TRANSKRYPCJA VIDEO
Dla tego filmu nie wygenerowano opisu.
Witam Państwa serdecznie. Łukasz Nieborek, firma Energy Rock Server. W naszej organizacji zajmuję się wsparciem naszych partnerów oraz klientów końcowych w dowodze odpowiednich rozwiązań z stajni Energy Rock Server. Dzisiaj postaram się Państwu w miarę skompensowany sposób opowiedzieć na temat naszego rozwiązania, Energy Rock Server oraz Energy Soar w kontekście tego, w jaki sposób możemy zamapować wymagania, które stoją przed Państwem związanych z programem Cyberbezpieczny Samorząd realizowanym przez Ministerstwo Cyfryzacji. Agenda jest dosyć prosta. Co nieco wstępu od naszej organizacji, skądś się wzięliśmy na rynku. Następnie spróbujemy właśnie zamapować nasze rozwiązania na konkretne kryteria, które się pojawiły w poradniku Ministerstwa Cyfryzacji.
Potem opowiemy co nieco na temat samej architektury rozwiązania, na temat licencjonowania oraz o kilku przykładowych projektach, które już do tej pory zrealizowaliśmy. Jeżeli chodzi o sam webinar, będzie on nagrany i będzie dostępny zarówno na YouTube, jak i poprzez nasz LinkedIn, jak również mogą Państwo bezpośrednio się do nas zgłosić i bardzo chętnie będziemy udostępnić materiały łącznie również z dzisiejszą prezentacją. Jako brand Energy Rock Server pojawiliśmy się już ładnych kilka lat temu w polskim rynku. Jako polska organizacja w pełni trzymamy rozwój naszego rozwiązania w dwóch oddziałach, które posiadamy w Warszawie oraz w Katowicach i sukcesywnie rozwijamy nasze rozwiązanie właśnie bardzo mocno fokusując się na tych potrzebach naszych klientów i nowych wymaganiach, które się na bieżąco pojawiają na rynku.
Przełożyło się to na już naprawdę grubo ponad 100 implementacji na tak naprawdę całym świecie. Nie ograniczamy się tylko do rynku polskiego. Mamy rozbudowany kanał partnerski w kilkunastu krajach na całym świecie. No i nawet te kropki pokazują, że zwiedziliśmy już kilka kontynentów i mamy za sobą naprawdę szereg bardzo ciekawych realizacji. Jako też polska organizacja jesteśmy członkiem klastra Cyber Made in Poland, który zrzesza właśnie firmy, organizacje produkujące i pracujące z cyberbezpieczeństwem na polskim rynku, dzięki czemu możemy jeszcze lepiej wymieniać się naszymi doświadczeniami, doświadczeniami naszych klientów i dużo lepiej dostosowywać się do tych bieżących wymagań, które spotykamy na rynku.
A same rozwiązania staramy się tworzyć według najwyższych standardów, w związku z czym bardzo mocno dbamy o to, żeby jakość kodu przekładała się na różnego typu audyty i poprzez te audyty staramy się weryfikować się jakoś maszynknego narzędzia, żeby nie tylko gromadzić i analizować dane dotyczące bezpieczeństwa, ale również dostarczyć środowisko, które samo w sobie również jest bezpieczne. W kontekście referencji tak naprawdę nie mamy jakiegoś konkretnego fokusu rynkowego. Niemniej na przestrzeni ostatnich lat bardzo dużo mamy realizacji związanych ze sferą publiczną, w związku z czym mamy różnego typu realizacje, wdrożenie systemów logmanagementowych, CMO-owych, SOAR-ów w organizacjach zarówno na poziomie samorządowym, jak i centralnym.
Tutaj jest tak naprawdę wycinek tego, z czym idziemy do naszych klientów i jakich klientów już do tej pory obsługujemy i rozwijamy te implementacje. Przechodząc do sedna tak naprawdę dzisiejszego spotkania, musimy sobie odpowiedzieć na pytanie, po co ten CMO-SOR tak naprawdę ma się pojawić w urzędzie i na co ma de facto wpłynąć podczas takiej bieżącej codziennej pracy. Z naszego punktu widzenia staramy się dostarczyć środowisko, które ma być z zasady po prostu skuteczne.
Mamy za zadanie dostarczać różnego typu funkcjonalności, które na koniec dnia pozwolą Państwu dużo lepiej wykorzystywać te często dosyć ograniczone zasoby osobowe, tudzież czasowe, tak żeby dostarczać narzędzia, które szybko i w jasny, przejrzysty sposób dają nam możliwość lepszego, skuteczniejszego działania i dużo łatwiej dostarczają tej informacji, w jaki sposób mamy mitygować różnego typu zagrożenia, a tudzież niepożądane sytuacje w naszym środowisku informatycznym. Jeżeli dostarczymy tego typu rozwiązania, możemy to wszystko przełożyć tak naprawdę na realną szczenność czasu oraz kosztów, które stoją za obsługą naszego środowiska informatycznego. To wszystko przekłada się oczywiście na skuteczniejszą ochronę naszych zasobów, często wrażliwych zasobów, tak że możemy dużo szybciej przejść do tego procesu, w którym zabezpieczamy nasze środowisko informatyczne.
No i to się oczywiście przekłada też na lepsze zaspokojenie tych wymagań prawnych, które coraz częściej bombardują nas tak naprawdę z każdej możliwej strony, szczególnie z Unii Europejskiej oraz z urzędów centralnych. Umiejscowiając nasze portfolio w takim środowisku urzędowym, możemy tak naprawdę znarysować sobie swego rodzaju mapę. Energy Look Server jako rozwiązanie mające na celu gromadzenie, analizowanie stawień różnego typu z naszego środowiska informatycznego odpowiada właśnie za to, aby gromadzić dowolne informacje z naszych środowisk serwerowych, urządzeń sieciowych różnego typu, switch routerów. Chodzi również o gromadzenie agentowe, bezagentowe danych chociażby ze stacji roboczych oraz z dziedzinowych systemów bezpieczeństwa takich jak antybirusy, jak systemy IDS, CPS, XDR czy też EDR.
Te dane poprzez to, że znajdą się w jednym spójnym środowisku jakim jest Energy Look Server umożliwiają nam później jeszcze onoż tak naprawdę wydajną pracę. I samo środowisko Energy Look Server służy do tego, aby w centralny sposób wizualizować różnego typu informacje, które do nas trafiają. Analizować te dane na bazie różnego typu kryteriów, które sami sobie możemy narysować. Możemy w wydajny sposób raportować to, co się nam dzieje w tymże środowisku, jak i również archiwizować dane w długoterminowym okresie, bo to też często nas na nas niejako wymuszają w jednostki nadrzędne do tego, aby w długookresowym czasie przechowywać przede wszystkim logi.
Poprzez to, że gromadzimy różnego typu dane, nie tylko logi, możemy również w sposób istotnie wydajny monitorować jakość działania naszej infrastruktury, ale również możemy monitorować zachowania i odstępstwa od normy naszych, tych czynności, które wykonują nasi pracownicy i członkowie naszej organizacji. Tak jak Szymon w Ćwika powiedział, czyli mój kolega w PreSales, proszę też zadawać w międzyczasie pytania na czacie. Szymon jest potężny na nie państwu odpowiadać. Zapewne zapraszam też do uzupełniania ankiety, którą uruchomiliśmy. Idąc dalej i przechodząc tak naprawdę do sedna rozwiązania SIEM-owego, jakim jest Energy Log Server, no to przede wszystkim tworzymy różnego typu alerty, czy też wychwytujemy różnego typu niepożądane zdarzenia i na ich bazie budujemy właśnie alerty i reguły korelacyjne.
Sam system jest wyposażony tak naprawdę w setki z predefiniowanych reguł, które możemy w dowolny sposób uruchamiać podczas implementacji systemu w państwa środowisku. Po tym te alerty możemy dalej automatyzować i proces obsługi właśnie tychże różnego typu incydentów, tudzież podejrzanych zachowań, możemy wrócić na kolejny etap informatyzacji i zapewnienia bezpieczeństwa i tym etapem jest Energy SOAR. To rozwiązanie ma mieć tak naprawdę taki krytyczny wpływ na to, że mogą państwo zaoszczędzić swój czas, sposób realny, poprzez to, że możemy te często bardzo podstawowe, ale czasopłonne czynności wrzucić właśnie na garb rozwiązania Energy SOAR, które może w sposób automatyzm zbalkacać informacje o różnego typu incydentach, obierając dane w listy referencyjnych odnośnie adresu FIP o złej reputacji, odnośnie haszów plików, odnośnie załączników do maili i tego typu informacji.
Zbogacając różnego typu incydentów, które gromadzimy w systemie, możemy doprowadzać do stanu, w którym wykonujemy po prostu akcje automatyczne, ponieważ możemy standardizować różnego typu procesy, które zachodzą w organizacji i powielalność tych procesów można bardzo dobrze oznaczać w workflow rozwiązania Energy SOAR i możemy w bardzo prosty sposób też dodawać różnego typu nowe workflow, które mają zna zdanie zaoszczędzić realnie państwa czas i państwa wysiłki na to, żeby zabezpieczyć to środowisko w sposób optymalny. To wszystko też jest powiązane z różnego typu zarządzaniem incydentami, czyli mamy pełną kontrolę nad tym, co do kogo trafia, jakie zadania możemy delegować. Te zadania też się delegują de facto w sposób automatyczny na bazie informacji o, z jakim incydentem mamy do czynienia.
Ale to, co też jest istotne w kontekście spełnienia tych wymagań, które stoją na przed nami w kontekście cyberbezpiecznego samorządu, incydenty, które będą wychwytywane przez Energy Rock Server i obsługiwane potem przez Energy SOAR, możemy również w sposób automatyczny pakować, opisywać i wysyłać do chociażby centrum naskowego, który dla państwa będzie też taką jednostką, która będzie wspierała proces rozwiązywania różnego typu incydentów bezpieczeństwa. Należy podkreślić, że Energy Rock Server, jako bardzo otwarta platforma, nie zapewnia tylko i wyłącznie tych podstawowych potrzeb cyberbezpieczeństwa, czyli nie mamy do czynienia tylko z klasycznym rozwiązaniem do centralnego ogromadzenia zdarzeń. Nie jest to też tylko i wyłącznie system SIEM-owy, chociaż w głównej mierze będzie ustanowił takie wsparcie dla państwa codziennej pracy.
Niemniej możemy również realizować w oparciu o te rozwiązania, jak chociażby, jak już wcześniej wspomniałem, monitorowanie infrastruktury, zbierając różnego typu metryki wydajnościowe z naszego środowiska, z serwerów, ze stacji roboczych, z sokużądzeń sieciowych. Dostarczamy również skaner podatności, który umożliwia nam kontrolowanie tego, w jaki sposób jest skonfigurowane nasze środowisko i jakie potencjalnie luki w nim występują, poprzez zbieranie informacji o różnego typu CVE z wielu dostępnych, często otwartych źródeł, właśnie różnego typu podatnościach. Energy Roksever to jest również rozwiązanie, które może służyć do badania integralności plików, czyli możemy monitorować dostęp do naszych kluczowych zasobów wiedzy, do kluczowych katalogów, czy też do konkretnych plików i kontrolować kto, kiedy i jaki miał cel w tym, żeby dostać się właśnie do tych konkretnych informacji.
Na to wszystko nakładamy również możliwość zarządzania ryzykiem, na wszystkie zasoby, które posiadamy w naszym środowisku oraz na reguły korelacyjne nakładamy odpowiedni stopień ryzyka, który pokazuje nam w momencie wystąpienia incydentu, którymi właśnie zagrożeniami powinniśmy zajmować się w pierwszej kolejności. Poprzez to, że zbieramy różnego typu dane, zbieramy dane infrastrukturalne, również nic nie stracone przeszkodzi, aby dostarczyć Państwu porozwiązanie, czy też moduł CMDB, czyli możemy w pełni inwentarydować zasoby informatyczne, które znajdują się od Państwa w środowisku oraz konfigurację tychże zasobów, tak żeby mieć to wszystko w jednej spójnej bazie danych, którą dodatkowo możemy jeszcze oprzezrządować o nasz moduł elektrycznej dokumentacji, która stanowi niejako uzupełnienie do bazy CMDB.
To wszystko pozwala nam również na długoterminową archiwizację logów, tak jak już wcześniej wspomniałem i to odbywa się dwufalowo, czyli możemy zbierać i analizować dane w trybie online, ale równolegle dostarczamy moduł, który umożliwia nam pakowanie danych, które nie są już nam potrzebne do takiej bieżącej analizy bezpieczeństwa. One są skompresowane, zaszyfrowane i odkładane na dodatkowym zasobie, jest chociażby macierz dyskowa i do tych danych mamy cały czas dostęp w takiej formie, można powiedzieć bardziej pasywnej. Nadal możemy na spakowanych pikał dokonywać analizy i wyszukiwać wczoraj konkretne zdarzenia dla zadanych adresów IP w określonym czasie, dzięki czemu niezwykle oszczędzamy przestrzeń dyskową, którą musimy przeznaczyć na prowadzenie tego typu danych.
Poprzez to, że nasz system wykorzystuje również agenty do zbierania informacji, możemy również dodać dodatkową funkcjonalność, jaką jest EDR, czyli na stacjach końcowych możemy, oprócz tego, że gromadzimy dane, możemy również wysyłać konkretne aktywne response, czyli chociażby blokować dany host w momencie, jeżeli zauważymy, że czyni on spustoszenie w naszym środowisku informatycznym. To wszystko również oprzezmontowaliśmy o naszą sądę sieciową, która de facto zapełnia te wymagania, które stoją przed rozwiązaniami klasy IDS, jak również umożliwia gromadzenie w bardzo wydajny sposób ruchu typu NetFlow, czyli w tym dodatkowo możemy jeszcze gromadzić różnego typu informacje statystyczne, wydajnościowe odnośnie funkcjonowania naszej sieci.
I to wszystko zamykamy tak naprawdę w naszym modułem sztucznej inteligencji, który tak naprawdę docelowo ma za zadanie wykwetywać różnego typu anomalie, różnego typu zagrożenia, które nie są klasycznie wykwetywane przez rozwiązania takie, jak chociażby właśnie analizator logów i IDS-y, gdzie po prostu możemy wyszukiwać informacje bardzo unikatowe dla naszego środowiska. Tą drugą odnogą jest Energy Soar, i ona ma, jak już wcześniej wspomniałem, przede wszystkim zautomatyzować proces obsługi incydentów różnego typu, nie tylko z incydentów dotyczących bezpieczeństwa, ale również wydajności naszego środowiska informatycznego. Ma ułatwić kontakt chociażby z CRT, wzbogaca informacje o incydentach w sposób automatyczny poprzez integrację z systemami bezpieczeństwa.
Możemy również wymuszać różnego typu akcje automatyczne, które również poprzez spełnienie różnego typu kryteriów w ramach workflow umożliwią realną oszczędność czasu, bo de facto Państwo nie muszą ręcznie podejmować często oczywistych decyzji. System może to wykonać za Państwa. I to wszystko jest również oprzez rządowane o różnego typu gotowe plakacje, które mogą być czyli można powiedzieć swego rodzaju dobre praktyki, w jaki sposób reagować na konkretnego rodzaju incydenty. Pozwoliłem sobie wrzucić kilka slajdów, które pokazują bardzo ogólnie, w jaki sposób wygląda nasze środowisko już produkcyjne.
Bardzo chętnie będziemy realizować takie sklepy, które są bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo bardzo chętnie będziemy realizować takie, można powiedzieć, dedykowane prezentacje dla Państwa, w związku z czym chętnie zapraszam serdecznie do tego, aby kontaktować się z nami, tudzież z naszymi partnerami biznesowymi, aby przeprowadzić de facto takie prezentacje konkretnie pod Państwa potrzeby i oczekiwania. Ale idąc dalej z tokiem, rozwiązanie CMowe absolutnie wtrzyma się tych kryteriów, które są wymagane wobec nowego środowiska klasy CM, czyli staramy się traktować środowisko informacyjne bardzo otwarcie i dużo szerzej gromadzić i analizować dane nie tylko na bazie metadanych dotyczących bezpieczeństwa informacji. Nasze środowisko umożliwia tak naprawdę korzystanie, jak już wspomniałem, z setek gotowych reguł korelacyjnych.
Korzystamy z różnego typu wsparcia ze światowego community zgromadzonego wokół cyberbezpieczeństwa, w związku z czym możemy korzystać chociażby z wiedzy gromadzonej na serwerach MIST. Jesteśmy w pełni zintegrowani z matrycą Mitre, w związku z czym możemy doskonale mapować różnego typu wykwycone zagrożenia na techniki ataków oraz w jaki sposób należy je mitykować w naszym środowisku informatycznym, czyli korzystamy z bardzo dobrej zgromadzonej przez community wiedzy. Wspomniałem już o skanerze podatności. Korzystamy z różnego typu baz CVL, dzięki czemu dużo szybciej dostanie Państwo informacje, co potencjalnie w naszym środowisku informatycznym mogłoby być bardzo ważne. W związku z czym mogłoby być lepiej zabezpieczone, skonfigurowane. Wspominałem o analizierówku sieciowego.
Możemy doskonale to łączyć również chociażby z systemami zewnętrznymi takimi jak Suricata czy ZIC, dzięki czemu również wizualizujemy dane pochodzące z tych systemów w spójny sposób. To wszystko. Sztuczna inteligencja, która na koniec dnia ma doskonale prognozować pewnego rodzaju zdarzenia w naszym środowisku informatycznym. Wychwytywać anomalie, które nie są często opisane regułami korelacyjnymi, które są w ramach systemu dostarczone. Korelować te zdarzenia w sposób automatyczny. No i dużo skuteczniej dochodzi tak naprawdę do przyczyny i sedna problemu, czyli skąd de facto to zagrożenie wzięło się u nas w infrastrukturze. System SOAR to już jak wspomniałem przede wszystkim właśnie kolekcjonowanie w sposób przejrzysty i świadomy wszelkiego rodzaju zdarzeń, które trafiają do nas z systemów nie tylko CEM-owych, ale również systemów dziedzinowych.
Chociażby z EDR-ów czy NDR-ów bezpośrednio możemy gromadzić dane o incydentach i również je obsługiwać już z poziomu systemu SOAR. Każdy case jest rozbity, można powiedzieć, na czynniki pierwsze. Czyli możemy go wzbogacać, właśnie o tą wiedzę, o chociażby ADS-ach AP, o nazwach domain, URL-i czy też załączników. I tak jak wspomniałem, można to wszystko wykonywać tak naprawdę w sposób automatyczny. Czyli państwo już dostają można powiedzieć samo sedno w tychże informacji, na których dużo łatwiej potem pracować i wykonywać różnego typu mitygacje.
I przechodząc do może tutaj trochę mniej widowiskowej części, sam poradnik Ministerstwa Cyfryzacji, który mówi, jakie dobre praktyki powinny zostać zastosowane, jakie rozwiązania powinny zostać wykorzystane do tego, żeby zabezpieczyć nasz samorząd, no to staraliśmy się zamapować te wszystkiego rodzaju wymagania na nasze portfolio. Tutaj pozwoliłem sobie bardzo skrótowo wziąć tylko tak naprawdę na główki tych poszczególnych rekomendacji. Jeżeli państwo sobie życzą, zapraszam do kontaktu z nami, prześlemy precyzyjny materiał, który pokazuje, w jaki sposób dokładnie poszczególne wymagania, tudzież rekomendacje są zamapowane na nasze środowisko i w jaki sposób poprzez Energialog Server oraz EnergySore rozwiązujemy poszczególne tematy. Także do tego Herd and Pess, serdecznie zapraszam.
I podczynając tak krok po kroku, inwentaryzacja aktywów i konfiguracji to jest de facto właśnie rozwiązanie dostarczane poprzez nasze moduły, chociażby CMDB i poprzez gromadzenie danych wydajnościowych z naszego środowiska informatycznego. Zarządzanie ryzykiem to jest właśnie moduł budowania tych kryteriów ryzyka dla poszczególnych zasobów informatycznych i przecindanie tego z regułami korelacyjnymi. Rejestrowanie i monitorowanie zdarzeń to jest de facto taki totalna podstawa, można powiedzieć, gromadzenia wszelkiego rodzaju logów i zdarzeń z naszego środowiska informatycznego, czyli coś, co akurat w tym przypadku tak naprawdę robi większość rozwiązań dostępnych na ryjmie. Ale właśnie, mamy to wykrywanie nieporządanej zdarzeń w infrastrukturze IT.
To nie jest tak naprawdę tylko kwestia bezpieczeństwa naszego środowiska i wykrycia różnego typu potencjalnych ataków i zagrożeń na nasze bezpieczeństwo, ale również jest to wykrywanie chociażby problemów infrastrukturalnych, problemów z wydajnością naszego środowiska informatycznego. Poprzez zastosowanie Energy Rock Server można równolegle wykonywać taką właśnie analizę. Zapobieganie niechcianym zdarzeniom w infrastrukturze to jest de facto połączenie dwóch elementów. Znaczy, to jest to, co mamy w tej sytuacji.
To jest de facto połączenie dwóch światów, czyli gromadzimy zarówno logi, ale również możemy gromadzić i analizować kopie ruchu sieciowego, czyli możemy dużo lepiej, precyzyjniej określać, jak przebiegało potencjalne zachowanie jakiegoś adresu w naszej infrastrukturze albo w jaki sposób zakłóguje się jeden z endpointów, które mamy na co dzień w naszej infrastrukturze i przecinać wiedzę z sieci, z logami. Zabezpieczenie unijnego ożywienia, ujawnienia czy modyfikacji różnego typu informacji, to też jest właśnie przecięcie świata analizy ruchu sieciowego z chociażby zaglądając do tego, jaka jest aktywność na nasze kluczowych zasobach i na naszej wiedzy zgromadzonej w infrastrukturze i to możemy pozyskać poprzez nasz moduł CMO.
Zasada akceptowalnego użycia w w trakcie aktywów informacyjnych jest to dosyć istotnie powiązane z punktem wcześniejszym, czyli tutaj też idealnie sprawdza się taki tandem mikrowadzenia logów z analizą ruchu sieciowego. Aktywność oprogramowania to jest można powiedzieć powiązane zarówno z badaniem podatności jak i również badaniem naszego środowiska pod kątem różnego typu benchmarków takich jak CIS, gdzie patrzymy jak wygląda konfiguracja naszych asetów, a jak de facto jest to rekomendowane przez praktyków rynkowych. Ograniczenie ryzyka u traty informacji również jest to de facto połączenie z analizą dostępności do, dostępu do danych.
Ochrona danych ma to szeroki wymiar, ponownie jest to powiązanie z bieżącą analizą logów oraz ruchu sieciowego, ale również jest to budowanie odpowiedniego dostępu również naszych systemów, tak aby móc dużo lepiej kontrolować to, do czego ma mieć dostęp w zgromadzonych chociażby logach. Nie wszystko powinno być widoczne dla można powiedzieć pojedynczej osoby w ramach organizacji, więc staramy się tutaj też bardzo mocny nacisk podczas wdrożeń właśnie położyć na to, kto powinien do czego mieć dostęp w organizacji. O zarządzaniu podatności de facto już powiedziałem, czyli ten nasz skaner w podatności, który jest wbudowany w środowisku, zapełnia w pełni te kryteria równolegle.
Jeżeli Państwo już wykorzystują jakieś dziedzinowe systemy do skanowania podatności takie jak TNABLE, GNSOS, QALYS czy też Rapid7, to de facto system jest też gotowy do tego, żeby również tego typu dane z systemów dziedzinowych zgromadzić i korrelować te informacje z tym, co znaleźliśmy w logach. W kontekście bezwłocznego zgłoszenia incydentu bezpieczeństwa, no to tutaj właśnie się przydaje ta integracja, którą poczyniliśmy z portalem NASK-owym, który umożliwia tak naprawdę sposób automatycznie zgromadzenie danych na temat różnego typu incydentów i w skompensowanej formie i w takiej, jaka jest czytelna dla NASK-u, możemy ją wysłać bezpośrednio do obsługi na zewnątrz. Tych punktów jak widać jest co niemiara.
To też pokazuje możliwości tak naprawdę naszej platformy, jak szeroki jest możliwość wykorzystania w ogóle energii i zaspokojenia wielu potrzeb tak naprawdę pojedynczą platformą. Co to oznacza, tak naprawdę dla Państwa mamy docienia z jednym środowiskiem informatycznym. Nie muszą Państwo tak naprawdę rozszywać swojej uwagi na wiele różnego typu wizualizacji, różnych konsol. Tak naprawdę staramy się dostarczyć środowisko, które w maksymalny sposób skompensuje tę wiedzę z różnych dziedzinowych rozwiązań w jednym przejrzystym systemie. Wracając do samych tych wymagaj, obligatorijnie oczywiście muszą Państwo zapisywać te dane, ale jest to też ściśle powiązane tak naprawdę z tym długoterminowym archiwizacją logów i po prostu analizą tychże zdarzeń.
W kontekście przechowywania zapisów w systemach mamy tak naprawdę absolutnie pełną kontrolę nad tym, jakiego rodzaju dane, przez jaki okres czasu chcemy przechowywać zarówno w trybie online, jak i w trybie offline. I w kontekście samego rozwiązania SAR-owego, no to tutaj te już końcowe, można powiedzieć, ten system wymagania, są w pełni właśnie zaopiekowane poprzez naszą platformę do automatyzacji procesów obsługi tychże incydentu bezpieczeństwa, czyli nie tylko sama wysyłka do nas, ale również różnego typu akcje automatyczne i zapewnienie po prostu odpowiedniego zarządzania każdym incydentem, który zostanie wychwycony przez nasze systemy bezpieczeństwa czy też przez nas ЦIEM i potem już odpowiednią jakość obsługi tych incydentów i zgłoszenia tych incydentów w ramach organizacji poprzez zautomatyzowany system solarowy.
I przechodząc do tego, w jaki sposób w ogóle budujemy architekturę rozwiązania NRG, to mamy pewną świadomość, że większość z Państwa organizacji będzie mogło skorzystać, można powiedzieć, z takiej architektury wszystkiego w jednym, tak, czyli wszystkie komponenty naszego rozwiązania zostaną uruchomione na pojedynczej, chociażby maszynie wirtualnej, czy też na pojedynczym serwerze, który umożliwi nam bardzo wydajnie przyjmować i analizować się zdarzenia. Ta architektura, którą przedstawiam w ramach, tak naprawdę, jednej tej maszyny wirtualnej, potrafi przyjmować się zdarzenia i je identyfikować, się odpowiednio wzbudgacać, przechowywać dane w naszej NoSQLowej bazie danych, ale również w zaopetrzeniu dostępu dla użytkowników, czy ten cały interfejs jest równie zarządzany z tego poziomu, jak również możemy uruchomić moduł SOARowy i do tego wszystkiego użytkownik ma dostęp poprzez swoją konsolę webową.
Taka architektura pozwala nam na gromadzenie nawet do 5000 zdarzeń na sekundę, można to przełamać na około 100 GB danych dziennie, które każdego dnia wpadają do systemu. To jest potężna ilość danych, która często zaspokaja potrzebę średniej, wielkości organizacji, ludzi dłużej, ale daje to Państwu bardzo dużą dowolność, kiedy i jakiego rodzaju porcję danych chcą Państwo wrzucać, wtedy Państwo to robią i nie muszą patrzeć na każdy kolejny gigabajt danych albo też na każdy nowe urządzenie, czy na pewno mogę to wpiąć i będę zgodny z licencją dostawcy siemowego. Tutaj de facto tego problemu z czym nie ma. I to wszystko przekładamy na licencjonowanie, które zbudowaliśmy właśnie po to, aby było ono maksymalnie przejrzyste i było maksymalnie wydajne dla naszych klientów końcowych.
I tutaj warto zwrócić uwagę, że my cały czas trzymamy się jednak tych różnego typu modeli sprzedaży licencji, więc trzymamy licencjonowanie wieczyste, dzięki czemu pozwalamy praktycznie zakupić raz rozwiązanie i dokupować do tego tylko support. Sam system również może być dostępny w formie subskrypcji na określony czas, jak również jest dostarczane w ramach usługi MSSP poprzez naszych wybranych partnerów biznesowych, którzy na własnym środowisku dają dostęp de facto do tych rozwiązań energie z poziomu własnego datacenter i możemy gromadzić te dane, które są u Państwa wytwarzane poprzez sądę sieciową. Jak już wspomniałem, licencjonowanie jest absolutnie oparte o prostotę, którą chcemy osiągnąć i jedynym tym elementem, który my de facto wyceniamy w ramach platformy jest ilość instancji naszej bazy danych.
My ją nazywamy datanodem i pozostałe elementy architektury są absolutnie w kontakcie z dodatkiem do naszego projektu, czyli dostęp do GUI, dostęp dla użytkowników, różnego typu parsery, agenci, to wszystko jest dostępne w ramach już dostawy systemu. No i idąc głębiej w architekturę właśnie tego datanoda, już wspomniałem, że mamy wydajność około 5 tys. zdarzeń sekundę do 100 GB danych dziennie, a w ramach takiej pojedynczej maszyny możemy przechowywać do 12 TB danych w pamięci. Jeżeli jednak mamy bardziej wrzukane, tudzież większe potrzeby w kontekście gromadzenia większej ilości zdarzeń, list jest to jedna przeszkodzie, aby dodawać do naszego klastra kolejne instancje naszej bazy danych, poprzez co możemy skalować wydajność w kontekście przechowywania, ale również przyjmowania nowych porcji zdarzeń.
Możemy budować klastry wysokiej dostępności, absolutnie nie ma tutaj większych limitów. Mamy za sobą realizację projektów, których przetwarzaliśmy istotnie ponad chociażby TB danych w skali dnia. Ale to, co jest też dla państwa potencjalnie najprzyjemniejsze, to właśnie staramy się to wszystko trzymać maksymalnie bez limitu, tak, czyli nie mamy tutaj do czynienia z ograniczeniem na ilość źródeł zdarzeń, które generują nam logi. Nie limitujemy de facto tych ilości EPS-ów czy GB danych dziennie. To są nasze rekomendacje, żeby trzymać w takich wartościach tą pojedynczową instancję, żeby ona była maksymalnie wydajna.
Niemniej nic się nie stanie w momencie, jeżeli będziemy na przykład pod atakiem DDoS-owym i tych zdarzeń będzie więcej niż 5 tysięcy na sekundę, to nie znaczy, że system się automatycznie zblokuje i nie będzie przemował nowych zdarzeń. Jedyne, co może być zauważalne, to po prostu sam system może trochę wolniej odpowiadać na zadane zapytania, ale nie znaczy to, że będzie absolutnie zablokowany. Nie limitujemy, w związku z czym też ilości użytkowników, które mają dostęp do systemu jednocześnie. Jak również nie limitujemy de facto tych elementów retencyjnych czy też czasu przechowywania danych. Nad tym mamy absolutną kontrolę.
Samolicjencjowanie SOARA jest za to oparte o ilość jednoczesnych użytkowników naszej platformy w trybie, no takim ciągłym, tak, czyli mogą Państwo w pełni i dowolnie zakładać nieograniczoną ilość kont dla użytkowników. Niemniej zaloguje się do systemu tylko ta określona w licencji ilość naszych pracowników. I tutaj też staramy się trzymać to maksymalnie prosto, czyli ten cały etap chociażby implementacji systemu w środowisku nie jest związany z jakimikolwiek dodatkowymi kosztami. Ma ono być wdrożone w pełni pod Państwa potrzeby i skonfigurowane tak, żeby chociażby odziedzicie dlać Państwa procesy biznesowe i to wszystko możemy wykonać podczas wdrożeń. Wspominałem już o case study. Dwoma chciałbym się podzielić.
Jakiś czas temu, można by powiedzieć już około 3 lat, w jednym z miast z aglomeracji śląskiej dodaliśmy rozwiązanie, które, można powiedzieć, pierwotnie bardziej dotykało sedna centralnego ogromadzenia zdarzeń i analizowania tych zdarzeń w sposób wydajny. Potem tą analizę dosyć prostą, jeszcze nie dotykającą sedna bezpieczeństwa oprzeżądowaliśmy również o funkcjonalność siedmową, dzięki czemu rozbudowaliśmy tą funkcjonalność cały czas bazując tak naprawdę na pojedynczym systemie, na pojedynczej maszynie. Poprzez to, że tych mnoguś zastosowań, z którymi mieliśmy do czynienia właśnie z tego klienta, udało się tak naprawdę zbudować taką długofalową świadomość i rozwój też kompetencji naszego klienta wraz z tym, jak dotykał kolejnych nowych porcji zdarzeń, porcji wiedzy, którą pozyskiwał z tego, co się dzieje w organizacji.
Dzięki temu naprawdę mamy ze sobą kilka lat bardzo przyjemnej i sukcesywnie rozwijanej współpracy i dotykamy coraz to nowych obszarów implementacji rozwiązania w środowisku informatycznym. Zgoła odmiennym przykładem jest realizacja również wdrożenia systemu SOAR w jednym z miast wojewódzkich, gdzie mieliśmy dosyć istotny fokus, taką uwagę zwrócony na różnego typu ataki fishingowe, które na bieżąco dotykały w skali naprawdę mnogiej w właśnie tenże urząd miasta. W związku z czym zadaniem było to, żeby maksymalnie zautomatyzować cały proces obsługi tychże zdarzeń. W związku z czym system SOARowy na bieżąco jest w stanie monitorować się skrzynkę mailową, na którą wpadają te potencjalnie niebezpieczne wiadomości mailowe. System je na bieżąco pobiera i zaczyna proces wzbogacania, czyli rozszywa tą informację na adres IP, załączniki, adres URL itd.
Kolekcjonuje wiedzę w dostępnych listach reputacyjnych, czy tego rodzaju atrybuty się tam znajdują, łączy to wszystko potem w ramach swojego procesu i na bazie tego procesu zaczyna kontynuować. W związku z tym, że system SOARowy jest w stanie kontaktować z informacją informacyjną, to jest to, co jest w stanie zaniedlać. W związku z tym, że system SOARowy jest w stanie zaniedlać, to jest to, co jest w stanie zaniedlać. W związku z tym, że system SOARowy jest w stanie zaniedlać, to jest to, co jest w stanie zaniedlać.
W związku z tym, że system SOARowy jest w stanie system w sposób automatyczny powiadamiał, czy też powiadamia operatora SOKowego, a potem automatycznie też blokuje chociażby adres URL-owy, czy też adres IP, tak aby nie miał on bezpośredniego wpływu na środowisko informatyczne. Co jest istotne? W żadnym z tych kawalków, na żadnym etapie nie było tak naprawdę potrzeby ingerowania w ten proces w sposób ręczny, czyli tak naprawdę operator pełni, nie mógł się skupić na innych zadaniach, dostawał tylko notyfikację, że tego rodzaju zdarzenia miało miejsce. I tak naprawdę, przechodząc już trochę do podsumowania całości wystąpienia, chciałem zwrócić uwagę na kilka elementów, dlaczego tak naprawdę Energy jest godne rozważenia i godne głębszego rozpoznania. Przede wszystkim funkcjonalnie system absolutnie nie odbiega od liderów rynkowych.
Jesteśmy w stanie w ramach jednej spójnej platformy dostarczyć mnogość zastosowań, ale one są bardzo przystępne i bardzo łatwo dostosowywane do potrzeb każdej tak naprawdę organizacji. To też wynika de facto z tej elastyczności, którą staramy się pokazywać w kontekście budowania samej architektury, jak i również dostosowywania tych funkcjonalności do właśnie potrzeb naszych klientów. Licencjonowanie też staramy się trzymać prosto i efektywnie. A też taką bardzo istotną przewagą konkurencyjną, która może być dla państwa istotna w takiej biednącej współpracy, jest też bezpośrednie wsparcie naszych programistów czy też naszych helpdeskowców, którzy są de facto z Polski i to polski zespół pewnie się opiekuje państwa środowiskami i na bieżąco modelizować różnego typu zagadnienia.
Żeby też wyjść przeciw oczekiwaniom rynkowym, nasza platforma jest dostępna zarówno w angielskie języcznej wersji językowej, jak i chociażby też w polskiej wersji językowej. W związku z czym mogą państwo nawet z ograniczoną wiedzą o temat języka angielskiego w pełni świadomie poruszać się po systemie. Jeżeli mają państwo życzenia również innych języków, nie ma z tym najmniejszego problemu. Jest to tak naprawdę plik konfiguracyjny. Samo wdrożenie też przebiega w dosyć efektywny sposób.
Na przestrzeni lat wypracowaliśmy sobie taki optymalny sposób działania z różnego typu organizacjami, więc bardzo świadomie podchodzimy do tego, żeby przekazać tę naszą wiedzę do klienta, żeby doskonale sobie zbudować taką matrycę, co mamy w którym momencie wykonać i potem w możliwie efektywnej, nieinwadzyjny sposób przejść do instalowania i konfigurowania tej platformy w środowisku chociażby właśnie urzędu.
Jest to robione tak naprawdę w skończonej ilości dni, więc nie musimy tego rozwlekać na bardzo długi okres czasu, ale mimo wszystko zachęcamy do tego, żeby długofalowo z nami współpracować, bo systemy klasy CEM, czy systemy klasy SOAR, niezależnie od tego, z jakiego producenta będziemy korzystać na koniec dnia, one potrzebują takiej minimu uwagi z naszej strony i na bieżąco powinniśmy je dostosowywać do zmieniającego się tak naprawdę co dzień świata. My bardzo chętnie z naszymi partnerami biznesowymi dzieliły się tą wiedzą, staramy się nasze usługi też proponować, aby maksymalnie efektywnie skupić się na swojej pracy, a dać w możliwość realizacji różnego typu zagadnień do specjalistów.
To wszystko automatyzujemy na każdym możliwym etapie, staramy się wprowadzać takie procesy, które możliwiają państwu właśnie skupienie się na tym sednie swoich codziennych działań, a te wszystkie zadania, które można w jakikolwiek sposób odzyskać w sposób z wywiązań automatycznego procesu, to tam to zawsze będziemy proponować. To wszystko jest w pełni zintegrowane ze środowiskiem informatycznym, czyli oprócz tego, że gromadzimy te dane, to możemy różnego typu akcje wykonywać również poprzez chociażby skrypty, poprzez integrację API z systemami dziedzinowymi, staramy się integrować, tworzymy różnego typu predefiniowane wizualizacje podkonkretne, a też elementy infrastruktury.
W związku z czym, jeżeli korzystają państwo z usług rozwiązań sieciowych takich jak WordCard, jak Forti czy też innych dostawców sieciowych, to de facto pod takie zdania dostarczamy predefiniowane chociażby reguły korrelacyjne i też wizualizacje, żeby też z jednego tak naprawdę systemu móc podajęć również to, co się dzieje w naszym środowisku sieciowym. I tak naprawdę na tym chciałbym zakończyć w tą część prezentacji. Tutaj pokażę sobie swoje dane kontaktowe, jakie również do naszego działu sprzedaży. Jeszcze raz zachęcam do tego, żeby komunikować się z naszymi partnerami biznesowymi, aby chociażby ustalać jakieś dedykowane spotkania dla państwa potrzeb. Dla wszystkich zainteresowanych zapraszam do bezpośredniego kontaktu.
Po spotkaniu mogę udostępnić do państwa listę mapy, które możecie udostępnić do państwa listę mapowania naszych rozwiązań właśnie na ten poradnik Ministerstwa Cyfryzacji. Dzięki czemu mamy nadzieję, że pomoże to państwu w swego rodzaju lepszym dostosowaniu się, tudzież da to pewne pomysły w jakiś sposób na pisać wniosek. Jeżeli będą państwo potrzebowali właśnie pomocy w zamapowaniu tych potrzeb, bardziej precyzyjnie również zapraszamy do kontaktu z partnerami z nami, z naszą dystrybucją firmą Pakotech. Jesteśmy po prostu do państwa dyspozycji. Zapraszam też na webila, który będzie miał miejsce za dwa tygodnie, a kolejne różnego pomocy, które będą pojawiały się na bieżąco na pewno się będą pojawiały. My też będziemy starali się te komunikaty wspomagające państwa w procesie doboru rozwiązań w miarę regularnie umieszczać.
Widzę, że większość pytań, które się pojawiły zostały zaadresowane przez kolegę Szymona. Jeżeli chodzi o koszty rozwiązań, tutaj też zapraszam do albo kontaktu bezpośrednich, albo też do naszych partnerów. Będziemy państwu demonstrować można powiedzieć indywidualnie te ceny. One są też dostosowane do, można powiedzieć, tego projektu, z którym obecnie się będziemy mierzyli, no i będziemy się mierzyli przez najbliższe dwa lata. Jeżeli chodzi o kwestię kosztową, na pewno tutaj mogę powiedzieć, że jesteśmy istotnie konkurencyjną rynkową firmą. Czy jeszcze mamy jakieś pytania? Dobrze. W takim układzie jeszcze raz serdecznie dziękuję. Zapraszamy do kontaktu, no i do zobaczenia podczas kolejnych wydań naszych różnego typu wydarzeń. Pozdrawiam. Dzięki. Dzięki. Dzięki. Dzięki. Dzięki. Dzięki. .