocia偶by z聽powodu kr贸tkiej przerwy w dzia艂aniu sieci.
Dla system贸w zlokalizowanych w strefach 鈥瀖niej zaufanych鈥, np. DMZ, system SIEM powinien by膰 tak skonfigurowany, aby zdarzenia z tych segment贸w by艂y pobierane z sieci LAN (czytaj z聽LAN do DMZ). Nigdy w聽odwrotn膮 stron臋, czyli ruch sieciowy z DMZ do LAN, poniewa偶 w ten spos贸b mo偶emy sami u艂atwi膰 鈥炁沜ie偶k臋鈥 dost臋pu do system贸w zlokalizowanych wewn膮trz naszej sieci potencjalnemu atakuj膮cemu.
Nale偶y stosowa膰 r贸偶ne, dedykowane konta serwisowe na potrzeby pobierania zdarze艅, z聽poszczeg贸lnych typ贸w system贸w. Je偶eli jeste艣my zmuszeni zapisa膰 po艣wiadczenia w pliku w聽postaci niezaszyfrowanej, nale偶y ograniczy膰 uprawnienia do niezb臋dnego minimum.
Przeanalizowa膰 logi pod k膮tem anonimizacji wybranych kategorii zdarze艅. Wiele system贸w potrafi zanonimizowa膰 wybrane warto艣ci pola w zdarzeniu. Je偶eli istnieje uzasadniona potrzeba 鈥瀠krycia鈥 pewnych informacji w my艣l zasady minimalizacji przetwarzanych informacji, system SIEM powinien by膰 w ten spos贸b skonfigurowany. Przyk艂adowymi informacjami, kt贸re mog艂yby by膰 poddane zanonimizowaniu b臋d膮: numery kart kredytowych, dane osobowe, has艂a. Wszystko zale偶y od kontekstu przetwarzanych informacji i potrzeby utworzenia scenariuszy bezpiecze艅stwa.
Skonfigurowa膰 system SIEM w zakresie monitorowania system贸w 藕r贸d艂owych pod k膮tem odbierania log贸w. Administratorzy systemu powinni by膰 powiadamiani w sytuacji gdy system 藕r贸d艂owy przesta艂 przesy艂a膰 zdarzenia.

Posiadaj膮c 鈥瀙od艂膮czone鈥 do SIEM-a (skonfigurowane do przekazywania log贸w) systemy infrastrukturalne oraz bezpiecze艅stwa, mo偶emy rozpocz膮膰 konfiguracj臋 pod艂膮czeniow膮 system贸w aplikacyjnych. Oczywi艣cie proces pod艂膮czenia systemu aplikacyjnego zale偶y od jego mo偶liwo艣ci oraz zdolno艣ci jakie daje system SIEM.

Wa偶nym elementem jest rozmowa z osob膮 z ramienia w艂a艣ciciela systemu. To zazwyczaj u偶ytkownik/administrator ma najwi臋ksz膮 wiedz臋 w organizacji, zar贸wno od strony mo偶liwo艣ci pod艂膮czeniowej aplikacji, ale r贸wnie偶, co w systemie mo偶na nazwa膰 normalnym zachowaniem, a co anomali膮/zdarzeniem/incydentem. Na tej podstawie administrator systemu SIEM powinien wybra膰 optymaln膮 metod臋 pod艂膮czenia systemu.

W kolejnej fazie wdro偶enia, analityk we wsp贸艂pracy z聽administratorem i/lub u偶ytkownikiem aplikacji powinni uzgodni膰 scenariusze bezpiecze艅stwa.

Kolejnym istotnym elementem naszych czynno艣ci powinno by膰 upewnienie si臋, 偶e systemy bezpiecze艅stwa s艂u偶膮ce do wykrywania incydent贸w (takie jak IPS/IDS, WAF) poddaj膮 inspekcji ca艂y ruch sieciowy (czytaj 鈥 istnieje potrzeba deszyfracji ruchu) kierowany z/do aplikacji. Tylko w ten spos贸b mo偶emy przekaza膰 z system贸w bezpiecze艅stwa do systemu SIEM, wszystkie informacje o聽wykrytych incydentach.

Na jakie elementy warto zwr贸ci膰 uwag臋 podczas konfigurowania systemu SIEM?

聽聽聽聽聽聽聽聽聽聽聽聽聽聽 W pocz膮tkowej fazie wdro偶enia systemu warto wzi膮膰 pod uwag臋 kilka istotnych element贸w, kt贸re powinny zosta膰 przeanalizowane, nast臋pnie wykonane w systemie. Chodzi przede wszystkim o聽w艂a艣ciw膮 konfiguracj臋, kt贸ra zapewni odpowiednie dzia艂anie systemu, kt贸re prze艂o偶y膰 mo偶emy na g艂贸wne korzy艣ci funkcjonowania naszego SIEM-a.

Integracja z innymi systemami

Poni偶sza lista system贸w ma charakter przyk艂adowy. Ka偶da organizacja zale偶nie od potrzeb powinna przeanalizowa膰 to indywidualnie i podj膮膰 w艂a艣ciw膮 decyzj臋 w zakresie integracji. Spora cz臋艣膰 poni偶szych zalece艅 mo偶e wydawa膰 si臋 oczywista. Jednak dosy膰 cz臋sto mo偶na zauwa偶y膰, integracj臋 z systemami z pomini臋ciem pewnych czynno艣ci. To w艂a艣nie kompleksowe podej艣cie zwi臋ksza bezpiecze艅stwo naszego systemu/organizacji.

Dla聽wysy艂ania powiadomie艅, potrzebna jest integracja z systemem pocztowym. Do tego celu warto wykorzysta膰 uwierzytelnianie dedykowanym u偶ytkownikiem. Pami臋tajmy aby nie pozostawi膰 serwer贸w tzw. Open Relay (niezabezpieczony serwer przed nieautoryzowanym wykorzystaniem). Wa偶ne聽jest, aby komunikacja z takim systemem by艂a szyfrowana.
Do uwierzytelniania warto wykorzysta膰 us艂ug臋 katalogow膮 (np. Active Directory), z聽zaimplementowanym szyfrowaniem komunikacji.
Synchronizacja czasu to podstawowy element dzia艂ania ka偶dego systemu, dlatego SIEM powinien by膰 zintegrowany z serwerem czasu w ka偶dej organizacji.
Zale偶nie od naszej polityki backupu mo偶e by膰 konieczna integracja z systemem backupu. Zatem takie wymaganie mo偶e wi膮za膰 si臋 z instalacj膮 agenta na ka偶dym z system贸w operacyjnych naszego SIEM-a. Odno艣nie instalacji na wirtualnych hostach, raczej nie聽powinni艣my mie膰 wi臋kszych problem贸w, ale z instalacj膮 na tzw. fizycznych appliance-ach powinni艣my by膰 ostro偶ni. Taki 鈥瀏otowy鈥, fizyczny appliance, posiada system operacyjny przygotowany przez producenta. Agent backupu mo偶e wymaga膰 instalacji dodatkowych pakiet贸w. Pami臋tajmy, 偶e podczas procesu aktualizacji SIEM-a, b臋dziemy zmuszeni przeanalizowa膰 t膮 zale偶no艣膰, aby nie mie膰 problem贸w z przeprowadzeniem aktualizacji systemu. Mo偶e by膰 potrzeba podmontowania dodatkowego repozytorium, z kt贸rego system b臋dzie musia艂 pobra膰 nowsze wersje pakiet贸w dla agenta backup. Inne rozwi膮zanie to odinstalowanie wcze艣niej zainstalowanych dodatkowych pakiet贸w, aktualizacja systemu i finalnie zainstalowanie nowych pakiet贸w agenta.
Posiadaj膮c system Help Desk, kt贸ry pe艂ni rol臋 systemu zg艂osze艅/incydent贸w, warto wykona膰 integracj臋 z systemem SIEM, kt贸ry przeka偶e informacje w zakresie wyst膮pienia okre艣lonego incydentu. Niniejsza integracja pozwoli nam zautomatyzowa膰 pewn膮 cz臋艣膰 procesu zarz膮dzania incydentami (np. zg艂oszenie b臋dzie utworzone w trybie automatycznym oraz przydzielone w艂a艣ciwej grupie na 1. linii wsparcia).
Wiele organizacji integruje swoje SIEM-y z platformami, kt贸re dostarczaj膮 informacje na temat wska藕nik贸w w艂ama艅 tzw. IOC (ang. Indicator of compromise). Systematycznie aktualizowane i pobierane przez system SIEM, s膮 por贸wnywane z聽warto艣ciami tej samej kategorii, znajduj膮cych si臋 w zdarzeniach z system贸w 藕r贸d艂owych. W ten spos贸b mo偶na znale藕膰 np. potwierdzenie komunikacji hosta z naszej sieci, kt贸ry komunikowa艂 si臋 z adresem sklasyfikowanym jako 鈥瀗iebezpieczny鈥.

Retencja przechowywanych zdarze艅 bezpiecze艅stwa

D艂ugo艣膰 okresu przechowywania zdarze艅 bezpiecze艅stwa powinien zale偶e膰 przede wszystkich od wymaga艅 prawnych oraz do jakich zada艅 wykorzystujemy nasze logi. Wyja艣niaj膮c: mo偶emy podzieli膰 zdarzenia przetwarzane w systemie SIEM na co najmniej dwie kategorie (bie偶膮ce 鈥 to te kt贸re wyzwalaj膮 nam nowe incydenty, archiwalne 鈥 to zdarzenia, kt贸re wykorzystujemy do analizy, weryfikacji, potwierdzenia incydent贸w/zdarze艅, kt贸re wyst膮pi艂y jaki艣 czas temu). Jak聽si臋 zapewne domy艣lacie, taki podzia艂 generuje nam konkretne wymagania, kt贸re powinni艣my uwzgl臋dni膰.

Dla zdarze艅 bie偶膮cych proponuj臋 maksymalnie 1 miesi膮c przechowywanych zdarze艅. Nic nie stoi na przeszkodzie aby by艂o to r贸wnie偶 14 dni. Tego typu logi powinny by膰 przechowywane na szybszych dyskach (np. SSD), ze wzgl臋du na potrzeb臋 szybkiego dost臋pu do danych oraz jak najszybsz膮 potrzeb臋 przetwarzania danych, finalnie utworzenia w艂a艣ciwych incydent贸w. Przydzielaj膮c zasoby dyskowe, powinni艣my odpowiedzie膰 na kluczowe pytanie: W jakim okresie czasowym b臋dziemy potrzebowali przeszukiwa膰 tego typu zdarzenia wed艂ug przyj臋tych kryteri贸w?
Dla zdarze艅 archiwalnych zalecane s膮 wolniejsze dyski, poniewa偶 nie potrzebujemy a偶聽tak szybkiego dost臋pu do wynik贸w wyszukiwania. Akceptujemy d艂u偶szy okres oczekiwania na rezultaty przeszukiwania log贸w. Rozmiar przestrzeni powinni艣my okre艣la膰 przede wszystkim w oparciu o obowi膮zuj膮ce przepisy prawa. Bardzo cz臋sto, wiele organizacji jest zobligowanych do przechowywania zdarze艅 ze wzgl臋du np. na potrzeb臋 rozliczalno艣ci u偶ytkownik贸w lub potwierdzenia komunikacji z adresami zidentyfikowanymi jako niebezpieczne.
Spora cz臋艣膰 rozwi膮za艅 daje mo偶liwo艣膰 ustawienia retencji zale偶nie od rodzaju log贸w. Za艂贸偶my, 偶e zdarzenia z Firewall-i, z jakiego艣 powodu musimy przechowywa膰 2 lata, a聽zdarzenia z system贸w operacyjnych 1 rok.

Wykorzystanie najlepszych baz wiedzy na potrzeby stworzenia scenariuszy bezpiecze艅stwa

Aktualnie znan膮 i polecan膮 baz膮 wiedzy w tym zakresie jest MITRE ATT&CK (https://attack.mitre.org/), kt贸ra bazuje na najlepszej wiedzy i do艣wiadczeniu ekspert贸w bezpiecze艅stwa. Podstaw膮 wy偶ej wymienionego framework-u s膮 tzw. taktyki oraz techniki. Zale偶nie od stosowanej technologii mamy mo偶liwo艣膰 szybkiego zapoznania si臋 z atakami oraz zaleceniami ochrony przed nimi. W odniesieniu do szczeg贸艂owych informacji publikowanych w聽MITRE ATTA&CK, mo偶na utworzy膰 bardzo du偶o scenariuszy, kt贸re znacz膮co podnios膮 dojrza艂o艣膰 organizacji w zakresie wykrywania incydent贸w bezpiecze艅stwa.

Minimalizacja uprawnie艅

Bardzo cz臋sto pomijany element ca艂ej uk艂adanki. 聽Powinni艣my zadba膰 o to, aby system albo us艂uga by艂y uruchamiane i pracowa艂y z uprawnieniami, kt贸re wystarcz膮 do prawid艂owej pracy. W tym przypadku powinni艣my kierowa膰 si臋 zasad膮 minimalizacji. Je艣li producent wspiera tak膮 konfiguracj臋, to tak nale偶y zrobi膰, czyli uruchamia膰 us艂ugi z聽uprawnieniami dedykowanego u偶ytkownika (nieposiadaj膮cego uprawnie艅 administracyjnych). Nie聽konfigurujmy/uruchamiajmy us艂ug naszego systemu z聽wykorzystaniem u偶ytkownik贸w typu root/Administrator. W przypadku ataku, wykorzystanie b艂臋du w takiej us艂udze o wiele bardziej narazi system na w艂amanie. Oczywi艣cie t臋 czynno艣膰 zazwyczaj wykonujemy na etapie instalacji lub pocz膮tkowej konfiguracji. Mo偶emy jednak to zrobi膰, nawet gdy 鈥瀦astali艣my鈥 w聽taki spos贸b skonfigurowany system.

Lokalny Firewall

Po pierwsze, nie wy艂膮czaj lokalnego Firewall-a! Dodawaj regu艂y tylko dla skonfigurowanych us艂ug na potrzeby prawid艂owej pracy systemu. Filtracja ruchu przez lokalny firewall to r贸wnie偶 wa偶na kwestia bezpiecze艅stwa systemu. Nie zapominajmy o tym. W pewnych okoliczno艣ciach mo偶e si臋 okaza膰, 偶e to by艂a ostatnia deska ratunku.

Podsumowanie

聽聽聽聽聽聽聽聽聽聽聽聽聽聽 Temat monitorowania us艂ugi biznesowej to dosy膰 z艂o偶ony proces. W mojej ocenie najwa偶niejsze elementy tego procesu to pod艂膮czenie w艂a艣ciwych system贸w oraz integracja z聽w艂a艣ciwymi elementami infrastruktury organizacji. Tylko kompleksowe podej艣cie do tematu zapewni nam odpowiedni poziom monitorowania us艂ugi biznesowej za pomoc膮 systemu SIEM. Z punktu widzenia zespo艂贸w bezpiecze艅stwa tego typu system, jest g艂贸wnym narz臋dziem w codziennej pracy. Maj膮c zdarzenia bezpiecze艅stwa w jednym systemie, zespo艂y wszystkich linii wsparcia mog膮 czerpa膰 z聽niego wiele korzy艣ci.

Wychodz膮c naprzeciw oczekiwaniom naszych Klient贸w, 艣wiadczymy wsparcie na ka偶dym etapie wdro偶enia system贸w SIEM. Rozpoczynaj膮c od planowania samego wdro偶enia, ko艅cz膮c na implementacji scenariuszy bezpiecze艅stwa oraz integracji z systemami typu SOAR, aby zautomatyzowa膰 pewne procesy dla ca艂ej organizacji.

Czytaj wi臋cej
Manifest wielostronny w sprawie cyberprzest臋pczo艣ci
17.01.2022
Integrity Partners

Manifest wielostronny w sprawie cyberprzest臋pczo艣ci

W styczniu 2022 r. pa艅stwa cz艂onkowskie Organizacji Narod贸w Zjednoczonych (ONZ) rozpoczynaj膮 negocjacje w sprawie nowej globalnej konwencji o cyberprzest臋pczo艣ci, uruchamiaj膮c wieloletni proces maj膮cy na celu zwi臋kszenie mi臋dzynarodowych zdolno艣ci prawnych do zwalczania narusze艅 w sieci. 聽
Wysi艂ki te wzbudzi艂y jednak obawy, 偶e nowy traktat mo偶e podwa偶y膰 prawa cz艂owieka lub istniej膮ce systemy wsp贸艂pracy mi臋dzynarodowej. Maj膮c to na uwadze, we wrze艣niu ubieg艂ego roku Cybersecurity Tech Accord po艂膮czy艂 si艂y z CyberPeace Institute, by wsp贸lnie opublikowa膰 manifest – Multistakeholder Manifesto on Cybercrime.
Chocia偶 traktat mo偶e potencjalnie poprawi膰 wsp贸艂prac臋 mi臋dzynarodow膮, wiele os贸b obawia si臋, 偶e inicjatywa ta stanowi okazj臋 dla rz膮d贸w do ograniczenia wolno艣ci s艂owa w Internecie, a tak偶e podwa偶enia istniej膮cych mi臋dzynarodowych instrument贸w wsp贸艂pracy. Powy偶sze obawy wynikaj膮 z o艣wiadcze艅 pa艅stw, kt贸re ju偶 przed艂o偶y艂y swoje stanowisko w sprawie nowego traktatu.

 
Ponadto niekt贸re z tych o艣wiadcze艅 nie zawieraj膮 偶adnej wzmianki o tym, w jaki spos贸b nowa konwencja dotycz膮ca cyberprzest臋pczo艣ci powinna uwzgl臋dnia膰 prawa cz艂owieka.聽Niepokoj膮ce jest to, 偶e jednymi z najg艂o艣niejszych zwolennik贸w nowego traktatu o cyberprzest臋pczo艣ci s膮 rz膮dy, kt贸re od dawna przymykaj膮 oko na operacje cyberprzest臋pcze odbywaj膮ce si臋 w ich w艂asnych granicach.
Podczas gdy cz臋艣膰 rz膮d贸w z艂o偶y艂o wst臋pne o艣wiadczenia, wiele innych nie okre艣li艂o, co nale偶y traktowa膰 priorytetowo i jak podej艣膰 do konstruowania nowego, mi臋dzynarodowego instrumentu walki z cyberprzest臋pczo艣ci膮.聽To w艂a艣nie dla tej spo艂eczno艣ci pa艅stw opracowano Manifest Wielostronny, kt贸ry zosta艂 zatwierdzony przez ponad 60 podmiot贸w z ca艂ego spo艂ecze艅stwa obywatelskiego, sektora prywatnego i lider贸w my艣li.
Manifest wyja艣nia, 偶e nowa konwencja dotycz膮ca cyberprzest臋pczo艣ci nie mo偶e by膰 negocjowana za zamkni臋tymi drzwiami i musi priorytetowo traktowa膰 potrzeby ofiar nad potrzebami pa艅stw.聽Ten proces musi by膰 tak przejrzysty i oparty na konsensusie, jak to tylko mo偶liwe, poniewa偶 jego wynik b臋dzie mia艂 powa偶ne konsekwencje dla organizacji, os贸b i spo艂ecze艅stwa.
W 2018 roku do艂膮czyli艣my do globalnej inicjatywy Tech Accord jako sygnatariusz wspieraj膮cy walk臋 z cyberprzest臋pczo艣ci膮. Tym samym zale偶y nam, by Manifest s艂u偶y艂 jako cenne 藕r贸d艂o informacji dla rz膮d贸w i interesariuszy na ca艂ym 艣wiecie. Chcemy zapewni膰 szeroki dost臋p do dokumentu, dlatego r贸wnie偶 i my publikujemy na naszej stronie internetowej oryginalny tekst Manifestu. Mamy nadziej臋, 偶e wszystkie strony zaanga偶owane w proces negocjacji nowej konwencji w sprawie cyberprzest臋pczo艣ci zastanowi膮 si臋 i popr膮 przedstawione w niej zasady.
Pobierz Manifest w j臋zyku angielskim

Czytaj wi臋cej
Micro Focus z presti偶owym wyr贸偶nieniem Customers' Choice od Gartnera!
14.01.2022
Integrity Partners

Micro Focus z presti偶owym wyr贸偶nieniem „Customers’ Choice” od Gartnera!

Gartner opublikowa艂 raport Gartner Peer Insights 2021 „Voice of the Customer” for SIEM, w kt贸rym Micro Focus otrzyma艂 wyr贸偶nienie „Customers’ Choice” za platform臋 CyberRes ArcSight. Rozwi膮zanie otrzyma艂o doskona艂e oceny klient贸w i cieszy艂o si臋 du偶ym zainteresowaniem w艣r贸d u偶ytkownik贸w.

Jeste艣my dumni z rosn膮cej popularno艣ci produktu naszego Partnera, z kt贸rym wsp贸艂pracujemy od 2021 roku. To dla nas potwierdzenie, 偶e oferujemy naszym Klientom najlepsze narz臋dzia Cyber Security.

Raport Gartnera opiera si臋 na opiniach zweryfikowanych klient贸w i partner贸w z bran偶y, kt贸rzy regularnie korzystaj膮 z ArcSight i innych rozwi膮za艅 SIEM. Materia艂 dost臋pny na platformie Gartner Peer Insights jest szczeg贸lnie pomocy osobom decyzyjnym, poniewa偶 jest odzwierciedleniem rzeczywistych do艣wiadcze艅 i potrzeb u偶ytkownik贸w. Dzi臋ki tym informacjom b臋dzie zdecydowanie 艂atwiej podj膮膰 decyzj臋 odno艣nie wykorzystania ArcSight w swojej organizacji.

Wi臋cej o rozwi膮zaniu ArcSight

ArcSight Enterprise Security Manager wyposa偶a Tw贸j zesp贸艂 w pot臋偶ny, konfigurowalny SIEM, kt贸ry w czasie rzeczywistym wychwytuje zagro偶enia oraz wbudowany SOAR dla Twojego Zespo艂u Obs艂ugi Incydent贸w.

Nie mo偶na walczy膰 z zagro偶eniami kt贸rych nie wida膰, dlatego priorytetem jest odpowiednia forma wizualizacji danych. Elastyczno艣膰 i wbudowane narz臋dzia ArcSight pozwalaj膮 na dok艂adn膮 analiz臋 bezpiecze艅stwa Twojej firmy.

Dzi臋ki funkcjom takim jak agregacja, normalizacja i wzbogacanie danych, poprzez uzupe艂nienie ich o informacje zewn臋trznych 藕r贸de艂, analitycy zyskuj膮 niezawodne narz臋dzie do walki z cyberzagro偶eniami.

Chcesz wdro偶y膰 rozwi膮zanie ArcSight w swojej organizacji?

Skontaktuj si臋 z nami!

Czytaj wi臋cej
Przysz艂o艣膰 autonomicznych pojazd贸w - wyzwania dla cyberbezpiecze艅stwa
30.12.2021
Integrity Partners

Przysz艂o艣膰 autonomicznych pojazd贸w – wyzwania dla cyberbezpiecze艅stwa

Wraz z zakupem nowego auta, zw艂aszcza wy偶szego segmentu zyskujemy niekiedy nie tylko rozbudowany system elektroniki, ale r贸wnie偶 swoiste centrum zarz膮dzania samochodem.
Dzi臋ki temu na przyk艂ad za pomoc膮 smartfona jeste艣my w stanie dostosowa膰 temperatur臋 wn臋trza zanim jeszcze do niego wsi膮dziemy. Mo偶emy r贸wnie偶 uzyska膰 wiele informacji o stanie samochodu, liczbie przejechanych kilometr贸w, czy ostatnio pokonanej trasie z wykorzystaniem GPS. Paruj膮c urz膮dzenie bluetooth z autem mo偶emy o wiele 艂atwiej nawi膮zywa膰 po艂膮czenia, odczytywa膰 SMS, czy na nie odpisywa膰. Czy jednak tak du偶e nagromadzenie elektroniki nie wp艂ywa negatywnie na przetwarzanie naszych danych? Czy auta mog膮 sta膰 si臋 celem haker贸w?
Bran偶a motoryzacyjna osi膮gn臋艂a wa偶ny kamie艅 milowy w 2020 roku: ponad po艂owa samochod贸w sprzedawanych na ca艂ym 艣wiecie by艂a standardowo wyposa偶ona w 艂膮czno艣膰 z Internetem. Nowoczesne pojazdy zacz臋艂y przypomina膰 mobilne superkomputery, z kt贸rych ka偶dy zawiera miliony linijek kodu i mo偶e przetwarza膰 ogromne ilo艣ci danych.
Bran偶a motoryzacyjna podwaja ilo艣膰 danych, aby poprawi膰 wra偶enia z jazdy i zarabia膰 na informacjach. Ale ta hiper艂膮czno艣膰 wi膮偶e si臋 ze znacznym ryzykiem. Na pocz膮tku roku 2021 dw贸ch badaczy zaprezentowa艂o, jak Tesla 鈥 i prawdopodobnie inne samochody 鈥 mog膮 zosta膰 zhakowane zdalnie, bez interakcji u偶ytkownika, za pomoc膮 drona.

Strach pomy艣le膰 co mog艂oby si臋 sta膰 gdyby nie by艂y to wy艂膮cznie testy.
Najwi臋ksze domniemane zagro偶enia bezpiecze艅stwa dla przemys艂u motoryzacyjnego to:

Kradzie偶 samochodu
Informacje o u偶ytkowniku pozyskane w wyniku naruszenia danych
Zdalna manipulacja lub kontrola pracy samochodu, kt贸ra zagra偶a bezpiecze艅stwu fizycznemu kierowc贸w, pasa偶er贸w i innych os贸b na drodze

Maj膮c na uwadze powy偶sze, chcieli艣my zbada膰 niekt贸re z najwi臋kszych wyzwa艅 zwi膮zanych z bezpiecze艅stwem, przed kt贸rymi stoj膮 producenci samochod贸w w daj膮cej si臋 przewidzie膰 przysz艂o艣ci.
Ryzyko 艂a艅cucha dostaw
Hakerzy zwracaj膮 uwag臋 na samochody z dost臋pem do Internetu. Maj膮 wiele punkt贸w wej艣cia, wi臋c istnieje kilka sposob贸w na czerpanie korzy艣ci z atak贸w. Od 2016 r. liczba cyberatak贸w na pojazdy po艂膮czone z internetem wzros艂a o prawie 100% rocznie.
Kradzie偶 i zdalny rozruch o wiele prostsze
Jednym z cel贸w wprowadzania lepszej technologii do samochod贸w jest uczynienie ich wygodniejszymi i bezpieczniejszymi przed kradzie偶膮. Przyk艂adem jest przej艣cie z kluczy fizycznych na karty, kt贸re wykorzystuj膮 nadajnik radiowy kr贸tkiego zasi臋gu. Jednak dzisiaj wystarczy para gad偶et贸w radiowych za 11 dolar贸w, aby zhakowa膰 kart臋 i ukra艣膰 samoch贸d. Zdalny rozruch to kolejna funkcja, kt贸ra jest coraz cz臋艣ciej wykorzystywana przez z艂odziei samochod贸w.
Hakowanie system贸w bezpiecze艅stwa w pod艂膮czonych samochodach i dost臋pno艣膰 tanich urz膮dze艅 do kradzie偶y, nawet tych wykonanych przy u偶yciu starych Nintendo Game Boys , oznacza, 偶e 鈥嬧媧艂odzieje mog膮 uzyska膰 dost臋p do niemal ka偶dego pod艂膮czonego samochodu, jaki tylko chc膮.聽
Naruszenia danych
Dzi臋ki rozwoju technologii nowoczesne pojazdy mog膮 zbiera膰 wi臋cej danych osobowych o swoich u偶ytkownikach 鈥 to nie tylko u艂atwienie, ale r贸wnie偶 niebezpiecze艅stwo. By艂y dyrektor generalny Intela, Brian Krzanich, przewiduje 偶e tylko jeden autonomiczny samoch贸d zu偶yje 4000 GB danych dziennie.聽
Niestety, r贸偶ne tryby 艂膮czno艣ci takie jak:

Pojazd do sieci (V2N)
Pojazd do infrastruktury (V2I)
Pojazd do pojazdu (V2V)
Pojazd do chmury (V2C)
Pojazd do pieszego (V2P)
Pojazd do urz膮dzenia (V2D)
Pojazd do sieci (V2G)

oraz przechowywanie informacji w niezabezpieczonych repozytoriach, to du偶a szansa na ich wykradzenie. Na przyk艂ad 艣ledztwo Washington Post ujawni艂o, ile danych osobowych mo偶na wydoby膰 z u偶ywanego komputera informacyjno-rozrywkowego z Chevrolet. Poniewa偶 coraz wi臋cej modeli jest dostarczanych z 艂膮czno艣ci膮 4G lub 5G, hakerzy nie potrzebuj膮 nawet fizycznego dost臋pu do pojazdu, aby go infiltrowa膰 i wydoby膰 prywatne informacje.
 
Samochody wykonuj膮ce niepo偶膮dane czynno艣ci
Utopijna mo偶liwo艣膰 odebrania kontroli kierowcy przenios艂a si臋 z film贸w akcji do 艣wiata rzeczywistego. Jednym z najbardziej znanych przyk艂ad贸w by艂o to, 偶e badacze w艂amywali si臋 i wy艂膮czali skrzyni臋 bieg贸w w Jeepie Cherokee, gdy jecha艂 on na autostradzie z pr臋dko艣ci膮 70 mil na godzin臋. To ostatecznie doprowadzi艂o do tego, 偶e Chrysler wycofa艂 1,4 miliona pojazd贸w.聽
Zdalne przejmowanie funkcji systemu jest powa偶nym problemem dla pojazd贸w autonomicznych. Naukowcy wykazali, w jaki spos贸b zaawansowane systemy wspomagania jazdy (ADAS) w Tesli Model X mog膮 zosta膰 oszukane, aby zmieni膰 kierunek jazdy. By pojazdy pod艂膮czone do sieci osi膮gn臋艂y sw贸j pe艂ny potencja艂, producenci samochod贸w musz膮 przekona膰 organy regulacyjne i klient贸w, 偶e s膮 naprawd臋 bezpieczne.
Po艂膮czone aplikacje samochodowe
Aplikacje mobilne zast臋puj膮ce karty to kolejny znacz膮cy post臋p, kt贸rego zaczynamy by膰 艣wiadkiem. Obecnie te aplikacje mog膮 wykonywa膰 proste funkcje, takie jak odblokowywanie samochodu, po zaawansowane czynno艣ci, takie jak samodzielne parkowanie lub wzywanie samochodu. Wszystkie te funkcje wymagaj膮 przechowywania i przekazywania poufnych informacji z poziomu aplikacji. Dlatego zabezpieczenie danych w spoczynku i w ruchu ma kluczowe znaczenie dla zdobycia zaufania klient贸w.
Aby tak si臋 sta艂o, tw贸rcy aplikacji musz膮 nada膰 najwy偶szy priorytet cyberbezpiecze艅stwu po艂膮czonego samochodu. Ale to nie jest takie proste, jak si臋 wydaje. Posiadanie wystarczaj膮co du偶ego wewn臋trznego zespo艂u ds. bezpiecze艅stwa, aby utrzyma膰 bezpiecze艅stwo aplikacji na wymaganym poziomie, mo偶e nie zawsze by膰 realn膮 opcj膮 dla producent贸w samochod贸w.
Aplikacje s膮 ju偶 trzecim najpopularniejszym wektorem atak贸w wykorzystywanym do infiltracji pod艂膮czonych samochod贸w. Wraz z rosn膮c膮 liczb膮 kradzie偶y aplikacje samochodowe mog膮 sta膰 si臋 jeszcze wi臋kszym i lukratywnym celem.
Droga przed nami: lepsze bezpiecze艅stwo nowoczesnych, smart samochod贸w
Wzmocnienie cyberbezpiecze艅stwa samochod贸w po艂膮czonych do sieci i zabezpieczenie powi膮zanych aplikacji motoryzacyjnych przed w艂amaniem wymaga wielu technik blokowania i udaremniania wysi艂k贸w haker贸w.
Firma Zimperium dysponuje narz臋dziami pozwalaj膮cymi chroni膰 nie tylko wielkie koncerny, kody 藕r贸d艂owe i zaawansowane aplikacje, ale tak偶e nasze mobilne urz膮dzenia wykorzystywane w r贸偶nego rodzaju organizacjach.
Zimperium oferuje jedyn膮 ochron臋 w czasie rzeczywistym na urz膮dzeniu opart膮 na uczeniu maszynowym. Rozwi膮zania Zimperium chroni膮 mobilne punkty ko艅cowe i aplikacje przeciwko atakom na urz膮dzenia, sie膰, phishing i z艂o艣liwe aplikacje.
Zimperium zapewnia jedyne rozwi膮zania MTD (Mobile Threat Defense), kt贸re:

zapewniaj膮 ochron臋 przed atakami rozpoznanych i nierozpoznanych urz膮dze艅, sieci, z艂o艣liwych aplikacji i phishingiem;
bazuj膮 na systemach Android, iOS i Chromebook;
mog膮 by膰 zarz膮dzane z ka偶dego systemu chmurowego i on-prem;
posiadaj膮 certyfikacj臋 FedRAMP 鈥淎uthority to Operate鈥;
mog膮 chroni膰 prywatno艣膰 bez wysy艂ania 偶adnych danych umo偶liwiaj膮cych identyfikacj臋 u偶ytkownika;

Je艣li chcesz dowiedzie膰 si臋 wi臋cej o rozwi膮zaniach Zimperium skontaktuj si臋 z nami.

Czytaj wi臋cej
Krytyczna luka Log4Shell 鈥 Jak si臋 zabezpieczy膰 przed potencjalnym atakiem
29.12.2021
Integrity Partners

Krytyczna luka Log4Shell 鈥 Jak si臋 zabezpieczy膰 przed potencjalnym atakiem?

Luka w oprogramowaniu Log4j (nazwana te偶 Log4Shell) mo偶e stanowi膰 krytyczne zagro偶enie dla wielu organizacji! Ten artyku艂 pomo偶e Ci zrozumie膰 zagro偶enie i przedstawi najlepsze praktyki w zakresie bezpiecze艅stwa to偶samo艣ci.

 
Od kiedy o tym wiemy i o co w tym chodzi?
W listopadzie 2021 roku Fundacja Apache otrzyma艂a zg艂oszenie naruszenia bezpiecze艅stwa w stworzonej przez siebie bibliotece log4j. A dok艂adniej chodzi o funkcj臋, kt贸r膮 mo偶na wykorzysta膰 w 鈥瀦艂o艣liwym鈥 celu. Okaza艂o si臋, 偶e gdy do bibliotek przeka偶e si臋 odpowiednio przygotowany tekst z adresem strony, wtedy biblioteka spr贸buje pobra膰 plik a nast臋pnie go uruchomi膰. Dalej ju偶 chyba nie trzeba wyja艣nia膰 co mo偶na zrobi膰.
 
Jakiego rodzaju jest to zagro偶enie?
Specjali艣ci od cyberbezpiecze艅stwa nazwali ten incydent Log4Shell i m贸wi膮 nawet o najwi臋kszym zagro偶eniu od dekad. Luka w oprogramowaniu stwarza wielkie mo偶liwo艣ci hakerom. Bez wiedzy u偶ytkownika mog膮 mie膰 dost臋p do tysi臋cy wra偶liwych danych.
鈥濧by przeprowadzi膰 atak, osoba, kt贸ra chce wykorzysta膰 luk臋, musi uzyska膰 kod tego ataku odczytany przez bibliotek臋 log4j. W tym celu mo偶e wprowadzi膰 dane w polu formularza lub w danych technicznych po艂膮czenia, zmieniaj膮c np. nazw臋 swojej przegl膮darki internetowej lub swojego klienta poczty e-mail.鈥 – Eric Freyssinet, Specjalista ds. Cyberbezpiecze艅stwa we francuskiej 呕andarmerii.

Co dalej?
Apache wyda艂 ju偶 oficjaln膮 poprawk臋 dost臋pn膮 dla wszystkich. Instalacja aktualizacji nie jest procesem scentralizowanym i ka偶dy u偶ytkownik musi j膮 indywidualnie pobra膰 i zainstalowa膰 na swoim komputerze. Proces ten mo偶e zatem potrwa膰.
Warto doda膰, 偶e potencjalne ataki prawdopodobnie nie b臋d膮 wymierzone w zwyk艂ych u偶ytkownik贸w. Wed艂ug ekspert贸w, hakerzy najpewniej powinni zaatakowa膰 najwi臋ksze organizacje korzystaj膮ce z log4j i b臋d膮ce jednocze艣nie podatne na zagro偶enie.
 
Najlepsze praktyki cyberbezpiecze艅stwa
Nasz wieloletni Partner i ekspert od dost臋pu uprzywilejowanego, firma CyberArk, zaproponowa艂 6 zasad, kt贸rymi powinni艣my si臋 kierowa膰, by zmniejszy膰 ryzyko Log4Shell. Zach臋camy do przeczytania i wdro偶enia tych zasad w swojej organizacji.
 
6 najlepszych praktyk w zakresie bezpiecze艅stwa to偶samo艣ci w celu zmniejszenia ryzyka Log4Shell

Instalacja poprawek: Je艣li jeszcze tego nie zrobi艂e艣, podejmij natychmiastowe kroki i zainstaluj aktualizacj臋 oprogramowania Log4J wydan膮 przez Apache. Wa偶ne jest r贸wnie偶, aby zapozna膰 si臋 z zaleceniami dostawc贸w dotycz膮cych aktualizacji dla u偶ywanych platform.
Zabezpieczenia peryferyjne: Zastosuj regu艂y zapory aplikacji internetowych (WAF), aby z艂agodzi膰 typowe pr贸by wykorzystania danych w ramach kompleksowej strategii obrony organizacji przed cyberzagro偶eniami.
Dane uwierzytelniaj膮ce: Ogranicz dost臋p do zmiennych 艣rodowiskowych i lokalnych to偶samo艣ci przechowywanych w CI/CD, aby zminimalizowa膰 bezpo艣rednie ryzyko stwarzane przez atakuj膮cych.
Zasoby poziomu 0: Zezwalaj tylko na uprzywilejowany dost臋p do okre艣lonych host贸w, aby ograniczy膰 dost臋p do zasob贸w warstwy 0, takich jak Active Directory i DevOps. To znacznie utrudni atakuj膮cemu w艂amanie do sieci.
Polityka minimalnych uprawnie艅: Ograniczenie dost臋pu do wymaganego minimalnego poziomu 鈥 i odebranie go, gdy nie jest potrzebny 鈥 mo偶e znacznie spowolni膰 lub zatrzyma膰 atakuj膮cego.
Uwierzytelnianie wielosk艂adnikowe: Atakuj膮cy ma znacznie wi臋ksze szanse na sukces, gdy nie musz膮 zapewni膰 drugiego czynnika uwierzytelniaj膮cego ani innego elementu potwierdzenia to偶samo艣ci, aby zaaplikowa膰 sw贸j z艂o艣liwy kod.

Chcesz wdro偶y膰 rozwi膮zania chroni膮ce Twoj膮 organizacj臋 przed potencjalnymi atakami? Skontaktuj si臋 z nami, by dobra膰 odpowiedni produkt.

Czytaj wi臋cej
Microsoft Teams Essentials - nowy produkt dla ma艂ych i 艣rednich firm
17.12.2021
Integrity Partners

Microsoft Teams Essentials 鈥 nowy produkt dla ma艂ych i 艣rednich firm

W dobie pandemii i coraz popularniejszej pracy hybrydowej, firmy z sektora SMB (Small and Medium Business) musz膮 szybko przystosowa膰 si臋 do nowej sytuacji. Post臋puj膮ca transformacja cyfrowa poci膮ga za sob膮 szereg wyzwa艅, ale i otwiera zupe艂ne nowe mo偶liwo艣ci rozwoju. Microsoft Teams Essentials to odpowied藕 na t臋 sytuacj臋.
Teams Essentials – Dedykowana oferta dla ma艂ych i 艣rednich firm

W odpowiedzi na potrzeby ma艂ych i 艣rednich przedsi臋biorstw Microsoft przygotowa艂 nowy produkt w swojej ofercie. Microsoft Teams Essentials to nowa licencja standalone dla Microsoft Teams skierowana do firm korzystaj膮cych ze spotka艅 online, kt贸re nie s膮 jeszcze gotowe na ca艂kowit膮 migracj臋 do chmury Microsoft. Dost臋p do Teams Essentials wygl膮da bardzo korzystnie cenowo, mo偶na powiedzie膰 wr臋cz, 偶e jest skrojony na miar臋 SMB. To co mo偶e przyci膮gn膮膰 w艂a艣cicieli tych firm, to fakt, 偶e nie trzeba mie膰 wykupionego ca艂ego pakietu Microsoft 365. Wystarczy mie膰 pakiet Teams Essentials 偶eby u偶ywa膰 opcji spotka艅 w ramach Microsoft Teams.
Otrzymuj powiadomienia Teams na ka偶dym mailu
Nie wszystkie firmy s膮 gotowe na przej艣cie o poziom wy偶ej z rozwi膮zaniami pocztowymi. Korzystaj膮c z obecnego adresu mailowego pracownicy mog膮 otrzymywa膰 powiadomienia z Teams i kalendarza. Ca艂a firma mo偶e otrzymywa膰 informacje o zbli偶aj膮cym si臋 spotkaniu, a organizator ma podgl膮d kto zaakceptowa艂 zaproszenie, a kto jeszcze si臋 waha. Pozostaj膮c przy istniej膮cej ju偶 poczcie mo偶na podnie艣膰 produktywno艣膰 i wsp贸艂prac臋 wewn膮trz organizacji poprzez opcje Teams.
Pracuj zespo艂owo i produktywnie

Dzi臋ki mo偶liwo艣ciom Teams Essentials mo偶esz przeprowadza膰 spotkania dla swoich pracownik贸w i klient贸w. Wsp贸艂praca w trybie pracy zdalnej lub hybrydowej jest niezwykle istotna, wi臋c warto j膮 uskutecznia膰 w najlepszy mo偶liwy spos贸b. Podczas spotka艅 mo偶esz prezentowa膰 nawet dla kilkuset os贸b. Ka偶dy u偶ytkownik mo偶e dzieli膰 si臋 swoimi projektami w ramach wsp贸艂dzielonego miejsca na dysku. Nagrywane spotkania mo偶esz p贸藕niej udost臋pnia膰 uczestnikom. Te i inne opcje w ramach licencji Teams Essential pomog膮 Twojej firmie zrobi膰 pierwszy krok do transformacji cyfrowej.
W ramach Teams Essentials klienci otrzymuj膮 szereg opcji, kt贸re s膮 dost臋pne w Microsoft Teams:
– organizacja spotka艅 online do 300 uczestnik贸w
– 10 GB wsp贸艂dzielonego miejsca na dysku
– mo偶liwo艣膰 integracji z kalendarzem Google
– nagrywanie spotka艅
– czat i udost臋pnianie ekranu
– dost臋p do aplikacji mobilnej
– integracja z ponad 800 aplikacjami
– i wiele wi臋cej 鈥
Wszystko to sprawia, 偶e ka偶da, nawet ma艂a organizacja b臋dzie mia艂a szans臋 na produktywne spotkania w rozs膮dnej cenie. Poni偶ej przedstawiamy por贸wnanie pakiet贸w Microsoft Teams.
[caption id="attachment_2025" align="aligncenter" width="556"] Powy偶szy cennik mo偶e si臋 zmieni膰.[/caption]
 
Zach臋camy do kontaktu, gdyby kt贸ra艣 z opcji by艂a interesuj膮ca dla Twojej organizacji.

Czytaj wi臋cej
Przepraszamy, zamkni臋te - Dlaczego wi臋kszo艣膰 atak贸w ransomware ma miejsce poza godzinami pracy
2.11.2021
Integrity Partners

鈥濸rzepraszamy, zamkni臋te鈥 – Dlaczego wi臋kszo艣膰 atak贸w ransomware ma miejsce poza godzinami pracy?

Darktrace regularnie odnotowuje zwi臋kszon膮 liczb臋 cyberatak贸w typu ransomware podczas 艣wi膮t, weekend贸w oraz poza regularnymi godzinami pracy. S膮 one w贸wczas znacznie trudniejsze do wykrycia, a co za tym idzie mog膮 przynie艣膰 proporcjonalnie wi臋cej szk贸d, z uwagi na brak natychmiastowej reakcji zespo艂u odpowiedzialnego za wykrywanie i procesowanie incydent贸w bezpiecze艅stwa.
Powy偶sze okoliczno艣ci powoduj膮, 偶e zagro偶enia oraz ataki mog膮 zosta膰 przeprowadzone praktycznie niezauwa偶alnie. Organizacja pozbawiona autonomicznych system贸w wykrywaj膮cych zagro偶enia w czasie rzeczywistym nara偶ona jest w znacznie wi臋kszym stopniu na niespodziewany atak, jak i r贸wnie偶 naprawy szk贸d przez niego wyrz膮dzonych.
Ransomware: Niechciany prezent pod choink臋
Jednym z najcz臋stszych zagro偶e艅 wyst臋puj膮cych poza godzinami pracy jest Ransomware. W poni偶szym przyk艂adzie Darktrace zosta艂 poinformowany o ataku Ransomware w sieci klienta. Incydent mia艂 miejsce w Wigili臋 poza godzinami pracy, kiedy wi臋kszo艣膰 pracownik贸w by艂a offline w swoich domach.
[caption id="attachment_2005" align="aligncenter" width="967"] Rysunek 1. O艣 czasu przedstawiaj膮ca Wigilijny atak Ransomware[/caption]
Atak zacz膮艂 si臋 rozprzestrzenia膰 od jednego niepozornego komputera, zainfekowanego w tygodniu poprzedzaj膮cym szyfrowanie. Komputer ten by艂 wykorzystany jako wektor i dzi臋ki niemu z艂o艣liwy program zdoby艂 dost臋p do dw贸ch kontroler贸w domen:

serwer贸w u偶ywanych do weryfikacji u偶ytkownik贸w,
autentykacji 偶膮da艅 wewn膮trz sieci.

Nast臋pnie oba serwery wykona艂y nietypowe po艂膮czenie C2 (Command and Control) do endpointa powi膮zanego z Ransomware. Nast臋pnie zagro偶enie przesz艂o w stan ukrycia.
Warto zaznaczy膰, 偶e ju偶 na tym etapie DarkTrace wykry艂 i zaalarmowa艂 zesp贸艂 bezpiecze艅stwa. Niestety z uwagi na okres 艣wi膮teczny zesp贸艂 bezpiecze艅stwa nie by艂 w stanie zareagowa膰 na czas. Bez produktu Antigena Network oraz Proactive Threat Notifications (PTNs) zagro偶enie nieprzerwanie przybiera艂o na sile.
24 grudnia Ransomware ponownie si臋 aktywowa艂. Wykorzystuj膮c swoje zdobyte uprawnienia rozes艂a艂 po urz膮dzeniach wewn膮trz firmy skompromitowane pliki wykonywalne. W tym momencie wcze艣niej zdefiniowane przez atakuj膮cego dane organizacji zosta艂y wys艂ane na zewn臋trzn膮 lokalizacj臋 w chmurze, z kt贸rej od razu zosta艂 pobrany Ransomware.
Cyber-atak maj膮cy miejsce podczas 艣wi膮t od razu zyskuj臋 na przewadze wykorzystuj膮c przerwane 艂a艅cuchy komunikacji z zespo艂ami bezpiecze艅stwa w organizacji ofiary. Kto wi臋c powinien si臋 tym zaj膮膰? 聽Jak powinna wygl膮da膰 dost臋pno艣膰 os贸b z tego dzia艂u? Czy istniej膮 inne, specjalne procedury dotycz膮ce atak贸w poza godzinami pracy?
Gdy takie pytania pojawiaj膮 si臋 niespodziewanie podczas dni wolnych od pracy, znalezienie odpowiedzi staje si臋 zaskakuj膮co trudne. W momencie, kiedy znamy na nie odpowied藕, najcz臋艣ciej jest ju偶 za p贸藕no 鈥 szkody zosta艂y ju偶 poczynione.
Po opanowaniu ataku pojawiaj膮 si臋 tak偶e kolejne wyzwania zwi膮zane z ocen膮 zagro偶enia: zesp贸艂 bezpiecze艅stwa b臋dzie musia艂 przeprowadzi膰 艣ledztwo i w pierwszej kolejno艣ci dowiedzie膰 si臋 co si臋 wydarzy艂o i jakie b臋d膮 konsekwencje ataku. W przypadku gdy ci臋偶ko jest zmobilizowa膰 rozproszony personel oraz gdy zewn臋trzne us艂ugi bezpiecze艅stwa s膮 na wag臋 z艂ota, proces ten staje si臋 zadaniem 偶mudnym. Dodatkowo kluczowe informacje jak r贸wnie偶 dowody mog膮 bezpowrotnie przepa艣膰. Doprowadza to do sytuacji, gdy firma pozostaje podatna na podobne ataki w przysz艂o艣ci.
Czekaj膮c na sobot臋 – przyk艂ad ataku ransomware
艢wi臋ta bez w膮tpienia zwi臋kszaj膮 podatno艣膰 firm na ataki zar贸wno pod k膮tem logistycznym, jak i ludzkim. Cz臋sto jednak nie bierze si臋 pod uwag臋 podobnych przestoj贸w spowodowanych atakami tego samego typu maj膮cymi miejsce przez ca艂y rok 鈥 pod koniec ka偶dego tygodnia. Skala jest mniejsza, jednak nie zmienia to faktu, 偶e incydenty tego typu nie powinny by膰 ignorowane. W ostatnich miesi膮cach Darktrace zaobserwowa艂 ogromny wzrost tego typu weekendowych atak贸w.
[caption id="attachment_2006" align="aligncenter" width="326"] Rysunek 2. Diagram s艂贸w kluczowych, kt贸re zaobserwowa艂 Darktrace analizuj膮c ataki przypadaj膮ce na „po godzinach”.[/caption]
Powy偶szy problem dotyczy innego ataku Ransomware, kt贸ry uderzy艂 w organizacj臋 hotelarsk膮 maj膮c膮 swoj膮 siedzib臋 w Wielkiej Brytanii. Kiedy jeden z u偶ytkownik贸w sieci nie艣wiadomie otworzy艂 wiadomo艣膰 email zawieraj膮c膮 szkodliw膮 zawarto艣膰 jego urz膮dzenie zosta艂o zainfekowane. Infekcja wykorzystywa艂a clear text password exploit aby – wykorzystuj膮c istniej膮ce po艣wiadczenia – uzyska膰 nieautoryzowany dost臋p do czterech innych urz膮dze艅 w sieci, w tym dw贸ch kluczowych serwer贸w.
To w艂a艣nie te serwery pos艂u偶y艂y atakuj膮cym do wysy艂ania spamu oraz dalszego infekowania pozosta艂ych maszyn w sieci. Przez nast臋pne tygodnie, podczas weekend贸w zainfekowane urz膮dzenia wykonywa艂y mn贸stwo po艂膮cze艅 do endpoint贸w powi膮zanych z XINOF Ransomware.
Przyk艂ad ten pokazuje dobitnie, jak infekcje przeprowadzane poza regularnymi godzinami pracy mog膮 pochodzi膰 z ka偶dej strony. Warto r贸wnie偶 zwr贸ci膰 uwag臋 jak czynnik ludzki 鈥 w tym przypadku niezastosowanie si臋 do protoko艂贸w bezpiecze艅stwa przez osob臋 z zewn膮trz organizacji 鈥 doprowadzi艂y do rozprzestrzenienia zagro偶enia oraz jego p贸藕niejszego ukrycia przed powrotem zespo艂u bezpiecze艅stwa w poniedzia艂ek.
W przypadku narusze艅 bezpiecze艅stwa, kt贸re i tak mog膮 zaj膮膰 miesi膮ce zanim zostan膮 wykryte i zaadresowane nowoczesne zagro偶enia korzystaj膮 z ka偶dego sposobu, aby jeszcze bardziej wyd艂u偶y膰 czas wykrycia. Pierwszym naturalnym krokiem powinno by膰 poprawienie detekcji oraz sposobu reagowania na tego typu weekendowe zagro偶enia. Taki rodzaj zabezpiecze艅 mo偶na b臋dzie prze艂o偶y膰 na d艂u偶sze 艣wi膮teczne okresy 鈥 nie jest to jednak rozwi膮zanie trwa艂e 鈥 do tego potrzebne jest proaktywne podej艣cie.
Rozwi膮zanie, kt贸re nigdy nie 艣pi – odpowied藕 na ransomware
W powy偶szym przyk艂adzie, Autonomiczna Odpowied藕 (Autonomous Response) na zagro偶enie by艂a mo偶liwa na ka偶dym etapie ataku 鈥 niestety nie by艂a aktywna.

Antigena Email mog艂aby st艂umi膰 atak w zarodku, dzi臋ki poddaniu kwarantannie wiadomo艣ci z podejrzanym za艂膮cznikiem, jeszcze zanim spenetrowa艂aby ona sie膰 organizacji.
W przypadku przenikni臋cia do organizacji, kluczowe serwery nie zosta艂yby naruszone dzi臋ki zidentyfikowaniu z艂o艣liwej aktywno艣ci. Ruch wykorzystuj膮cy zebrane has艂a zosta艂by zatrzymany, a偶 do momentu weryfikacji przez zesp贸艂 bezpiecze艅stwa.
Na sam koniec po艂膮czenia z podejrzanymi stronami zawieraj膮cymi 艂adunek XINOF zosta艂yby zablokowane, zapobiegaj膮c tym samym dalszym szkodom.

W przeciwie艅stwie do cz艂owieka, Sztuczna Inteligencja (AI) nigdy nie 艣pi i nigdy nie ma wolnego. Sztuczna Inteligencja pracuje przez ca艂膮 dob臋 wykrywaj膮c wszystkie zagro偶enia w ich pocz膮tkowym stadium. Takie dzia艂anie zapobiega dalszej eskalacji, jednocze艣nie daj膮c drogocenny czas zespo艂om bezpiecze艅stwa do reakcji oraz pracy nad samym 藕r贸d艂em zagro偶enia.
Je艣li zesp贸艂 bezpiecze艅stwa potrzebuje dodatkowej pary oczu rozszerzaj膮cej ich pole widzenia i pozwalaj膮ce na z艂agodzenie atak贸w 鈥 mo偶na do tego celu wykorzysta膰 us艂ug臋 Proactive Threat Notification. Us艂uga ta po wykryciu zagro偶enia przesy艂a je bezpo艣rednio do Security Operation Centre po stronie Darktrace, gdzie zostanie zbadane przez eksperta do spraw cyber-bezpiecze艅stwa. Us艂uga Darktrace PTN SOC wykorzystuje podej艣cie follow-the-sun, co oznacza, 偶e organizacje chronione s膮 przez ca艂膮 dob臋.
Czas to pieni膮dz
Powy偶sze case studies maj膮 za zadanie by膰 przestrog膮 i przypomina膰 o konieczno艣ci ochrony przez ca艂膮 dob臋, siedem dni w tygodniu. Specjali艣ci do spraw bezpiecze艅stwa stale podwy偶szaj膮 swoje umiej臋tno艣ci w walce z cyber-zagro偶eniami. Walka toczy si臋 po obu stronach 鈥 zagro偶enia tak偶e ewoluuj膮 stale adaptuj膮c si臋 do zmieniaj膮cego si臋 艣wiata i wykorzystuj膮 ka偶d膮 mo偶liwo艣膰, kt贸ra daje im przewag臋 podczas ataku.
Teraz, bardziej ni偶 kiedykolwiek staje si臋 jasne, 偶e autonomiczna detekcja korzystaj膮ca ze Sztucznej Inteligencji jest jedynym rozwi膮zaniem, kt贸re mo偶e wyeliminowa膰 czynnik czasu podczas ataku 鈥 reaguj膮c na zagro偶enie b艂yskawicznie. Nawet gdy biuro jest zamkni臋te, komputery wy艂膮czone i nie ma nikogo 鈥 organizacja pozostaje chroniona.
Przetestuj bezp艂atnie rozwi膮zanie Darktrace Zarejestruj si臋.

Czytaj wi臋cej
Ten serwis u偶ywa plik贸w "cookies" zgodnie z聽POLITYK膭 PRYWATNO艢CI. Brak zmiany ustawie艅 przegl膮darki oznacza jej akceptacj臋. View more
Rozumiem