Efektywne wykrywanie zagrożeń w środowisku rozproszonym

Published by Ludwik Krakowiak
May 24, 2022 @ 10:42 AM

Jak zapewnić należyty poziom ochrony firmowych systemów informatycznych w organizacji, której oddziały rozsiane są po całym świecie i która codziennie obsługuje dziesiątki tysięcy klientów, a w dodatku funkcjonuje w sektorze finansowym, objętym czujnym okiem rynkowych regulatorów?

Informatyczny ekosystem przedsiębiorstwa jest dziś znacznie bardziej złożony niż kilka, kilkanaście lat temu, gdy firmowe IT bazowało na lokalnych zasobach, zaufanych punktach końcowych i aplikacjach. Współczesny technologiczny misz-masz stawia przed organizacjami zupełnie nowe wyzwania i niesie ze sobą niespotykane dotąd ryzyka. Większość firm posiada rozległe środowiska informatyczne, obejmujące zasoby zarówno on-premise, jak i w chmurze – i jedne, i drugie wymagają odpowiedniej ochrony.

W firmie ING Hubs Poland zdecydowano się zastosować koncepcję Extended Detection and Response.

Spółka, do niedawna funkcjonująca pod nazwą ING Tech Poland, to jeden z globalnych hubów świadczących usługi IT oraz usługi operacyjne dla podmiotów z grupy ING na całym świecie. Do obszaru IT należą usługi zdalne i aplikacyjne, jak również hosting oraz bezpieczeństwo informatyczne (w Katowicach działa globalne Cybersecurity Operations Center). Ogółem, w obu krajowych biurach firmy, katowickim i warszawskim, zatrudnionych jest ok 2 tys. pracowników.

O doświadczeniach z realizacji podejścia rozszerzonego wykrywania incydentów i reagowania na nie opowiadał – w trakcie spotkania zorganizowanego przez CIONET w ramach programu Tribes – Łukasz Chrin, dyrektor ds. bezpieczeństwa IT.

CIONET_TRIBES_27_ING_V2

Architektura bezpieczeństwa
W początkowym okresie działalności katowickiego centrum usług wspólnych bezpieczeństwa stosowano podstawowe narzędzie typu SIEM (ang. Security Information and Event Management) bazujące na prostym zestawie reguł i dysponujące, zwłaszcza jak na dzisiejsze standardy, ograniczonymi możliwościami technicznymi.

Wzrost liczebności zespołu i liczby zasobów do ochrony wymusiły modernizację. W 2013-14 r. zapadła decyzja o przesiadce na nowy system SIEM – ArcSight. Zmienione zostało nie tylko narzędzie, ale i podejście – zamiast monitoringu opartego na regułach zaczęto stosować monitoring bazujący na scenariuszach ataków.

Obecnie ArcSight zbiera informacje z dziesiątek tysięcy źródeł takich jak bazy danych, aplikacje oraz komponenty sieciowe, przetwarzając dziennie ponad 15 terabajtów danych. Źródła te są rozsiane po różnych krajach, w których funkcjonują podmioty z grupy ING – klienci ING Hubs Poland. Duża ich część wciąż osadzona jest w środowiskach lokalnych, w centrach danych korzystających z różnych technologii.

W ekosystemie ArcSight funkcjonuje 400 serwerów, tzw. łączników, rozlokowanych w kilkudziesięciu krajach oraz dwa tys. zainstalowanych komponentów. Łączniki mają za zadanie łączyć zbierane dane, standaryzować i normalizować je na potrzeby dalszej analityki.

SIEM współpracuje z dodatkowym rozwiązaniem ochronnym, DarkTrace, które działa w warstwie sieciowej i którego celem jest inspekcja ruchu sieciowego.

Istotną rolę w systemie bezpieczeństwa ING Hubs odgrywają też rozwiązania Microsoftu, chroniące chmurową warstwę infrastruktury IT:

  • Microsoft 365 Defender, zawierający m.in. moduły do ochrony punktów końcowych, tożsamości i aplikacji w ramach pakietu Office 365 oraz
  • Microsoft Defender for Cloud, zabezpieczający serwery i maszyny wirtualne, usługi aplikacyjne Azure, ruch sieciowy i bazy SQL.

Z perspektywy inżyniera i administratora nie lada wyzwaniem jest zarządzanie tak rozległą infrastrukturą, zwłaszcza, że zapewniamy usługi w trybie 24/7 z bardzo rygorystycznym SLA. Z perspektywy operacyjnej nasi analitycy muszą zarządzać wszystkimi alertami w ustalonych ramach czasowych, a cała infrastruktura ArcSight musi działać stabilnie. Dlatego to tak ważne, że by móc korelować dane i wychwytywać potencjalne zagrożenia i podejrzaną aktywność - Łukasz Chrin, dyrektor ds. bezpieczeństwa IT, ING Hubs Poland

Tak dochodzimy do koncepcji XDR.

Czym jest XDR
Zgodnie z definicją wprowadzoną przez firmę badawczo-analityczną Gartner, XDR to oparty o usługi SaaS system do wykrywania zagrożeń bezpieczeństwa i odpowiedzi na incydenty, który natywnie integruje liczne produkty bezpieczeństwa w ramach jednego, spójnego rozwiązania.

Cele przyświecające wdrożeniu XDR to:

  • poprawa możliwości detekcji incydentów bezpieczeństwa, reakcji na nie i zapobiegania kolejnym,
  • poprawa wydajności operacyjnej zespołów bezpieczeństwa,
  • obniżenie całkowitego kosztu utrzymania infrastruktury security.

Tradycyjny SIEM, taki jak ArcSight, łączy infrastrukturę, aplikacje, sieć, urządzenia końcowe i mobilne, rozwiązania do zarządzania tożsamością oraz urządzenia sieciowe, takie jak zapory sieciowe i Web Application Firewall. Ale równolegle istnieją zasoby on-premise, o których nie możemy zapominać.

Już samo to, że dysponujemy dwoma rozwiązaniami bezpieczeństwa, ArcSight i DarkTrace, stanowiło pewne wyzwanie. A zdecydowaliśmy jeszcze, że stworzymy własne modele uczenia maszynowego bazujące na technologii do lepszej filtracji ruchu sieciowego, przez co doszło nam kolejne źródło alertów - Łukasz Chrin, dyrektor ds. bezpieczeństwa IT, ING Hubs Poland

Architektura bezpieczeństwa pozwala ING Hubs Poland gromadzić sygnały o różnych "fazach" ataku. Przykładowo, o próbie phishingu zaalarmuje Defender for Office 365, podejrzany ruch, świadczący o komunikacji z serwerami zarządzania i kontroli, zgłosi DarkTrace, a o naruszeniach przywilejów dostępu poinformuje ArcSight.

Do osiągnięcia efektywności z perspektywy operacyjnej i wykrywania zagrożeń, potrzebna nam spójność detekcji i odpowiedzi wzdłuż różnych rozwiązań. Należy umieć wyłapywać sygnały, które pojawiają się w jednym z narzędzi ale mogą mieć związek z innymi i korelować je, by wychwycić potencjalny atak - Łukasz Chrin, dyrektor ds. bezpieczeństwa IT, ING Hubs Poland

Bezpieczeństwo zintegrowane
Aby upewnić się, że, po pierwsze, żaden potencjalnie groźny incydent nie zostanie przeoczony, a po drugie – dane o zdarzeniach będą skorelowane na poziomie wystarczającym do zapewnienia optymalnych warunków pracy specjalistom z centrum operacji bezpieczeństwa, zastosowano warstwę integracji bezpieczeństwa.

Problem w tym, że warstwa dostarczona przez Microsoft – Fusion M365 – dotyczyła tylko zasobów chmurowych, takich jak poczta elektroniczna czy aplikacje Office 365. Ponieważ jednak, tak jak większość firm finansowych, ING wciąż utrzymuje wiele swoich zasobów – i to kluczowych – w on-premise, uznano zastosowanie tylko tego typu XDR za niewystarczające.

Tak powstała nasza własna warstwa integracji – próba połączenia sygnałów z chmury z danymi z on-premise. Efektywne wykrywanie zagrożeń musi być skonsolidowane i zaimplementowane w całym środowisku a nie tylko poprzez używanie XDR tylko dla jednej warstwy czy obszaru - Łukasz Chrin, dyrektor ds. bezpieczeństwa IT, ING Hubs Poland

A oto jak wygląda przepływ danych w autorskiej warstwie integracji ING Hubs Poland:

  • sygnały z systemów ArcSight, DarkTrace i modeli uczenia maszynowego są przesyłane do open-source’owej platformy przesyłania strumieniowego Apache kafka,
  • stamtąd, w formie potoków danych trafiają, do systemu dystrybucji danych Apache NiFi…
  • …by wreszcie, już w formie ustandaryzowanej i znormalizowanej, trafić do modułu Azure Event Hub i całego ekosystemu Azure.

XDR – trzy poziomy korzyści
Zastosowanie koncepcji Extended Detection and Response przyniosło ING Hubs Poland szereg korzyści na poziomach zarządzania zespołem, procesami i technologią.

W zakresie poprawy jakości pracy personelu osiągnięto:

  • uproszczone zarządzanie alertami i incydentami (jeden panel dla zespołów bezpieczeństwa),
  • zmniejszenie obciążenia zespołów w zakresie utrzymania rozwiązania (uproszczona architektura),
  • zmniejszenie obciążenia związanego z planowaniem i przeprowadzaniem rutynowych czynności, takich jak skanowanie podatności,
  • ograniczenie obciążenia związanego z analizą zdarzeń fałszywie pozytywnych (dzięki bardziej dojrzałej i precyzyjnej detekcji),
  • krótsze czasy przetwarzania alertów (dzięki pełniejszym danym).

Najważniejsze korzyści z wdrożenia koncepcji XDR pod względem procesowym to:

  • centralizacja repozytorium zasobów i oprogramowania,
  • widoczność pomiędzy wszystkimi zasobami,
  • skrócenie czasu reakcji na incydenty.

W ujęciu technologicznym uzyskano:

  • uproszczony i zintegrowany ekosystem bezpieczeństwa,
  • możliwość zapobiegania incydentom i reakcji na nie we wszystkich środowiskach,
  • możliwość korelacji i wzbogacania danych oraz automatyzacji środków zaradczych,
  • zmniejszenie liczby punktowych rozwiązań bezpieczeństwa.

 

 

 

 

Posted in:CIONET Poland

No Comments Yet

Let us know what you think

You May Also Like

These Stories on CIONET Poland

Subscribe by Email