Stałe monitorowanie i obsługa incydentów bezpieczeństwa w trybie 24/7 przez specjalistów Netia SOC realizowane jest z wykorzystaniem światowej klasy systemów SIEM (ang. Security Information and Event Management). Najtrudniejszą częścią obsługi incydentu bezpieczeństwa jest ustalenie jego ważności oraz wykonanie analizy i podjęcie odpowiednich działań mitygujących. Wykorzystanie wielu źródeł informacji jest często wyzwaniem. Wiele systemów bezpieczeństwa spełni swoją rolę tylko wówczas, gdy będziemy je wszystkie na bieżąco monitorować. SIEM zbiera ogromną ilość informacji o zdarzeniach z urządzeń sieciowych i systemów informatycznych (tzw. logi), a następnie koreluje zebrane informacje z różnych źródeł zgodnie ze zdefiniowanymi politykami bezpieczeństwa. W przypadku wykrycia podejrzanego zdarzenia system generuje ostrzeżenie, które inicjuję klasyfikację i obsługę incydentu przez analityków SOC oraz umożliwia podjęcie stosownych działań zaradczych zdefiniowanych w scenariuszu (np. kontakt z Klientem, automatyczna lub ręczna rekonfiguracja urządzenia sieciowego, izolacja zainfekowanej stacji, inicjacja działań defensywnych etc).  

Zespół Netia SOC zapewnia dobór odpowiedniego systemu SIEM/SOAR, jego pełne wdrożenie oraz integrację z infrastrukturą Klienta. Poziom świadczenia usługi jest potwierdzony umową SLA.

Monitoring z wykorzystaniem zaawansowanych systemów SIEM pozwala na wykrywanie i reagowanie na zagrożenia w czasie rzeczywistym, eliminując potrzebę manualnego śledzenia procesów na poszczególnych systemach bezpieczeństwa. Działania systemu oraz wyniki monitoringu są regularnie raportowane i wraz z rekomendacjami specjalistów SOC są cyklicznie przekazywane Klientowi.

Incydenty bezpieczeństwa rozpoznane u Klienta mogą być zgłaszane za pośrednictwem Netia SOC do odpowiedniego CSIRT krajowego lub sektorowego (zgodnie z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa).

Dlaczego warto?
Proaktywny monitoring oraz szybka reakcja na zdarzenia bezpieczeństwa umożliwia utrzymanie ciągłości działania kluczowych systemów biznesowych i podniesienie poziomu bezpieczeństwa IT.
Obserwacje, wskazówki i rekomendacje specjalistów Netia SOC mogą stanowić istotny wkład w umocnienie systemu bezpieczeństwa teleinformatycznego Klienta.

Możliwość  skorzystania z usług monitoringu realizowanych przez zewnętrzny zespół SOC to przede wszystkim istotne ograniczenie kosztów związanych z samodzielnym wdrożeniem i utrzymaniem takiego rozwiązania. W przypadku dostawców usług kluczowych obsługa incydentów bezpieczeństwa stanowi obowiązek ustawowy. 
 

Odporność witryn internetowych i aplikacji webowych na cyberzagrożenia jest kluczowym elementem bezpieczeństwa organizacji oraz użytkowników końcowych.
Aplikacje webowe, w tym koszyki zakupowe, formularze, strony logowania, narzędzia internetowe umożliwiające wymianę dynamicznych zawartości, z reguły są silnie wyeksponowane w sieciach publicznych, a przez to nie są objęte ochroną sieciowymi systemami firewall.

Cyberprzestępcy dysponują szerokim repertuarem technik ataku aplikacji internetowych, w tym m.in. SQL injection, cross-site scripting, parameter manipulation. Środowisko przestępcze nie ustaje w poszukiwaniu nowych podatności oraz wykorzystywaniu exploitów (w tym tzw. zero-day).

Wiedza na temat potencjalnych słabości udostępnianych na zewnątrz systemów aplikacyjnych to pierwszy i niezbędny element w procesie ograniczania ryzyka w obszarze bezpieczeństwa systemów informatycznych, zwłaszcza w kontekście ochrony przed wyciekami danych firmowych i prawnie chronionych danych osobowych, do których dostęp w trybie ciągłym mają systemy aplikacyjne.

Skany podatności aplikacji webowych to testowanie systemów aplikacyjnych pod kątem podatności, które mogą potencjalnie zostać wykorzystane do przejęcia kontroli, infekcji, kradzieży danych lub innych zdarzeń prowadzących do strat finansowych i/lub wizerunkowych.

Dlaczego warto?
Skanowanie podatności aplikacyjnych to jedyny automatyczny sposób ochrony witryny lub aplikacji internetowej przed złośliwą ingerencją. Ponadto skaner może posłużyć do audytu kodu źródłowego w celu identyfikacji i eliminacji błędów na etapie developmentu lub późniejszego rozwoju.

Zautomatyzowane skanowanie podatności pozwala skupić się przede wszystkim na trudnym zadaniu budowy aplikacji internetowej podczas gdy skaner zasymuluje aktywność hakerów w celu zidentyfikowania podatnych na ataki komponentów.
 

Skany podatności to kompleksowa usługa skanowania sieciowego zasobów firmowych pod kątem słabości, które mogą potencjalnie zostać wykorzystane do przejęcia kontroli, infekcji, kradzieży danych lub innych zdarzeń prowadzących do strat finansowych czy wizerunkowych. Usługa polega na przeszukaniu sieci firmowej, z zewnątrz lub od wewnątrz, pod kątem nieprawidłowej konfiguracji, podatności na ataki i luk bezpieczeństwa. W wyniku skanowania Klient otrzymuje szczegółowy raport o stanie bezpieczeństwa infrastruktury ze wskazaniem błędów, podatności i ryzyk wraz z rekomendacjami zmian w konfiguracji lub architekturze w celu podniesienia poziomu bezpieczeństwa środowiska IT.

Szeroki zakres skanowania obejmuje systemy operacyjne, urządzenia sieciowe, hipervisor’y, bazy danych, serwery webowe i wrażliwą infrastrukturę pod kątem podatności, potencjalnych wycieków danych, infekcji malware, błędów konfiguracji, aktualności oprogramowania oraz innych zagrożeń i naruszeń zasad zgodności.

Dlaczego warto?
W wyniku korzystania z usługi Klient uzyskuje pełniejszą wiedzę o stanie posiadanych zasobów IT oraz świadomość słabych punktów infrastruktury oraz szczegółowe informacje o istniejących błędach konfiguracyjnych, podatnościach na ataki i lukach bezpieczeństwa. Cykliczne skanowanie sieci pozwala odnajdywać nowe podatności oraz błędy w konfiguracji urządzeń, które pojawiły się lub zostały rozpoznane po poprzednim skanowaniu.

 

Phishing to metoda oszustwa polegająca na podszyciu się przez przestępcę pod inną osobę lub instytucję w celu wyłudzenia informacji poufnych, zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia ofiary do określonych działań (np. kliknięcie w złośliwy link).

Ataki phisingowe są obecnie podstawowym narzędziem cyberprzestępców, nie tylko w drodze do zdobycia nieuprawnionego dostępu do krytycznych zasobów firmy, ale również do wyłudzeń pieniędzy od niedoświadczonego użytkownika Internetu. Najczęstszym wektorem ataku jest email. Wszystkie typy ataków wykorzystują metody inżynierii społecznej (tzw. socjotechnika). Często ataki są ukierunkowane na konkretną grupę lub konkretny typ osób (spear phishing), np. administratorzy, księgowi.

Symulacja phishingowa polega na przygotowaniu i przeprowadzeniu pozorowanego ataku phishingowego (kampanii phishingowej) na wskazaną grupę pracowników według wybranego scenariusza, a następnie zebraniu i analizy wyników w postaci szczegółowego raportu. Wnioski z raportu mogą posłużyć do przeprowadzenia pogłębionej akcji edukacyjnej wśród pracowników.

Dlaczego warto?
Cykliczne przeprowadzanie symulacji ataków phishingowych pozwala monitorować i podnosić świadomość cyberzagrożeń oraz w rezultacie zmniejszać podatność pracowników na tego typu ataki. Symulacje pomagają osiągnąć wyuczony poziom reakcji na potencjalne zagrożenie wśród pracowników, od czego zależeć może bezpieczeństwo całej organizacji.

Malware (zbitka słów malicious „złośliwy” i software „oprogramowanie”) to wykonywalny plik, kod binarny lub URL, którego działanie ma charakter celowy i jest szkodliwe w stosunku do systemu komputerowego lub jego użytkownika, często nadzorowane zdalnie przez atakującego. Złośliwe oprogramowanie może zostać wykorzystane do przeprowadzenia ofensywnych operacji np. szpiegowanie ofiary, usuwanie lub szyfrowanie danych pod szantażem żądania okupu. Malware może przybierać różnorodne formy i realizować szereg działań charakteryzujących się zróżnicowanym poziomem agresji.

Analiza malware to badanie, którego celem jest uzyskanie jak największej ilości informacji z próbki złośliwego oprogramowania w celu określenia skutków jego działania, pochodzenia i potencjału ataku. Uzyskane informacje pozwala zabezpieczyć system komputerowy się przed podobnymi atakami w przyszłości.

Dlaczego warto?
Analiza malware pomaga w identyfikacji potencjalnego ataku, jego źródła, celów oraz w określeniu motywacji, poziomu zaawansowania atakującego i ewentualnego dalszego przebiegu ataku. W przypadku identyfikacji trwającego ataku wynik analizy pozwala na jego przerwanie, ograniczenie strat i podjęcie odpowiednich działań defensywnych.

Skany podatności to kompleksowa usługa skanowania sieciowego zasobów firmowych pod kątem słabości, które mogą potencjalnie zostać wykorzystane do przejęcia kontroli, infekcji, kradzieży danych lub innych zdarzeń prowadzących do strat finansowych czy wizerunkowych. Usługa polega na przeszukaniu sieci firmowej, z zewnątrz lub od wewnątrz, pod kątem nieprawidłowej konfiguracji, podatności na ataki i luk bezpieczeństwa. W wyniku skanowania Klient otrzymuje szczegółowy raport o stanie bezpieczeństwa infrastruktury ze wskazaniem błędów, podatności i ryzyk wraz z rekomendacjami zmian w konfiguracji lub architekturze w celu podniesienia poziomu bezpieczeństwa środowiska IT.
Szeroki zakres skanowania obejmuje systemy operacyjne, urządzenia sieciowe, hipervisor’y, bazy danych, serwery webowe i wrażliwą infrastrukturę pod kątem podatności, potencjalnych wycieków danych, infekcji malware, błędów konfiguracji, aktualności oprogramowania oraz innych zagrożeń i naruszeń zasad zgodności.

Dlaczego warto?
W wyniku korzystania z usługi Klient uzyskuje pełniejszą wiedzę o stanie posiadanych zasobów IT oraz świadomość słabych punktów infrastruktury oraz szczegółowe informacje o istniejących błędach konfiguracyjnych, podatnościach na ataki i lukach bezpieczeństwa. Cykliczne skanowanie sieci pozwala odnajdywać nowe podatności oraz błędy w konfiguracji urządzeń, które pojawiły się lub zostały rozpoznane po poprzednim skanowaniu.

 

CTI to ciągła analiza informacji na temat różnych aktywności stanowiących zagrożenie cyberbezpieczeństwa. Informacje te pochodzą głównie z zewnętrznych źródeł, m.in. open source, media społecznościowe, grupy kryzysowe, organy ścigania, platformy komunikacji grup przestępczych, darknet, informatorzy.

Źródła podziemne monitorowane są na okoliczność pojawienia się w nich informacji szkodzących lub mogących zaszkodzić Klientowi, jego pracownikom lub klientom. Dane pozyskiwane są również od samego Klienta.

Odnalezienie oferty sprzedaży informacji wykradzionych Klientowi (bazy danych zawierające dane Klienta, dokumenty wewnętrzne, spisy pracowników z ich loginami/hasłami) lub uzyskanych informacji o podatnościach wykrytych w infrastrukturze Klienta stanowi najczęściej dowód włamania oraz niezauważonego wycieku danych Klienta.

Dlaczego warto?
Zespół ekspertów non-stop monitoruje źródła w celu wykrycia i zidentyfikowania zagrożeń i incydentów dotyczących na jak najwcześniejszym etapie. Dodatkowo w sytuacjach kryzysowych eksperci służą doradztwem oraz mogą wesprzeć Klienta we współpracy z organami ścigania.

Monitorowane mogą być m.in.:
• fora społecznościowe, fora będące miejscem wymiany informacji przez środowiska przestępcze, serwisy zawierające posty z bazami danych pod kątem słów kluczowych, ciągów numerycznych (NIP, REGON, numery kart płatniczych) czy danych identyfikacyjnych podmiotów lub osób,
• nowe rejestracje domen internetowych o podobnych nazwach do domen Klienta pod kątem aktywności phishingowej,
• doniesienia o aktualnie realizowanych kampaniach złośliwego oprogramowania (w tym ransomware), które może być potencjalnie wykorzystane w ataku na Klienta,
• kampanie spamowe, które mogą potencjalnie celować w Klienta

Test penetracyjny (tzw. pentest) to proces polegający na przeprowadzeniu kontrolowanego ataku na system Klienta, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń. Pentest polega na analizie systemu pod kątem występowania potencjalnych błędów bezpieczeństwa spowodowanych niewłaściwą konfiguracją, lukami w oprogramowaniu lub sprzęcie, słabościami w środkach zabezpieczeń czy niewystarczającą świadomością użytkowników. Analiza ta jest przeprowadzana z perspektywy potencjalnego włamywacza i może uwzględniać aktywne wykorzystywanie podatności. Podstawową cechą odróżniającą test penetracyjny od włamania jest zgoda Klienta na przeprowadzenie testu.

Testy mogą być realizowane przy różnym poziomie wiedzy zespołu testującego:
• black box – testy z minimalną wiedzą dostępną publicznie, odzwierciedlają rzeczywiste potencjalne włamanie,
• white box – testy z przekazaniem pełnej wiedzy i dostępów (dokumentacja projektowa, kod źródłowy, konfiguracja urządzeń sieciowych itd),
• grey box – najczęściej wybierana forma testów z częściowym przekazaniem wiedzy i dostępów (np. wykreowane konto użytkownika).

Dlaczego warto?
Przeprowadzenie testów penetracyjnych to jedyna najbliższa rzeczywistości metoda weryfikacji zastosowanych mechanizmów prewencyjnych, odpornościowych i systemów zabezpieczeń. Realizacja przez wyspecjalizowaną zewnętrzną jednostkę pozwala kontrolować ilość przekazanej wiedzy o testowanej infrastrukturze oraz uniknąć koncentracji zabezpieczeń w miejscach, które niekoniecznie są forsowane przez rzeczywistych atakujących.