Spis treści FireEye IMPERVA CyberArk 9 Tufin Technologies McAfee Proofpoint Enterprise Protection Rapid 7 Tukan IT Wheel Systems Palo Alto Networks

Transkrypt

1

2 O nas Firma Trafford IT powstała w 2012 roku i od początku specjalizuje się w dostarczaniu najlepszych rozwiązań z zakresu bezpieczeństwa teleinformatycznego. Oferujemy starannie wybrane technologie światowych leaderów branży IT, specjalizujących się między innymi w ochronie przed zaawansowanymi atakami, bezpieczeństwie baz danych i aplikacji webowych, zabezpieczaniu kont uprzywilejowanych, bezpieczeństwie sieci i stacji końcowych. Nasza oferta jest dynamicznie dostosowywana do występujących zagrożeń i nieustannie rozwijana o nowe rozwiązania. Przykładamy dużą wagę do merytorycznego wsparcia naszych klientów. Wierzymy bowiem, że poziom bezpieczeństwa gwarantują nie tylko zainstalowane technologie, ale także a może przede wszystkim świadomość użytkowników. Budujemy i wspieramy ją w czasie warsztatów, konferencji, webinariów, konsultacji oraz w trakcie wdrożeń i w ramach świadczonych usług serwisowych. Jesteśmy zgranym zespołem wykwalifikowanych specjalistów-pasjonatów z wieloletnim doświadczeniem w branży. Nieustannie inwestujemy w naszą kadrę, czego efektem są najwyższe statusy partnerskie uzyskane u naszych vendorów. Wyznajemy zasadę głoszoną przez guru naszej branży, Marka Sell (MKS Vir), który powiedział (...) Nie jest najważniejsze jaki masz produkt. Najważniejsze, kto Ci go wdrożył.

3 Spis treści FireEye NOWA GENERACJA OCHRONY PRZED ZAGROŻENIAMI 4 IMPERVA BEZPIECZEŃSTWO BAZ DANYCH, APLIKACJI WEB, PLIKÓW I APLIKACJI CHMUROWYCH 6 CyberArk ZARZĄDZANIE KONTAMI UPRZYWILEJOWANYMI, MONITOROWANIE, NAGRYWANIE 0 9 F5 OCHRONA PORTALI DOSTĘPOWYCH, DESZYFRACJA SSL 11 Tufin Technologies ZARZĄDZANIE ZMIANAMI I KONFIGURACJĄ ZABEZPIECZEŃ SIECI 12 McAfee ZINTEGROWANE ROZWIĄZANIA BEZPIECZEŃSTWA DO OCHRONY SYSTEMÓW, SIECI I URZĄDZEŃ KOŃCOWYCH 13 Proofpoint Enterprise Protection GATEWAY - PEŁNA OCHRONA PRZED ZAGROŻENIAMI POCZTY ELEKTRONICZNEJ 15 Rapid 7 WYKRYWANIE I ZARZĄDZANIE PODATNOŚCIAMI W ŚRODOWISKACH KORPORACYJNYCH 16 Tukan IT SYSTEM DO KLASYFIKACJI DOKUMENTÓW ORAZ POCZTY ELEKTRONICZNEJ 17 Wheel Systems KONTROLA I REJESTRACJA ZDALNYCH SESJI DOSTĘPU DO SIECI, DESZYFRACJA RUCHU SSL 18 Palo Alto Networks NAJLEPSZY FIREWALL NOWEJ GENERACJI 19 NetScout MONITOROWANIE SIECI I APLIKACJI, ROZWIĄZANIA TYPU TAP 20 Flowmon Networks MONITOROWANIE I UTRZYMANIE BEZPIECZEŃSTWA SIECI 22 RadarServices USŁUGA MONITOROWANIA BEZPIECZEŃSTWA W OPARCIU O ZEWNĘTRZNE ZASOBY (SOC AS A SERVICE) 23 NOZOMI Networks BEZPIECZEŃSTWO PRZEMYSŁOWYCH SYSTEMÓW STREROWANIA (ICS) 25 DarkTrace WYKRYWANIE I ANALIZA ZAGROŻEŃ POJAWIAJĄCYCH SIĘ W SIECI (MACHINE LEARNING) 26 Audyty Bezpieczeństwa TESTY BEZPIECZEŃSTWA: PENETRACYJNE, WYDAJNOŚCIOWE, AUDYTY WŁAMANIOWE 27 Ubezpieczenia Cyber KOMPLEKSOWE UBEZPIECZENIE CYBERRYZYK 28

4 FireEye NOWA GENERACJA OCHRONY PRZED ZAGROŻENIAMI Rozwiązania FireEye blokują zaawansowane ataki malware, ataki zero-day oraz ukierunkowane ataki APT uzupełniając system ochrony zasobów informatycznych przedsiębiorstwa. Dodają zintegrowaną, wielopoziomową ochronę przeciwko dzisiejszym, szybko zmieniającym się, wielokierunkowym zagrożeniom opartym o aplikacje WWW, pocztę elektroniczną i zwykłe pliki. Ochrona przed zaawansowanymi atakami Rozwiązania FireEye Web, oraz File Malware Protection Systems zapewniają ochronę przed zaawansowanymi i ukierunkowanymi atakami, które omijają tradycyjne zabezpieczenia bazujące na sygnaturach i stanowią realne zagrożenie dlawiększości dzisiejszych sieci w przedsiębiorstwach. Urządzenie FireEye blokuje znane zagrożenia oraz generowane przez nie transmisje, a także wykorzystuje najbardziej wyrafinowane wirtualne środowisko na świecie do wykrywania i blokowania nowych, zaawansowanych ataków malware. Ochrona bazująca na sygnaturach Ochrona bez sygnatur NGFW, IPS, AV, SWG FireEye Znane zagrożenia Nieznane zagrożenia Analizy ataków typu zero-day wewnątrz wirtualnego środowiska FireEye zapewniają ochronę przed atakami malware w czasie rzeczywistym. Dodatkowo, informacje o nowych zagrożeniach mogą być współdzielone ze wszystkimi użytkownikami FireEye Malware Protection Cloud. Urządzenie FireEye jest rozwiązaniem o skuteczności bliskiej stu procent. Dodatkowo działa na zasadzie plug&play, dzięki czemu już w 30 minut po wdrożeniu można oszacować korzyści inwestycji (ROI). Niezależny, wirtualny silnik wykrywa zewnętrzne ataki zero-day System FireEye skutecznie wykrywa podejrzany kod, analizując pliki, załączniki i obiekty WWW. Po wykryciu próby ataku, eliminuje go. Automatyka rozwiązania FireEye przepuszcza zagrożenie malware przez filtr oparty o sygnatury, by sprawdzić czy nie zawiera znanych zagrożeń, a następnie wprowadza je do wirtualnego środowiska, gdzie weryfikuje pełną ścieżkę kodu. Dzięki uwzględnieniu wielu systemów operacyjnych, aplikacji, przeglądarek oraz dodatków typu add-on, system FireEye wskazuje zagrożenia, które mogą uruchomić pełen zestaw ataków zero-day, typu exploit, rootkit i inne groźne funkcje. Jednoczesne blokowanie i poddawanie kwarantannie wszystkich protokołów FireEye obserwując ruch sieciowy zbiera i mierzy liczne informacje. Należą do nich m.in. adresy IP, protokoły i porty transmisyjne, których atakujący używają do komunikacji i dystrybucji malware. Posiadając tego typu informacje system FireEye może zablokować połączenia z i do zaatakowanego komputera i przekazać informację o zagrożeniu do centrów kontroli. Przy użyciu FireEye, zainfekowany użytkownik może być objęty ochroną przed wysyłaniem danych oraz ściąganiem kolejnych zagrożeń. Szczegółowe raporty generowane przez FireEye pomogą administratorom systemu w identyfikacji zainfekowanych komputerów oraz w ich oczyszczaniu. Inteligentna chmura wymiany danych Użytkownicy FireEye mogą subskrybować FireEye Malware Protection Cloud, by współdzielić, budować i utrzymywać aktualną bazę wiedzy o zagrożeniach. System FireEye analizuje kod pod kątem złośliwych akcji i tworzy sygnatury dla wszystkich wykrytych i potwierdzonych malware. Dynamicznie generowane sygnatury mogą być współdzielone w czasie rzeczywistym przez FireEye Malware Protection Systems z innymi użytkownikami. Zintegrowana ochrona Większość zagrożeń używa wielokierunkowych i wielostopniowych ataków w celu ominięcia tradycyjnych zabezpieczeń przedsiębiorstwa. Dostają się do sieci jako niewinnie wyglądające wiadomości pocztowe zawierające nieszkodliwy odnośnik. Kiedy użytkownik kliknie w URL uaktywnia szereg procesów szukających słabych punktów w systemie zabezpieczeń. FireEye potrafi wykryć ataki typu spear phishing, URL, a także złośliwe załączniki oraz skutecznie chronić przed mieszanymi zagrożeniami tego typu. 4

5 OCHRONA POCZTY Seria FireEye EX cchroni przed zaawansowanymi atakami z użyciem wiadomości . Jako część platformy FireEye Threat Prevention rozwiązanie FireEye EX używa bezsygnaturowej technologii maszyn wirtualnych MVX, oraz analizy statycznej w celu eliminowania niebezpiecznych załączników i adresów URL w treści wiadomości. Po zidentyfikowaniu jakiegokolwiek zagrożenia, zidentyfikowane wiadomości są przenoszone do kwarantanny i nie trafiają do użytkownika. System dedykowany do ochrony przez atakami celowanymi. OCHRONA WEB Seria FireEye NX minimalizuje ryzyko kosztownych włamań sieciowych dzięki precyzyjnemu wykrywaniu i zatrzymywaniu zaawansowanych cyberataków. Podstawą rozwiązania NX jest dedykowany hypervisor FireEye Multi-Vector Virtual Execution (MVX), który analizuje ruch sieciowy w izolowanym środowisku wirtualnym w celu wykrywania znanych i nieznanych exploitów, złośliwego oprogramowania i połączeń zwrotnych. Zawiera również konwencjonalne rozwiązanie Intrusion Prevention System (IPS), które wykrywa typowe ataki za pomocą tradycyjnych metod sygnaturowych. W przeciwieństwie do rozwiązań typu Firewall, IPS lub AV seria NX wykrywa zarówno znane, jak i nieznane ataki z dużą dokładnością i jednocześnie generuje niewielkie ilości fałszywych alarmów. ANALIZA POWŁAMANIOWA NA STACJACH KOŃCOWYCH Po wykryciu ataku sieciowego lub w poczcie , urządzenie Serii FireEye HX automatycznie uaktualnia stacje końcowe o całą dostępną wiedzę o zagrożeniach i sprawdza, czy na stacji istnieją jakikolwiek ślady zainfekowania (IOC indicator of compromise). Podejrzana stacja może być wyizolowana jednym kliknięciem, a zebrane z niej informacje mogą być wykorzystane do stworzenia niestandardowego IOC dla nieznanych wcześniej zagrożeń. Dodatkowo, seria HX wykrywa, koreluje i blokuje aktywności, które wskazują na uruchomienie expliota i alarmują działy bezpieczeństwa dając im całościową wiedzę na temat stacji, zachowania atakującego i metodologii działania. LABORATORIUM ANALITYCZNE MALWARE Seria FireEye AX dostarcza analitykom bezpośrednią kontrolę nad wydajnym, samo konfigurowalnym środowiskiem testowym, które pozwala na bezpieczne uruchamianie i sprawdzanie zaawansowanego malware, ataków zero-day oraz ukierunkowanych ataków APT zakodowanych w plikach, załącznikach oraz w adresach URL. DŁUGOTERMINOWE REJESTROWANIE I ANALIZA Serie FireEye PX i FireEye IA umożliwiają redukcję negatywnego wpływu incydentów naruszeń bezpieczeństwa dzięki bardzo wczesnemu wykrywaniu i szybkiemu dochodzeniu, co dokładnie się stało. W czasie ataku, przedsiębiorstwo ma możliwość szybkiego ustalenia zakresu naruszenia, co pozwala na efektywne przeciwdziałanie i ponownie zabezpieczenie sieci. Serie PX i IA są bardzo skutecznymi rozwiązaniami, umożliwiającymi długoterminową rejestrację i dogłębną analizę całego ruchu sieciowego. ZARZĄRZANIE I RAPORTOWANIE Seria CM scala zarządzanie, raportowanie, przekaz informacji zbieranych przez wszystkie komponenty rozwiązania FireEye w jednym, łatwym do podłączenia urządzeniu sieciowym. Seria CM umożliwia współdzielenie automatycznie generowanych przez urządzenia FireEye informacji o malware, w celu zablokowania zaawansowanego ataku wycelowanego w organizację. Pozwala także na centralne zarządzanie konfiguracją i raportowaniem. 5

6 Imperva BEZPIECZEŃSTWO APLIKACJI WEB, BAZ DANYCH, PLIKÓW I APLIKACJI CHMUROWYCH BEZPIECZEŃSTWO APLIKACJI WEB Web Application Firewall (WAF) to skuteczna zapora aplikacyjna rozumiejąca strukturę aplikacji, jej poszczególne komponenty, a także przewidywane zachowanie użytkownika, wyszukując anomalie w ruchu WEB. Zastosowana technologia Dynamic Profiling automatyzuje proces zabezpieczenia poprzez automatyczną budowę profilu aplikacji, tworzenie zbioru reguł oraz listy akceptowalnych zachowań użytkownika. Zamknięty profil aplikacji nie eliminuje możliwości wykonywania planowych zmian w jej architekturze, gdyż system sam dostosowuje się do jej nowych elementów. WAF dysponuje także ogromną liczbą konfigurowalnych, wbudowanych polityk i reguł, dzięki którym wykrywana jest pełna gama ataków na aplikację WEB. Użytkownicy wewnętrzni Środowisko i usługi WEB Serwery aplikacyjne INTERNET Web Application Firewall ThreatRadar ThreatRadar Reputation Services to jedna z licencji uzupełniających Web Application Firewall, która zapewnia automatyczną klasyfikację adresów IP klientów korzystających z serwisu WEB. ThreatRadar przeciwdziała zautomatyzowanym atakom (np. phishing IP, szkodliwe adresy IP, adresy o złej reputacji) poprzez integrację wiarygodnych informacji na temat znanych źródeł ataków z systemami ochrony SecureSphere. ThreatRadar jest w stanie szybko i skutecznie zatrzymywać ruch sieciowy z potencjalnie groźnych źródeł, zanim jeszcze atak może zostać zainicjowany, bądź wzbogacić analizę podczas wystąpienia alertu. BEZPIECZEŃSTWO BAZ DANYCH Database Activity Monitoring (DAM) nieustannie monitoruje i kontroluje w czasie rzeczywistym wszystkie operacje wykonywane na bazach danych, dostarczając szczegółowych informacji na temat tego, kto?, co?, kiedy?, gdzie? oraz jak?. DAM kontroluje użytkowników uprzywilejowanych logujących się do bazy zdalnie, jak i lokalnie, ale także użytkowników standardowych, łączących się z serwerem za pomocą różnych aplikacji, nawet tzw. kontem technicznym. System monitoruje odpowiedzi baz danych, w kontekście wycieku poufnych informacji oraz naruszeń bezpieczeństwa, a w krytycznych sytuacjach ma możliwość blokowania tych odpowiedzi. Dodatkowo budowany jest profil bazy danych, dzięki czemu wykrywane są wszelkie anomalie związane z podejrzanymi zapytaniami. Discovery and Assessment Server (DAS) jest unikalnym, rozbudowanym skanerem podatności w bazach danych. Wykorzystuje gotowe, wbudowane polityki analiz podatności w konfiguracji, bazach danych oraz w platformie na jakiej pracują. Dzięki temu pomaga organizacjom w identyfikacji i eliminacji słabych punktów. System wirtualnych poprawek może blokować próby wykorzystania wykrytych podatności, zapewniając tym samym natychmiastową ochronę bez konieczności aktualizacji bazy. Technologia ta ogranicza do minimum czas, w którym system wystawiony jest na ataki, jak również znacząco zmniejsza ryzyko naruszenia bezpieczeństwa danych podczas testowania i dostarczania poprawek do nich. DAS potrafi skanować i wykrywać wszelkie instancje baz danych, które są wystawione w sieci, odnajdując nieautoryzowane środowiska testowe z realnymi danymi. User Rights Management for Databases (URMD) automatycznie gromadzi informacje na temat praw użytkowników dla heterogenicznych baz danych. System zarządzania prawami użytkowników umożliwia ich łatwe przeglądanie, identyfikację pracowników ze zbyt dużymi, czy też wielokrotnie zagnieżdżonymi uprawnieniami, ograniczając tym samym wyciek danych. Ułatwia także wykazywanie zgodności z regulacjami takimi jak: SOX czy PCI. 6

7 CounterBreach to dodatkowy moduł korzystający z logów audytowych rozwiązania Imperva DAM. Przy pomocy algorytmów machine learning, CounterBreach buduje model korzystania z danych przez użytkowników. Uwzględnia nie tylko ich aktywność, lecz również dane, po które sięgają oraz sposób, w jaki to robią. Po zbudowaniu modelu, system jest w stanie wykryć wszelkie anomalie, dzięki czemu działy bezpieczeństwa mogą szybko reagować na ryzykowne zachowania użytkowników. MASKOWANIE DANYCH Maskowanie i zaciemnianie wrażliwych danych jest bardzo istotną częścią polityki bezpieczeństwa. Używając zaawansowanych algorytmów maskowania, Imperva Camouflage zamienia wrażliwe dane na fikcyjne, zachowując przy tym ich pełną wartość logiczną i statystyczną. Zamaskowane dane mogą służyć m.in. w rozwoju systemów, procesie testowania, czy w systemach nieprodukcyjnych, bez ryzyka wycieku danych wrażliwych. Dodatkowo dane bez obaw mogą być wysyłane do firm zewnętrznych, outsourcingowych, a zaciemnione bazy danych nie muszą być zgłaszane do urzędów np. do GIODO. BEZPIECZEŃSTWO PLIKÓW File Activity Monitoring (FAM) monitoruje i kontroluje w czasie rzeczywistym wszystkie operacje wykonywane na plikach, nie ograniczając przy tym wydajności i dostępności serwera plików, bądź dysków sieciowych. FAM udostępnia szczegółowe informacje dotyczące nazwy użytkownika pliku, do którego uzyskiwany jest dostęp, folderu macierzystego, czasu dostępu, wykonanej operacji itp. Aby zapewnić podział obowiązków, informacje te przechowywane są w zewnętrznym, zabezpieczonym repozytorium i udostępniane poprzez widok tylko do odczytu. System w pełni integruje się z Active Directory, wzbogacając zbierane informacje. OCHRONA SHAREPOINT Imperva SecureSphere for SharePoint to unikalne narzędzie dedykowane do zaawansowanej ochrony zasobów SharePoint. System jest połączeniem unikalnych cech ochrony SharePoint typu Web Application Firewall dla opublikowanych treści WEB, Database Activity Monitoring z dedykowanymi politykami ochrony SharePoint dla bazy danych MSsql oraz ochrony zasobów plikowych typu File Activity Monitoring skonfigurowaną specjalnie dla ochrony umieszczanych w tej aplikacji plików. Łącząc te trzy elementy, produkt daje olbrzymie możliwości ochrony tak skomplikowanej i rozbudowanej aplikacji. KONTROLA I WIDOCZNOŚĆ APLIKACJI CHMUROWYCH Imperva Skyfence Cloud Gateway zapewnia widoczność i kontrolę wykorzystania aplikacji w chmurze. Automatycznie wykrywa jej użycie, analizuje ryzyko i wymusza odpowiednie kontrole dla aplikacji SaaS oraz systemów produkcyjnych. Dzięki Imperva Skyfence użytkownicy mogą korzystać z aplikacji, których potrzebują, a dział IT jest w stanie zapewnić im odpowiednią ochronę. 1 ODKRYWANIE Widoczność aplikacji używanych przez pracowników 2 OCENA RYZYKA Ocena ryzyka kontekstowego aplikacji, użytkowników i konfiguracji zabezpieczeń 3 OCHRONA I KONTROLA Zautomatyzowane zapobieganie zagrożeniom w chmurze i dostosowane do kontekstu egzekwowanie polityk 7

8 Zalety rozwiązania: Zapewnienie widoczności aplikacji, zarządzanie nimi, analiza i ochrona w jednym zintegrowanym rozwiązaniu. Elastyczność wdrażania przy pomocy urządzeń, maszyn wirtualnych oraz usług wykonywanych w oparciu o chmurę. Szczegółowe polityki dla różnych urządzeń końcowych umożliwiają kontrolę dostępu i ochronę danych dla zarządzanych i niezarządzanych telefonów komórkowych, tabletów i laptopów. Wbudowana integracja z katalogami przedsiębiorstwa oraz narzędziami SIEM i MDM. Dogłębne wsparcie dla aplikacji Office 365, AWS, Salesforce, Google Apps, Box i Dropbox aż po obiekt danych i poziomy działania. AUTOMATYCZNE PRZECIWDZIAŁANIE NAJWIĘKSZYM ATAKOM DDoS Imperva Incapsula zabezpiecza strony internetowe, serwery DNS i całe łącza internetowe przed najpoważniejszymi i najbardziej inteligentnymi typami ataków DDoS w tym atakami na poziomie sieci, protokołu i aplikacji (warstwy 3, 4 i 7) ograniczając ich wpływ na działalność biznesową do minimum. Incapsula cechuje się natychmiastową wrażliwością już w pierwszych fazach ataku, a jednocześnie bardzo dokładnie odróżnia prawdziwe zapytania od ataku. Dzięki usłudze rozproszenia ruchu na ponad trzydzieści punktów obsługi, atak eliminowany jest już u źródła. Usługa Incapsula sprawdza się nawet w atakach o największej skali i odpiera złożone ataki w warstwie aplikacji poprzez zastosowanie zaawansowanych i progresywnych mechanizmów obronnych. Usługa automatycznie i transparentnie reaguje na ataki DDoS z minimalną liczbą pomyłek tak, że odwiedzający stronę nawet nie wiedzą, że serwis jest celem ataku. Incapsula obejmuje działające w czasie rzeczywistym panele do monitorowania i analizowania trwających ataków oraz dedykowane, całodobowe centrum NOC obsługiwane przez doświadczonych ekspertów ds. bezpieczeństwa, którzy zapewniają zachowanie dostępności usługi na poziomie biznesowym w czasie ataku oraz doskonałe wsparcie. DDos Prawidłowy ruch Sieć Incapsula Serwery użytkownika DDos Imperva Incapsula wykrywa i reaguje na złożone ataki wykorzystujące słabe punkty aplikacji, serwera WWW i serwera DNS, a także ataki typu hit-and-run i zagrożenia stwarzane przed duże botnety. System oferuje możliwość szybkiego, łatwego wdrożenia poprzez przekierowanie DNS, nawet dla jednej domeny. Wdrożenie modułu ochrony przed atakami DDoS nie wymaga instalowania sprzętu, oprogramowania, prac integracyjnych ani wprowadzania zmian w kodzie strony internetowej. Dzięki tak łatwemu mechanizmowi wdrożenia użytkownik jest chroniony już po kilku minutach i nie musi zmieniać obecnego dostawcy usług hostingowych ani infrastruktury aplikacji. Dla ochrony własnych zasobów DNS czy całego łącza istnieje możliwość przekierowania całej klasy adresowej poprzez routing BGP. 8

9 CyberArk ZARZĄDZANIE KONTAMI UPRZYWILEJOWANYMI, MONITOROWANIE, NAGRYWANIE Infrastruktury firm są coraz większe i coraz bardziej złożone. Funkcjonuje w nich duża liczba urządzeń i systemów operacyjnych, zarządzanych przez wielu administratorów korzystających z kont uprzywilejowanych. Ochrona haseł do tych kont oraz brak ich regularnej zmiany stanowi źródło problemów wielu organizacji. Rozwiązanie CyberArk służy do zarządzania hasłami użytkowników uprzywilejowanych w systemach operacyjnych, aplikacjach i urządzeniach sieciowych wykorzystywanych w dzisiejszych infrastrukturach teleinformatycznych. CyberArk zapewnia dodatkowo nagrywanie i monitorowanie sesji użytkowników uprzywilejowanych oraz zarządzanie poziomami uprawnień w systemach operacyjnych Windows i Linux. Administratorzy Serwerów Wirtualnych Administratorzy Windows Administratorzy Baz Danych Administratorzy Unix Zewnętrzni Dostawcy Aplikacje Biznesowe Audyt bezpieczeństwa i ryzyka CyberArk Serwery Serwery Windows Mainframe y iseries Mainframe y zseries Bazy Danych Aplikacje Urządzenia Sieciowe Urządzenia Bezpieczeństwa Strony i aplikacje Web Zalety rozwiązania: Możliwość instalacji zarówno w formie urządzeń fizycznych, jak i maszyn wirtualnych. Zarządzanie hasłami szerokiej gamy systemów, urządzeń i aplikacji. Łatwość tworzenia reguł zarządzania hasłami oraz dostosowania ich do polityk obowiązujących w organizacji. Możliwość nagrywania sesji do chronionych systemów, urządzeń i aplikacji. Zarządzanie uprawnieniami użytkowników w chronionych systemach Windows i Linux. API umożliwiające dostosowanie własnych aplikacji zapewniające integrację z systemem CyberArk. Możliwość kontroli, rozliczalności działań oraz identyfikacji administratorów logujących się na konta uprzywilejowane. Możliwość instalacji każdego z modułów w trybie High Availability, pozwalająca na osiągnięcie ciągłej dostępności całego systemu. Możliwość instalacji kluczowych elementów systemu w lokalizacjach rozproszonych (w trybie Disaster Recovery) pozwala na szybkie przywrócenie pełnej funkcjonalności systemu w przypadku awarii lokalizacji podstawowej. Modułowa struktura rozwiązania zapewnia dostosowanie systemu do indywidualnych potrzeb klienta oraz jego późniejszą modyfikację. 9

10 Komponenty rozwiązania CyberArk Enterprise Password Vault (EPV) to podstawowy element systemu, odpowiedzialny za przechowywanie w bezpieczny sposób zarówno haseł do chronionych systemów, jak i dowolnych plików. W ramach dodatkowego zabezpieczenia EPV umożliwia przechowywanie w sejfie określonej liczby wersji obiektów historycznych oraz ich odtworzenie w razie potrzeby. Wszystkie obiekty przechowywane w sejfie są szyfrowane przy pomocy algorytmu AES256. Dostęp do poszczególnych obiektów jest ograniczony na poziomie uprawnień konkretnego użytkownika. Komponent ten zapewnia także możliwość autoryzacji użytkowników sejfu w zewnętrznych systemach, takich jak LDAP, czy Active Directory. Central Policy Manager (CPM) to element rozwiązania odpowiedzialny za realizację polityki zarządzania hasłami chronionych systemów. CPM umożliwia tworzenie polityk dotyczących zmiany haseł w chronionych systemach, zgodnych z wymaganiami organizacji. Wymusza także regularną zmianę haseł, zarówno w chronionych systemach, jak i w odpowiadających im obiektach przechowywanych w EPV. Password Vault Web Access (PVWA) to element systemu dostarczający przyjazny, webowy interfejs użytkownika, pośredniczący w dostępie do obiektów przechowywanych w sejfie oraz odpowiedzialny za zestawienie sesji z docelowym systemem. PVWA pozwala również na dostęp uprawnionych użytkowników do przeglądania zarejestrowanych połączeń, a także monitorowania, współdzielenia oraz przerywanie trwających sesji. Autoryzacja w PVWA może być przeprowadzana w samym EPV lub w systemach zewnętrznych, takich jak LDAP, czy Active Directory. Application Identity Manager (AIM) to element systemu umożliwiający wyeliminowanie konieczności wykorzystania stałych haseł użytkowników technicznych pomiędzy aplikacjami klienckimi a serwerami. CyberArk udostępnia API pozwalające na dostosowanie kodu własnych aplikacji, zapewniając możliwość ich autoryzacji z wykorzystaniem haseł zapisanych w EPV. Privileged Session Manager (PSM) to element systemu odpowiedzialny za rejestrowanie sesji realizowanych przez użytkowników uprzywilejowanych do chronionych systemów. PSM działa na zasadzie serwera przesiadkowego: sesje nawiązywane są do serwera PSM, który następnie zestawia i rejestruje sesję z serwerem docelowym. Serwer PSM potrafi nagrywać sesje do serwerów Windows (RDP), Linux (SSH), sesje do urządzeń sieciowych, wirtualizatorów oraz baz danych. On-Demand Privilege Manager (OPM) to komponent umożliwiający ograniczenie użytkownikowi dostępu do określonego zestawu poleceń i aplikacji w chronionym systemie operacyjnym Windows lub Linux. Dzięki OPM użytkownik nie musi być administratorem docelowego systemu, aby móc wykonywać polecenia, czy uruchamiać aplikacje do tej pory zarezerwowane dla administratorów. Musi jedynie mieć przyznane przy pomocy OPM uprawnienia do wykonania określonych działań w systemie. Jest to przewaga nad standardowymi mechanizmami różnicowania uprawnień zaimplementowanymi w systemach operacyjnych, działającymi w większości przypadków na zasadzie wszystko albo nic. Endpoint Privilege Manager (EPM, Viewfinity) umożliwia organizacjom wprowadzenie zestawów reguł opartych na zasadzie minimum uprawnień dla użytkowników biznesowych i administracyjnych, a także wdrożenie kontroli aplikacji. Taka koncepcja ochrony ma na celu ograniczenie powierzchni podatnej na ataki bez strat na produktywności. Rozwiązanie pomaga działom IT w odbieraniu praw administratora lokalnego użytkownikom biznesowym, ale też zwiększa ich zakres, gdy wymaga tego praca z zaufanymi aplikacjami. Rozwiązanie nie tylko uzupełnia ustawienia uprawnień, ale też oferuje możliwość zarządzania aplikacjami i określania, które z nich mogą być uruchamiane przez Użytkowników stacji roboczych i serwerów bez narażania środowiska na penetrację przez złośliwe oprogramowanie. 10

11 F5 OCHRONA PORTALI DOSTĘPOWYCH, DESZYFRACJA SSL WebSafe - ochrona portali dostępowych Oszustwa bankowe to nieustające zagrożenie dla instytucji finansowych oferujących usługi bankowości internetowej. Rozwiązanie F5 Web Fraud Protection (WebSafe) to unikalne podejście do wykrywania, zapobiegania oraz łagodzenia skutków ataków szkodliwego oprogramowania oraz oszustw internetowych, mających na celu wykradanie danych dostępowych i innych poufnych informacji przy użyciu przeglądarki internetowej. WebSafe zapewnia ochronę przed złośliwym oprogramowaniem, atakami typu phishing oraz generowaniem automatycznych przelewów. Komponenty technologiczne rozwiązania Web Fraud Protection F5 wykrywają zwykły i ukierunkowany malware, ataki typu man-in-the-browser, man-in-the-middle, zero-day, phishing oraz inne zagrożenia związanie z obsługą kanałów internetowych. Rozwiązanie stosuje różne techniki identyfikacji w celu rozpoznania złośliwego oprogramowania, w tym ataków takich jak: zmiany w kodzie HTML, wstrzyknięcie złośliwego skryptu, czy próby automatycznych przelewów. Zalety rozwiązania: - Wykrywa złośliwe oprogramowanie skierowane do aplikacji finansowych, - Zapobiega kradzieży danych uwierzytelniających użytkownika, - Stosuje analizę behawioralną użytkownika w celu ograniczenia prób automatycznych przelewów, - Chroni przed phishingiem podając informację zwrotną w czasie rzeczywistym. SSL Orchestrator - deszyfracja ruchu SSL Zadanie szyfrowania i deszyfrowania ruchu HTTPS znacznie obciąża elementy sieciowe służące do inspekcji ruchu (zapory, systemy IDS/IPS, systemy antywirusowe, narzędzia do filtrowania adresów URL, rozwiązania DPI do szczegółowej analizy pakietów itd.), zmniejszając ich wydajność. W przypadku zapory nowej generacji podczas inspekcji zaszyfrowanego ruchu wydajność spada o 81%. Mamy więc do czynienia z dwoma problemami: widocznością ruchu i wydajnością zasobów. Rozwiązanie F5 pozwala na inspekcję wcześniej zaszyfrowanego ruchu i dostarczenie go w postaci niezaszyfrowanej do serwerów WWW lub elementów sieciowych służących do jego analiz (zapór, systemów IDS/IPS, systemów antywirusowych, narzędzi do filtrowania adresów URL, narzędzi DPI do szczegółowej analizy pakietów itd.). Zapewnia to widoczność ruchu i w konsekwencji pozwala zredukować wielkość urządzeń służących do jego przyjmowania (FireEye, PAN, CheckPoint, SourceFire), co dodatkowo ułatwia skalowanie w poziomie. W przeciwieństwie do innych rozwiązań na rynku, opartych na wykorzystaniu oprogramowania SSL w technice MITM (Man-In-The-Middle), F5 stosuje akcelerację sprzętową przetwarzania ruchu SSL (odciążanie SSL). 11

12 Tufin Technologies ZARZĄDZANIE ZMIANAMI I KONFIGURACJĄ ZABEZPIECZEŃ SIECI Tufin Technologies dostarcza dedykowane rozwiązania zarządzania bezpieczeństwem, które umożliwiają firmom lepszą kontrolę infrastruktury zabezpieczeń IT. Produkty Tufin zapewniają precyzyjne wprowadzanie zmian polityki bezpieczeństwa, zgodność z wymaganiami standardów i regulacji prawnych oraz efektywne zarządzanie ryzykiem. Umożliwiają kontrolę nad skomplikowanymi zbiorami reguł firewall i pozwalają na ich bardziej efektywne utrzymanie. Tufin obsługuje międzynarodowe organizacje finansowe, banki, firmy farmaceutyczne, operatorów telekomunikacyjnych i agencje rządowe. Jest ukierunkowany na pomoc oficerom bezpieczeństwa i administratorom zabezpieczeń dużych firm i korporacji w zrozumieniu skomplikowanych i zawiłych polityk firewall, które cały czas ulegają modyfikacjom. Tufin rozwiązuje problem efektywnego zarządzania i audytowania zmian polityk wielu firewalli różnych producentów. Rozwijane przez wiele lat bez należytej kontroli duże zbiory reguł polityk bezpieczeństwa mogą zawierać dziesiątki niepotrzebnych reguł i obiektów, które spowalniają pracę sieci i zabezpieczeń. Dla zapewnienia właściwej ochrony zasobów IT w pełnym zakresie - integralności, poufności i dostępności - wymagane jest użycie dedykowanych narzędzi zarządzania zmian konfiguracji zabezpieczeń sieci, wspomagających administratorów w zakresie zgodności ze standardami korporacyjnymi i zapewniającymi optymalną wydajność pracy zabezpieczeń. Web based Admin PC F5 SIM HTTPS TOP DEVICES Blue Coat Syslog / SNMP SSH Check Point Cisco OPSEC (SSL) TUFIN SecureTrack / SecureChange Workflow SSH Firewall SSH Fortinet SSH / Syslog Juniper Zalety rozwiązania: Tufin ma najlepszy interfejs użytkownika. Tufin cechuje doskonałe śledzenie zmian w konfiguracjach systemów bezpieczeństwa. Tufin wyposażony jest w zaawansowane możliwości analizy polityk bezpieczeństwa. Mechanizm APG pozwala także automatycznie generować te polityki. Tufin potrafi wygenerować precyzyjny graf topologii sieci nawet dla urządzeń nie objętych licencją. Tufin bada zgodność konfiguracji polityk ze standardami (jak np. PCI), czy też zdefiniowanymi i zaimportowanymi przez użytkownika. Wymagający użytkownicy i programiści mogą rozszerzyć w dowolny sposób funkcjonalność Tufin dzięki bibliotece API (tzw. REST). 12

13 McAfee ZINTEGROWANE ROZWIĄZANIA BEZPIECZEŃSTWA DO OCHRONY SYSTEMÓW, SIECI I URZĄDZEŃ KOŃCOWYCH McAfee epo - unikalna konsola zarządzająca McAfee epolicy Orchestrator (epo ) to najbardziej popularna i doceniana technologia zarządzania produktami bezpieczeństwa IT. Do chwili obecnej korzysta z niej ponad klientów. epolicy Orchestrator zapewnia wysoce zautomatyzowane zarządzanie szeroką gamą rozwiązań McAfee, ułatwiając organizacjom podejmowanie szybkich i skutecznych decyzji. epo oferuje funkcje w zakresie tworzenia raportów i kreowania polityk bezpieczeństwa, co zdecydowanie zwiększa poziom ochrony przed zagrożeniami oraz wspomaga zarządzanie zgodnością z regulacjami. Konsola umożliwia wdrożenie skutecznej strategii bezpieczeństwa poprzez doskonałą integrację wielu produktów, ujednolicone zarządzanie, tworzenie raportów oraz przeprowadzanie audytów wszystkich wykorzystywanych rozwiązań McAfee. Zastosowanie pojedynczego, zintegrowanego agenta wraz z pojedynczą konsolą obsługującą wiele rozwiązań bezpieczeństwa zapewnia oszczędności, dzięki maksymalnej redukcji liczby wykorzystywanych serwerów oraz czasu pracy administratorów. Wykorzystując korelację informacji otrzymywanych z zarządzanych rozwiązań, epo błyskawicznie dostarcza informacje na temat zagrożeń i słabości systemów, a także niespotykaną szybkość aktualizacji i rekonfiguracji zarządzanych komponentów. Dostęp do konsoli jest możliwy przez stronę internetową, z dowolnej lokalizacji, bez potrzeby instalowania oprogramowania na stacjach roboczych. Mcafee Data Loss Prevention (DLP) McAfee Data Loss Prevention (DLP) to proste i skuteczne metody zapobiegające utracie danych. System zapewnia całkowitą kontrolę nad danymi, które są przez użytkowników drukowane, modyfikowane przy wykorzystaniu różnych aplikacji, czy też kopiowane na urządzenia do przechowywania danych. Dodatkowo monitorowane i blokowane są przypadki wyprowadzenia danych poufnych poprzez pocztę , pocztę w przeglądarce internetowej, aplikacje peer-to-peer, komunikatory internetowe, Skype, HTTP, HTTPS, FTP, WiFi USB, CD, DVD, drukarki, faksy oraz przenośne urządzenia do przechowywania danych. Szyfrowanie plików i pamięci przenośnych McAfee File and Removable Media Protection umożliwia zdefiniowanie, które pliki lub foldery mają być zaszyfrowane. Rozwiązanie umożliwia wskazanie katalogów, plików tworzonych przez określone aplikacje, plików danego typu oraz pamięci przenośnych, które mają zostać zaszyfrowane. Grupy użytkowników otrzymują prawa dostępu do wskazanych plików i folderów, dzięki czemu mogą w bezpieczny sposób przekazywać je sobie w sieci. Niezależnie od tego, gdzie dane zostaną zapisane lub przeniesione, są one przez cały czas zaszyfrowane za pomocą zaawansowanej technologii Persistent Encryption Technology. W przypadku nieautoryzowanego zapisu chronionego pliku na nieautoryzowane urządzenie, plik ten pozostanie zaszyfrowany i będzie niezdatny do użytku. Szyfrowanie dysków twardych maksymalne bezpieczeństwo danych Ochrona danych to podstawowy problem współczesnych organizacji. McAfee Drive Encryption gwarantuje pełne bezpieczeństwo krytycznych danych firmy. Rozwiązanie to wykorzystuje rygorystyczną kontrolę dostępu, z uwierzytelnianiem przed zainicjowaniem systemu operacyjnego (tzw. Pre-Boot Authentication) oraz algorytmy z rządową certyfikacją. Szyfrowanie i rozszyfrowywanie to proces niezauważalny dla użytkownika, wykonywany w locie bez żadnego negatywnego wpływu na wydajność urządzeń. McAfee Drive Encryption doskonale integruje się z istniejącymi systemami przedsiębiorstwa, zapewniając zwiększoną sprawność operacyjną. 13

14 McAfee Enterprise Security Manager (SIEM) - zbieranie i analiza logów System SIEM firmy McAfee to nowoczesne rozwiązanie pozwalające agregować dane o zdarzeniach, podatnościach i ryzykach. Charakteryzuje się zaawansowanymi mechanizmami logiki zarządzania bezpieczeństwem, szybkim czasem reakcji na incydenty, bezproblemowym zarządzaniem logami oraz rozbudowanymi raportami dotyczącymi zgodności. McAfee SIEM wykorzystuje opatentowaną, wyjątkową na rynku architekturę szybkiego przetwarzania i zarządzania danymi. Architektura ta umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z tego samego interfejsu użytkownika. McAfee Web Gateway W miarę zwiększania się wykorzystania i poziomu zaawansowania aplikacji webowych, rośnie potrzeba elastycznego dostępu połączonego z zaawansowanymi technikami bezpieczeństwa, ponieważ nawet pozornie bezpieczne strony mogą stać się celem skutecznego ataku złośliwego oprogramowania. Rozwiązanie McAfee Web Gateway to wysokowydajne proxy, które zapewnia kontrolę buforowania, uwierzytelniania, administracji i autoryzacji. McAfee Web Gateway to pełna, dwukierunkowa ochrona przed zagrożeniami. Zalety rozwiązania: Praca w trybach: proxy, cache proxy, bridge, router, WCCP, ICAP, next hop proxy. Zaawansowana ochrona przed malware, aktywne zapobieganie atakom typu zero-day oraz atakom ukierunkowanym. Filtrowanie według kategorii oraz reputacji stron WWW. Kontrola ruchu zaszyfrowanego (SSL). Ochrona przed wyciekiem danych. McAfee Network Security Platform - IPS nowej generacji Firma McAfee jest globalnym liderem w dziedzinie produktów Intrusion Prevention Systems (IPS) systemów wykrywających i zapobiegających włamaniom. McAfee Network Security Platform zapewnia najlepszą w swojej klasie efektywność, skalowalność, wydajność oraz poziom zarządzania. Rozwiązanie chroni przed najnowszym malware, atakami typu zero-day, botnetami, atakami typu denial-of-service (DoS) i zaawansowanymi atakami typu targeted attacks. McAfee Network Security Platform wykorzystuje technologię McAfee Global Threat Intelligence (GTI), zapewniającą ochronę przed szybko rozprzestrzeniającymi się, nowoczesnymi atakami. McAfee GTI ocenia reputację komunikacji sieciowej bazując na informacjach dotyczących miliardów unikalnych plików, adresów IP i URL, protokołów oraz danych geolokacyjnych na całym świecie. McAfee Network Security Platform jest pierwszym rozwiązaniem IPS, które łączy zaawansowane wykrywanie zagrożeń i świadomość aplikacyjną w jeden silnik decyzyjny. NSP koreluje aktywność zagrożeń aplikacyjnych, włączając w to świadomość aplikacyjną na warstwie 7. Udostępnia ponad tysiąc definicji aplikacji i protokołów, które pozwalają podejmować świadome decyzje dotyczące możliwości dostępu poszczególnych aplikacji do sieci. McAfee Network Security Platform zwiększa także przejrzystość sieci poprzez analizę przepływów z przełączników i routerów. 14

15 Proofpoint Enterprise Protection GATEWAY - PEŁNA OCHRONA PRZED ZAGROŻENIAMI POCZTY ELEKTRONICZNEJ Rozwiązania dostępne w ramach platformy Proofpoint Enterprise Protection Suite zapewniają kompleksową ochronę przed zagrożeniami poczty elektronicznej, włączając w to ochronę przed złośliwym oprogramowaniem (malware), wyłudzaniem informacji (phishing) oraz innymi formami niepożądanych lub niebezpiecznych treści. Dodatkowo w ramach Proofpoint Enterprise Privacy Suite dostępne są funkcjonalności zapewniające ochronę informacji wrażliwych oraz prywatnych, zapobiegając wyciekom informacji poufnych (DLP) oraz zapewniające zgodność z powszechnie stosowanymi międzynarodowymi i branżowymi regulacjami w zakresie ochrony danych. Całość dopełnia moduł Proofpoint Encryption, automatycznie szyfrujący wiadomości w oparciu o zasady własne organizacji, zmniejszając ryzyka powiązane z naruszeniami przepisów, utratą danych i złamaniem polityki korporacyjnej. Kompleksowa ochrona prywatności i zapobieganie utracie danych Proofpoint Enterprise Privacy zachowuje poufność cennych aktywów i danych korporacyjnych dzięki zastosowaniu mechanizmów analizy i klasyfikowania dokumentów. Wykorzystywane w tym celu dostosowywalne zasady i słowniki oraz inteligentne identyfikatory pozwalają na automatyczne wyszukiwanie informacji niejawnych, takich jak chronione informacje zdrowotne czy informacje finansowe, po czym (stosownie do wymagań polityki) blokują lub szyfrują przesyłane treści. Wielowarstwowa ochrona przed zagrożeniami (MLTP) Proofpoint Enterprise Protection do ochrony przed wszystkimi rodzajami złośliwego oprogramowania wykorzystuje technologie wykrywania wirusów oparte o sygnatury oraz sposób zachowania wirusów w czasie rzeczywistym. Zastosowane mechanizmy skuteczne są również w przypadku nowych rodzajów złośliwego kodu, na początkowym etapie rozprzestrzeniania się, zapewniając kompleksowe bezpieczeństwo użytkowników poczty elektronicznej. Zastosowany w tym rozwiązaniu moduł Proofpoint Dynamic Reputation podejmuje w czasie rzeczywistym inteligentne decyzje dotyczące akceptacji, odrzucenia lub zatrzymania przychodzących wiadomości . Wykorzystuje on zaawansowane mechanizmy uczenia maszynowego do ciągłej analizy reputacji na poziomie lokalnym i globalnym (np. śledzenie reputacji IP), w celu zapewnienia ochrony wszystkich klientów przed atakami przy pierwszych oznakach działalności złośliwego oprogramowania. Rozwiązanie może być także zintegrowane z usługą Proofpoint Targeted Attack Protection zapewniającą organizacjom kompleksową ochronę przed zaawansowanymi, ukierunkowanymi i rozciągniętymi w czasie zagrożeniami. Dzięki wykorzystaniu technik przetwarzania dużych zbiorów danych (BigData), system modeluje standardowe zachowanie pracowników w zakresie korespondencji elektronicznej w organizacji, co następnie umożliwia identyfikację nowych zagrożeń natychmiast po ich wystąpieniu. Panel kontrolny zapewnia administratorom wgląd w informacje o atakach, celach oraz ich metodach, umożliwiając szybkie reagowanie i bieżącą ochronę organizacji. Zaprojektowana dla globalnych przedsiębiorstw technologia wykrywania wielojęzycznego spamu i wyłudzania informacji, oferuje maksymalną ochronę przed zagrożeniami poczty w dowolnym języku i systemie kodowania znaków. Proofpoint MLX weryfikuje setki tysięcy atrybutów wiadomości , precyzyjnie wykrywając spam tekstowy, obrazkowy i załącznikowy. Dodatkowo pozwala na zatrzymywanie wiadomości wyłudzających informacje oraz automatycznie dostosowuje się do nowych zagrożeń, gdy tylko takie się pojawią. Proofpoint Enterprise Protection oferuje najwyższą skuteczność ochrony przeciwko wszelkim typom spamu, z wykorzystaniem najnowszych osiągnięć w analizie reputacji treści gwarancja 99% skuteczności dla wdrożeń w chmurze oraz 99,8% lub wyższą skuteczność dla wdrożeń u klientów. 15

16 Rapid 7 WYKRYWANIE I ZARZĄDZANIE PODATNOŚCIAMI W ŚRODOWISKACH KORPORACYJNYCH Rapid7 jest najbardziej zaawansowanym technicznie producentem oferującym rozwiązania z kategorii Vulnerability Management. Jej flagowe produkty dostarczają rozwiązań automatyzujących cały cykl zarządzania podatnościami. Skaner podatności - Nexpose Rapid7 Nexpose zapewnia identyfikację podatności oraz ocenę implikującego przez nie ryzyka dla wszystkich elementów systemu informatycznego firmy. Dostępne w Nexpose rozbudowane narzędzia raportowania pozwalają na prezentowanie informacji w sposób zrozumiały dla osób decyzyjnych oraz sprawne planowanie działań naprawczych. Dużą zaletą rozwiązań Rapid7 jest możliwość zastosowania jednego narzędzia do zarządzania podatnościami w całym systemie teleinformatycznym, obejmującym między innymi: elementy infrastruktury sieciowej, systemy operacyjne, serwisy sieciowe, bazy danych oraz interaktywne aplikacje Web. Dzięki temu wiedza o jednej podatności może służyć do wykrywania podatności innych warstw systemu informatycznego. Umożliwia to przygotowanie spójnych raportów dla wszystkich podatności w systemie teleinformatycznym, a w efekcie końcowym - przygotowanie spójnego planu działań naprawczych. 2. Ocena ryzyka 1. Identyfikacja podatności 3. Ocena jakości zabezpieczeń Integracja z zewnętrznymi systemami (np. SIEM, itp.) 5. Planowanie działań naprawczych 4. Przekaz do osób decyzyjnych Zarządzanie podatnościami w środowisku wirtualnym Rapid7 rozwiązuje problem zarządzania podatnościami w środowisku wirtualnym, gdzie często w praktyce niemożliwe jest uruchomienie testów z uwagi na potencjalne niebezpieczeństwo przeciążenia sieci oraz wirtualizatorów. Dla skanerów podatności działających z zewnątrz środowisko wirtualne jest mało przejrzyste (maszyny wirtualne mogą być dynamicznie wyłączane, dodawane i usuwane), co utrudnia zdefiniowanie i przeprowadzanie testów. Skaner Nexpose integruje się ze środowiskiem VMware, dzięki czemu może automatycznie wykrywać maszyny wirtualne widoczne w VMware vcenter i ESX. Dzięki temu możliwe jest wykrywanie podatności maszyn wirtualnych bez potrzeby ich skanowania z sieci, a także wykrywanie podatności w trybie offline. Dzięki tej integracji Nexpose otrzymuje automatyczne powiadomienia o zmianach, adaptując zadania skanowania do aktualnego stanu środowiska wirtualnego. Pakiet Metasploit do wykonywania testów penetracyjnych Rapid7 jest właścicielem legendarnego pakietu Metasploit najczęściej używanego na świecie narzędzia do wykonywania testów penetracyjnych. Rozwiązanie to jest stosowane przez profesjonalne firmy audytorskie oraz klasyczne przedsiębiorstwa w procesie zarządzania podatnościami do praktycznej weryfikacji skuteczności istniejących zabezpieczeń - w praktyce nie każda z wykrytych podatności może zostać usunięta, ale odpowiednio zaprojektowane i wdrożone zabezpieczenia (np. firewall, IPS, WAF) mogą skutecznie uniemożliwiać przestępcom i złośliwym programom wykorzystanie luk do naruszenia bezpieczeństwa danych oraz systemów teleinformatycznych. 16

17 Tukan IT SYSTEM DO KLASYFIKACJI DOKUMENTÓW ORAZ POCZTY ELEKTRONICZNEJ Tukan GREENmod - System wspomagający klasyfikowanie dokumentów oraz poczty Problem wycieku poufnych informacji dotyczy każdej organizacji. Systemy klasy DLP (Data Loss Prevention), dysponujące zaawansowanymi mechanizmami automatycznej klasyfikacji treści, pomijają specyficzne rodzaje zawartości, które nie poddają się ich algorytmom klasyfikacji. Tukan GREENmod wprowadza możliwość uzupełnienia mechanizmów automatycznego klasyfikowania dokumentów oraz poczty elektronicznej o nieocenioną w takich przypadkach wiedzę użytkownika, dotyczącą poufności tworzonych przez niego treści. Rozwiązanie to integruje się z aplikacjami Microsoft Office, wymuszając konieczność sklasyfikowania tworzonego dokumentu przed zapisaniem go na dysku komputera. Analogicznie, Tukan GREENmod uniemożliwi wysłanie wiadomości pocztowej, jeżeli nie zostanie ona sklasyfikowana. Dlaczego Tukan GREENmod? Przeniesienie odpowiedzialności za ochronę danych na twórców dokumentów. Działy Bezpieczeństwa często nie mają kompetencji, by zastąpić działy biznesowe i samodzielnie wskazać metody klasyfikowania informacji możliwych do zaimplementowania w systemach klasy DLP. Twórca dokumentu jest najlepszym źródłem informacji o poprawnej klasyfikacji wyników jego pracy. Klasyfikacja nadana przez użytkownika stanowić będzie pierwszą linię ochrony, która uzupełni automatyczne metody klasyfikacji zapewniane rozwiązaniami klasy DLP. Łatwa integracja z systemami klasy DLP. System oznaczania dokumentów (metadane dodawane do plików i wiadomości pocztowych) może być wykorzystywany do automatyzacji procesów ochrony, takich jak: monitorowanie, blokowanie transferu danych, zapobieganie drukowaniu, alarmowanie o naruszeniach bezpieczeństwa, poddawanie kwarantannie, szyfrowanie danych, archiwizowanie, wyszukiwanie. Zalety rozwiązania: Wymuszanie klasyfikacji dokumentów na ich twórcach. Przed zapisaniem nowych dokumentów, Tukan GREENmod wyświetli okno dialogowe, w którym użytkownik musi określić stopień poufności dokumentu. Dzięki temu pliki nie poddające się opisowi automatycznie działających polityk systemów klasy DLP, będą zabezpieczane w odpowiedni sposób. Klasyfikowanie wysyłanych wiadomości pocztowych. Przed wysłaniem wiadomości pocztowej musi być ona sklasyfikowana, co zapobiegnie przypadkowemu wysłaniu wrażliwych danych poza organizację. Klasyfikowanie wcześniej utworzonych dokumentów. Tukan GREENmod nie tylko wymusza określenie stopnia poufności nowych dokumentów, ale również daje możliwość sklasyfikowania tych, które zostały utworzone przed jego instalacją. W momencie otwierania niesklasyfikowanego dokumentu, system może poprosić o wskazanie żądanego stopnia ochrony. Łatwa identyfikacja twórcy dokumentu. System może dodawać do metadanych pliku nazwę zalogowanego użytkownika. Zapewnianie zgodności z regulacjami. Tukan GREENmod, poprzez wymuszanie klasyfikowania każdego nowego dokumentu, zapewnia zgodność ze szczególnymi regulacjami wewnętrznymi i zewnętrznymi. Rodzaj klasyfikacji i oznaczeń można dowolnie modyfikować. 17

18 Wheel Systems KONTROLA I REJESTRACJA ZDALNYCH SESJI DOSTĘPU DO SIECI, DESZYFRACJA SSL MONITOROWANIE, REJESTRACJA I AUDYT ZDALNYCH SESJI ADMINISTRACYJNYCH FUDO to system realizujący monitorowanie, kontrolę, rejestrację i audyt zdalnych sesji administracyjnych. Rozwiązanie pozwala zachować najwyższy poziom bezpieczeństwa podczas współpracy z zewnętrznymi partnerami biznesowymi. Każdy ruch zdalnych konsultantów może być w pełni kontrolowany. Brakujące ogniwo w systemach bezpieczeństwa FUDO uniemożliwia ryzyko zatarcia śladów niepożądanych działań, dokonanych przez zdalnych konsultantów. System podsłuchuje i nagrywa wszystkie sesje SSH, RDP, VNC. Umożliwia analizę, zarówno sesji archiwalnych, jak i aktualnych. Podczas podglądu sesji na żywo, osoba nadzorująca może w każdej chwili ją zakończyć, wstrzymać lub włączyć się do niej, by pracować wspólnie ze zdalnym konsultantem. Wszystkie dane z sesji zapisywane są na urządzeniu FUDO w formie zaszyfrowanej oraz znakowane kryptograficznym znacznikiem czasu. Sposób zapisywania danych gwarantuje ich integralność, dzięki czemu stają się doskonałym dowodem sądowym. Niezawodność działania FUDO to scentralizowana kontrola dostępu do serwerów. To niezależne, jednorodne środowisko, które nie wymaga instalacji żadnego dodatkowego systemu. Wszystkie czynności wykonuje się na FUDO z wykorzystaniem łatwego i intuicyjnego interfejsu graficznego. To sprawia, że wdrożenie rozwiązania jest procesem szybkim i tanim, a jego obsługa jest bardzo prosta. Jednorodne środowisko System FUDO został tak zaprojektowany, aby gwarantować największy poziom bezpieczeństwa oraz maksymalnie wysoką dostępność. Rozwiązanie wykorzystuje autorski system operacyjny WheelOS (bazujący na systemie FreeBSD). Storage składa się z dwunastu dysków pracujących w trybie RAID i poradzi sobie z awarią nawet dwóch dysków. Dodatkowo istnieje możliwość budowy klastra niezawodnościowego składającego się z dwóch urządzeń FUDO. Decydując się na to rozwiązanie, klienci mają pewność, że otrzymują rozwiązanie bezpieczne i niezawodne. DESZYFRACJA RUCHU SSL Urządzenie Lynx SSL Inspector pracuje w trybie przezroczystego mostu (transparent bridge), przechwytując wybrany ruch sieciowy. Sesje SSL/TLS są ustanawiane w taki sposób, by oprogramowanie klienckie uważało, że komunikuje się z docelowym serwerem, którego adres używany jest w procesie wymiany danych. Odszyfrowany ruch przekazywany jest do inspekcji, do dedykowanego urządzenia typu IDS/IPS. Wheel Lynx SSL Inspector ponownie szyfruje dane i przesyła do serwera docelowego. System DLP/IDS/IPS może wysłać do Wheel Lynx SSL Inspector żądanie zerwania wybranego połączenia użytkownika. Ruch nieszyfrowany, który również może przechodzić przez urządzenie, jest przekazywany do systemów IDS/IPS w stanie niezmienionym. LYNX X zaszyfrowany ruch rozszyfrowany ruch DLP / IDS / IPS X reset połączenia 18

19 Palo Alto Networks NAJLEPSZY FIREWALL NOWEJ GENERACJI Palo Alto Networks to innowacyjny producent nowej generacji systemów zabezpieczeń opartych na polityce bezpieczeństwa bazującej na użytkownikach i granularnej kontroli używanych przez nich aplikacji oraz zawartości transmitowanej poprzez sieć przedsiębiorstwa. Dzięki opatentowanej technologii App-ID system bezbłędnie identyfikuje aplikacje sieciowe niezależnie od używanych portów, protokołów, taktyki transmisji czy nawet szyfrowania SSL. Pozwala także analizować zawartość w celu zatrzymania szerokiego spektrum zagrożeń związanych z wyciekiem informacji - wszystko bez degradacji wydajności - przepustowość na poziomie 10Gbps. Dzięki skonsolidowaniu systemów zabezpieczeń w jedną platformę oraz nowym podejściu do budowy polityki bezpieczeństwa, jest możliwość bezpiecznego używania aplikacji Web 2.0 z gwarancją poufności przy jednoczesnej znaczącej redukcji kosztów zakupu i wdrożenia. Rodzina nowej generacji systemów bezpieczeństwa Palo Alto Networks pozwala na bezprecedensowe kontrolowanie i monitorowanie używanych aplikacji sieciowych, użytkowników i zawartości przepływających przez sieć przedsiębiorstwa. Bezpieczne korzystanie z aplikacji siłą napędową firmy Bezpieczne korzystanie z aplikacji oferowane przez innowacyjne zapory firmy Palo Alto Networks pomaga zarządzać działalnością i stawiać czoła zagrożeniom bezpieczeństwa związanym z szybko rosnącą liczbą aplikacji w sieci firmowej. Zalety rozwiązania: Możliwość stałej klasyfikacji wszystkich aplikacji na wszystkich portach. Zmniejszenie powierzchni narażonej na ataki sieci poprzez dopuszczenie określonych aplikacji i odrzucenie wszystkich pozostałych. Identyfikacja aplikacji, a nie portów - wykorzystanie tożsamości aplikacji jako podstawy polityki bezpieczeństwa. Powiązanie używania aplikacji z tożsamością użytkownika, a nie z adresem IP. Ochrona przed wszystkimi zagrożeniami - zarówno znanymi, jak i nieznanymi: niestandardowe lub nieznane złośliwe oprogramowanie jest aktywnie analizowane w zwirtualizowanym środowisku sandbox. Uproszczenie zarządzania polityką bezpieczeństwa - bezpieczny dostęp do aplikacji i mniej działań administracyjnych. Elastyczność wdrażania i zarządzania Funkcjonalność bezpiecznego korzystania z aplikacji jest dostępna w ramach indywidualnie zaprojektowanej platformy sprzętowej lub w postaci zwirtualizowanej. W przypadku wdrażania kilku zapór Palo Alto Networks, czy to w formie sprzętowej, czy zwirtualizowanej, można zastosować narzędzie Panorama do scentralizowanego zarządzania, zapewniającym widoczność wzorców ruchu oraz umożliwiającym wdrażanie reguł, generowanie raportów i dostarczanie aktualizacji zawartości z poziomu centralnej lokalizacji. Dzięki zaawansowanemu zestawowi graficznych narzędzi wizualizacyjnych administratorzy uzyskują pełny obraz aktywności aplikacji i jej potencjalnego wpływu na bezpieczeństwo, dzięki czemu mogą podejmować lepsze decyzje, gdy chodzi o politykę zabezpieczeń. Aplikacje są stale klasyfikowane, a w miarę zmiany ich stanu odbywa się dynamiczne aktualizowanie graficznych podsumowań, dostępnych za pośrednictwem prostego w obsłudze graficznego interfejsu. Platforma sprzętowa lub zwirtualizowana Palo Alto Networks oferuje pełną gamę indywidualnie zaprojektowanych platform sprzętowych, począwszy od modelu PA-200 przeznaczonego dla zdalnych biur korporacyjnych, do modelu PA-5060 zaprojektowanego dla wysokiej klasy centrów danych. Funkcjonalność zapory, w jaką wyposażone są platformy sprzętowe, jest również dostępna w zaporze wirtualnej serii VM, która zabezpiecza zwirtualizowane i oparte na chmurze środowiska obliczeniowe. 19

20 NetScout MONITOROWANIE SIECI I APLIKACJI, ROZWIĄZANIA TYPU TAP Środowiska sieciowe są obecnie niezwykle skomplikowane, będąc jednocześnie głównym medium umożliwiającym działanie organizacji. Sprawą krytyczną jest zapewnienie niezakłóconego działania sieci oraz potrzeba szybkiej reakcji na awarie. OPTIVIEW XG TESTER SIECIOWY NOWEJ GENERACJI Tablet OptiView XG jest doskonałym narzędziem, które w znaczący sposób usprawni codzienną pracę każdego administratora sieci. Wyjątkowa forma urządzenia zapewnia mobilność oraz pozwala analizować i rozwiązywać problemy podłączając się do dowolnego miejsca w sieci. Urządzenie pozwala nie tylko monitorować stan działania infrastruktury sieciowej oraz usług, ale również proaktywnie rozwiązywać napotykane problemy. Dzięki integracji czterech bardzo istotnych obszarów w jednym urządzeniu, stanowi unikalny przykład wszechstronnego narzędzia dla specjalistów IT. Szereg dodatkowych funkcjonalności umożliwia także wgląd w zasoby serwerów wirtualnych, mierzenie wydajności łączy WAN oraz śledzenie użytkowników mobilnych. VISUAL TRUVIEW - SYSTEM MONITOROWANIA SIECI I WYDAJNOŚCI APLIKACJI System monitorowania TruView stanowi unikalne rozwiązanie w klasie systemów AANPM (Application Aware Network Performance Monitoring). TruView integruje kluczowe źródła danych takie jak pakiety, transakcje, NetFlow/IPFIX, a także protokół SNMP, jednocześnie umożliwiając analizę danych różnego rodzaju w skorelowanej formie. Dzięki wykorzystaniu spójnego interfejsu użytkownik jest w stanie bardzo szybko zweryfikować jak działa jego infrastruktura sieciowa oraz jak wydajnie funkcjonują aplikacje biznesowe z punktu widzenia użytkownika końcowego. Dedykowana platforma sprzętowa wyposażona w funkcję 10 Gbps Stream-to-disk gwarantuje, że żadne istotne zdarzenie nie zostanie przeoczone. Kompleksowy system monitorowania sieci i aplikacji może występować zarówno w postaci serwera typu All-in-one, bądź w postaci architektury rozproszonej. TruView Flow - kolektor eksportów NETFLOW/IPFIX Moduł TruView Flow odpowiada za monitorowanie składu ruchu przy wykorzystaniu takich protokołów jak NetFlow, sflow, jflow, IPFIX, itd.). Dzięki zaawansowanej platformie sprzętowo-programowej kolektor może przyjmować eksporty z częstotliwością nawet flow/s, co czyni go liderem w swojej klasie. Jako dodatkowe źródło danych TruView Flow wykorzystuje protokół SNMP, który służy mu do zbierania informacji o wykorzystaniu zasobów wszystkich urządzeń wysyłających eksporty, a także o utylizacji każdego z interfejsów. TruView Packet - kolektor monitorujący wydajność aplikacji Moduł TruView Packet jest rozwiązaniem dedykowanym do monitorowania wydajności aplikacji biznesowych. Analiza przechwyconego ruchu aplikacyjnego pod kątem parametrów czasowych łączy się również z danymi na temat kluczowych parametrów sieciowych, dzięki czemu użytkownik może bardzo szybko wyizolować domenę problemów wydajnościowych. Ponadto TruView Packet swoją analizą może objąć także ruch VoIP generując statystyki typowe dla usług głosowych (np. MOS, R-Factor). 20

21 KOPIOWANIE RUCHU DO SYSTEMÓW BEZPIECZEŃSTWA / MONITOROWANIA Rozwiązania typu TAP, to szereg urządzeń sieciowych uzupełniający ofertę systemów bezpieczeństwa lub analizatorów sieciowych. Projektując nowoczesne systemy zabezpieczeń w sieciach różnej wielkości zwrócono uwagę, że sposób implementacji rozwiązania, a tym samym sposób w jaki analizator uzyska dostęp do ruchu sieciowego ma kluczowe znaczenie. Dotychczas administratorzy mieli możliwość wyboru pomiędzy implementacją SPAN lub in-line. TAPy stanowiąc warstwę pośrednią pomiędzy urządzeniami sieciowymi, a systemami analizy tworzą kolejną metodę, która pozwala na kopiowanie zdefiniowanej próbki lub całości ruchu sieciowego eliminując zupełnie wady trybów SPAN i in-line. Urządzenia monitorujące DLP IPS APM NPM Forensic Warstwa sieci monitorującej Optymalizacja procesu przekazania ruchu do odpowiednich systemów Agregacja i filtrowanie Infrastruktura sieciowa TAP - kopiowanie ruchu z wybranych linków TAPy są wykorzystywane w aplikacjach bezpieczeństwa, ponieważ nie powodują opóźnień, nie są wykrywalne w sieci (nie posiadają adresu fizycznego lub logicznego). Dzięki zapewnieniu fizycznego bypassu w przypadku uszkodzenia TAPa, zwierane są porty fizyczne i nadal przechodzi przez nie ruch sieciowy, ale bez przekazywania danych na port monitorujący. Zakres rozwiązań otwierają najprostsze urządzenia TAP gwarantujące 100% bezpieczeństwa na wypadek awarii oraz pełną wydajność kopiowania ruchu. Z drugiej strony mamy zaawansowane urządzenia (tzw. Network Packet Broker) oferujące szereg dodatkowych funkcjonalności w porównaniu do zwykłego kopiowania ruchu. Umożliwiają one agregowanie ruchu, równoważenie obciążenia, filtrowanie i fragmentację podsłuchiwanych pakietów, włącznie z instalacjami w trybie Inline BY-PASS. Network Packet Broker umożliwi optymalne wykorzystanie urządzeń monitorujących i zabezpieczających środowisko sieciowe. Wysoka skalowalność dostarczanych rozwiązań pozwala na rozbudowę wraz z rozwojem sieci. Zalety rozwiązania: Ułatwiony wgląd w ruch sieciowy na poziomie dowolnych linków w sieci gwarantujący elastyczność, lepsze wykorzystanie posiadanych narzędzi monitorujących i niższe koszty operacyjne Scentralizowane zarządzanie siecią monitorującą ułatwia przydział dostępu do ruchu sieciowego dla dowolnych narzędzi, zarówno działających w trybie INLINE, jak również pasywnie podsłuchujących ruch Odciążenie przełączników produkcyjnych poprzez eliminację nadużywanych sesji SPAN Optymalizacja działania sieci poprzez zastosowanie równoważenia obciążenia posiadanych systemów i narzędzi 21

22 Flowmon Networks MONITOROWANIE I UTRZYMANIE BEZPIECZEŃSTWA SIECI Flowmon jest kompletnym rozwiązaniem do monitorowania i zabezpieczania sieci komputerowych, opierającym się na technologii monitorowania przepływów IP (technologie flow). Obejmuje efektywne, autonomiczne sondy dla wszystkich typów sieci do prędkości 10 Gb/s, kolektory do zapisywania danych, wizualizacji i analizowania statystyk sieciowych oraz inne moduły rozszerzające. MONITOROWANIE SIECI Monitorowanie oparte na przepływie (standardy NetFlow, IPFIX i inne) udostępnia szczegółowy wgląd w ruch w sieci z możliwością przejścia do szczegółowych informacji o dyskretnych komponentach ruchu, gwarantując jednocześnie rozszerzalność, skalowalność i łatwość integracji systemu z produktami innych firm. Zapewnienie efektywnego administrowania, rozwiązywanie problemów z siecią i wykrywanie wewnętrznych i zewnętrznych zagrożeń bezpieczeństwa (w tym tych, które nie są wykrywane przez powszechnie dostępne narzędzia zabezpieczające) to tylko niektóre z korzyści. Monitorowanie oparte na przepływie udostępnia szczegółowe informacje dotyczące komunikacji wewnętrznej, profili czasowych, czasu trwania, częstotliwości, protokołów i wolumenu danych. Te statystyki umożliwiają monitorowanie w czasie rzeczywistym wykorzystania sieci, działań użytkowników i korzystania z Internetu. Wśród innych korzyści należy wymienić wykrywanie zagrożeń i zarządzanie incydentami kryminalistycznymi w sieci. Ciągła analiza danych z wykorzystaniem technologii analizy zachowań (NBA) umożliwia wykrywanie podejrzanych działań, anomalii, ataków i zagrożeń. SIEM Departament bezpieczeństwa Firewall IDS/IPS NBA Departament sieci SNMP Flow monitoring Packet Analysis FLOWMON Rozwiązanie firmy Flowmon integruje monitorowanie oparte na przepływie z analizą NBA, udostępniając idealne rozwiązanie wspomagające administratorów sieci i zabezpieczeń w zarządzaniu, naprawianiu, optymalizowaniu i zabezpieczaniu sieci. Zapewniana kompatybilność obejmując oba typy sieci: fizyczne i wirtualne. Rozwiązanie firmy Flowmon składa się z wysoko wydajnych autonomicznych modułów generowania informacji statystycznych o przepływach Flowmon Probe, modułu przechowywania danych Flowmon Collector służących do wyświetlania i analizowania ruchu w sieci, modułu Flowmon ADS (Anomaly Detection System) służącego do automatycznego zabezpieczania ruchu i wykrywania incydentów dotyczących działania, modułu Flowmon DDoS Defender do ochrony przed atakami wolumetrycznymi, modułu Flowmon APM (Application Performance Monitoring) służącego do monitorowania wydajności aplikacji HTTP/HTTPS i baz danych, a także modułu Flowmon Traffic Recorder służącego do kompletnego rejestrowania przesyłanych danych. 22

23 RadarServices USŁUGA MONITOROWANIA BEZPIECZEŃSTWA W OPARCIU O ZEWNĘTRZNE ZASOBY (SOC as a Service) Złożoność dzisiejszych środowisk informatycznych oraz konieczność ich zabezpieczania powoduje, iż w organizacjach niezbędne jest zbudowanie wyspecjalizowanych komórek, analizujących oraz reagujących na pojawiające się incydenty bezpieczeństwa. Problemy związane ze znalezieniem zasobów koniecznych do uruchomienia tych jednostek oraz wiedzy koniecznej do właściwego zaplanowania procesów reagowania na wykrywane zagrożenia, zachęca organizacje do wykorzystywania zewnętrznych, ukierunkowanych w tym zakresie firm. RadarServices powstał jako centrum kompetencyjne, zapewniające pomoc w zakresie zaawansowanej korelacji incydentów bezpieczeństwa i zarządzania ryzykiem informatycznym. Kluczowymi elementami zastosowanego w RadarServices modelu biznesowego, są: automatyczna korelacja przy użyciu modeli statystycznych, wykorzystanie algorytmów uczących się (ang. Machine Learning) i analiza zachowań, pozwalająca definiować procesy wykrywania, oceny i ewaluacji ryzyka. Na bazie prowadzonych badań i współpracy z zewnętrznymi partnerami, Radar Services stale udoskonala metody i technologie pozwalające chronić organizację przed ewoluującymi zagrożeniami. Analiza zebranych informacji ze środowisk IT, usług i procesów biznesowych, jest kluczowa dla uzyskania kompleksowej świadomości ryzyka bezpieczeństwa w całym przedsiębiorstwie i stworzenia odpowiednich raportów dla poszczególnych szczebli organizacji. Internet Skanowanie podatności RISK INTELLIGENCE VPN INFRASTRUKTURA KLIENTA DMZ Web Server Extranet Portale VPN Skanowanie podatności RADAR CONTROL CENTER Zarządzanie Dobre praktyki Wskazówki Analiza Audyt RADARBOX RADAR CONTROL CENTER Informacja o ryzyku Procesy niwelowania ryzyka Raportowanie Alarmowanie Usługi i zasoby LAN Host-based Intrusion Detection (HIDS) Network-based Intrusion Detection (NIDS) Security Information & Event Management (SIEM) 23

24 Centrum kompetencyjne Wykorzystywanie zaawansowanych narzędzi analizujących i wykrywanie coraz to nowych zagrożeń, w zestawieniu z ogromną ilością weryfikowanych danych, wymusza zaangażowanie w jednostce SOC wysokokwalifikowanych specjalistów, nieustannie podnoszących swoje kompetencje. RadarServices zapewnia profesjonalny zespół, wyspecjalizowany w zaawansowanej analizie bezpieczeństwa i ryzyka informatycznego, posiadający certyfikaty, takie jak CISSP, CISM, CISA lub CSSLP, podlegający okresowej weryfikacji przez odpowiednie służby, co daje klientom gwarancję odpowiednich kompetencji, wiarygodności i bezpieczeństwa powierzanych danych. Zalety rozwiązania: Szacowanie ryzyka oparte na wielopoziomowej korelacji. RadarServices wykorzystuje zarówno mechanizmy automatycznie analizujące wydarzenia, jak i wiedzę ekspertów pracujących w zespole SOC. Ocena ryzyka powiązanego z poszczególnymi zagrożeniami jest prowadzona w oparciu o indywidualne wymagania danego klienta oraz innych firm o podobnej specyfice działalności. Korelacja zdarzeń i informacji z istotnych elementów środowiska teleinformatycznego. Elastyczne raportowanie, zapewniające prezentowanie informacji o zagrożeniach krytycznych procesów biznesowych i informatycznych na różnym poziomie szczegółowości, dostosowanym do potrzeb odbiorcy. Analizowane dane nie opuszczają siedziby klienta. Wszystkie zbierane logi są analizowane na systemie zainstalowanym u klienta. Wszelkie działania na systemie zainstalowanym u klienta, przeprowadzane przez pracowników SOC, są nagrywane i mogą być na żądanie udostępnione klientowi. System zabezpieczony przed zewnętrzną ingerencją. W zainstalowanych po stronie klienta urządzeniach zastosowano szereg zabezpieczeń blokujących przełamywanie mechanizmów bezpieczeństwa i nieuprawniony dostęp do gromadzonych przez system danych. Wielowarstwowe szyfrowanie. Połączenia pracowników SOC do systemów zainstalowanych po stronie klienta realizowane są przy użyciu komunikacji SSL i SSH, zabezpieczonej dodatkowo tunelem IPSEC VPN. Centrum SOC świadczy swoje usługi w dowolnym trybie czasu pracy, dostosowanym do indywidualnych potrzeb klienta, od 8/5, aż do 24/7/365. Uzupełnienie systemu bezpieczeństwa o komponenty monitorujące. Rozwiązanie może pracować równolegle do już działających rozwiązań typu IPS, SIEM czy skaner podatności, w wielu przypadkach zapewniając możliwość bezpośredniej integracji. Centra SOC zlokalizowane w wielu miejscach na świecie, z planowanym uruchomieniem jednego z nich w Polsce, zapewniającego polskojęzyczną obsługę. Współpraca z innymi jednostkami SOC i CERT, zapewniająca wymianę informacji pomiędzy różnymi organizacjami. 24

25 NOZOMI Networks BEZPIECZEŃSTWO PRZEMYSŁOWYCH SYSTEMÓW STEROWANIA (ICS) NOZOMI SCADAguardian to nieinwazyjne rozwiązanie do monitorowania i ochrony sieci przeznaczone i rozwijane przede wszsystkim pod kątem przemysłowych systemów sterowania (ICS). SCADAguardian jest urządzeniem sieciowym pracującym w otoczeniu elementów systemu ICS, które w sposób pasywny analizuje ruch sieciowy w celu oceniania, kontrolowania i zabezpieczania urządzeń komunikacyjnych. Pracujący system wykorzystuje innowacyjny, ukierunkowany na przemysłowe systemy sterowania ICS obiekt Virtual Image (obraz wirtualny), który umożliwia stworzenie modelu rzeczywistego procesu przez odtworzenie sterowników programowalnych PLC oraz stanów i relacji dla elementów sieci. Technologia ta pozwala zrealizować pracującą w czasie rzeczywistym funkcję stateful analysis (wszechstronna analiza stanów) dla całego systemu oraz dzięki wbudowanej funkcji zero-day detection - wykrywać wszelkie złożone ataki typu sequence-of-licit-commands (składające się z sekwencji lokalnych poleceń), bez konieczności posiadania jakichkolwiek dodatkowych informacji. Dodatkową korzyścią ze stosowania obiektu ICS Virtual Image jest wbudowane narzędzie Adaptive Learning (adaptacyjne uczenie się), pozwalające automatycznie wykrywać i sygnalizować potencjalnie niebezpieczne stany, a także w sposób dynamiczny rozpoznawać rolę każdego elementu wewnątrz sieci. Instalacja jest nieinwazyjna, ponieważ wymagane jest tylko aby urządzenie SCADAguardian było przyłączone do portów SPAN przełączników ICS, eliminując w ten sposób możliwość powstawania jakichkolwiek zakłóceń, oddziałujących na trwające procesy komunikacyjne. Zintegrowana konsola administracyjna sieci umożliwia monitorowanie i analizowanie działań pracującego systemu oraz uzyskanie przeglądu funkcjonowania różnych instalacji, tworząc skrócone zestawienie stanu bezpieczeństwa dla każdego elementu. Zarówno inżynierowie informatycy jak i inżynierowie procesu mogą mieć dostęp do opisów stanów na podstawie indywidualnych - tworzonych w oparciu o profil - zezwoleń. Zalety rozwiązania: Wykrywanie złożonych ataków SCADAguardian jest rozwiązaniem unikalnym, zdolnym do wykrywania złożonych ataków, skierowanych na wiele zmiennych systemowych w tym ataków typu zero-day. Małoinwazyjna instalacja Rozwiązanie opiera się na pasywnym i małoinwazyjnym podejściu, pozwalającym zagwarantować łatwą instalację (SPAN port) bez potrzeby dokonywania zmian w sieci, ani też zatrzymywania lub przerywania ruchu sieciowego. Adaptacyjne uczenie się Faza kompleksowego uczenia się dostosowuje się do monitorowanego systemu ICS, pozwalając na uzyskanie dostosowanego do potrzeb użytkownika profilu bezpieczeństwa. Znajomość własnych zagrożeń Poziom zagrożeń dla każdego monitorowanego systemu jest oceniany i aktualizowany w czasie rzeczywistym, pozwalając na uzyskanie pełnego i dogłębnego przeglądu zagrożeń dla instalacji. Różne potrzeby, jedno rozwiązanie Nowoczesna i intuicyjna konsola z funkcją segregowania obowiązków oraz specjalne ekrany dedykowane inżynierom procesu oraz fachowcom od zagadnień informatyki. Zgodność z przyjętymi standardami Idealne rozwiązanie, spełniające wymogi zapewnienia bezpieczeństwa ustalane przez standardy regulacyjne, takie jak NERC, NIST itp. Zapewnienie pełnej integracji Całkowita integracja z istniejącymi platformami, np. SIEM (Security Information and Event Management), uwierzytelnianie, itp. Ocena dokonywana w czasie rzeczywistym NOZOMI pozwala na przeprowadzanie w czasie rzeczywistym oceny monitorowanego systemu ICS, zapewniając w ten sposób aktualność informacji. 25

26 DarkTrace WYKRYWANIE I ANALIZA ZAGROŻEŃ POJAWIAJĄCYCH SIĘ W SIECI (MACHINE LEARNING) The Enterprise Immune System jest rozwiązaniem służącym do wykrywania i analizy zagrożeń pojawiających się w obrębie sieci. Dzięki zaawansowanym algorytmom matematycznym i zastosowaniu ich do modelu zachowań w danym przedsiębiorstwie, system monitoruje urządzenia i użytkowników wykrywając zachowania nietypowe i anormalne. Podejście matematyczne systemu nie wymaga stosowania sygnatur czy innych reguł, dzięki czemu możliwe jest wykrycie zagrożeń nieznanych i nigdy wcześniej nieodnotowanych. Darktrace dostarczany jest jako pasywne urządzenie odbierające ruch sieciowy. Po podłączeniu do sieci przedsiębiorstwa natychmiast rozpoczyna proces tworzenia licznych schematów zachowań urządzeń i użytkowników aktywnych w sieci. Matematyka samouczenia działa od momentu podłączenia urządzenia, a modele zachowań bezustannie ewoluują postępując wraz ze zmianami w zachowaniach użytkowników, urządzeń i samej sieci. Stworzenie tzw. Pattern of Life dla każdej jednostki będącej użytkownikiem sieci umożliwia rozwiązaniu wykrycie nawet najbardziej subtelnych odchyleń w zachowaniach, takich jak sposób korzystania danego użytkownika z danej technologii lub urządzenia, wzorzec dostępu do danych charakterystyczny dla danej jednostki czy schematy komunikacji wewnątrz przedsiębiorstwa. Zebranie takich danych może pozwolić rozwiązaniu na wskazanie potencjalnych zagrożeń zanim jeszcze wystąpią, np. kradzież danych autoryzacyjnych do systemów w przedsiębiorstwie lub nierozważne działania niedbałego pracownika. Skanowanie sieci, niespodziewana analiza infrastruktury, nieoczekiwane pobrania z nietypowych źródeł internetowych czy intranetowych, logowanie z nowych, nieaktywnych wcześniej urządzeń i lokacji do systemów przedsiębiorstwa, użycie nietypowych protokołów komunikacji do sieci lub z sieci czy nieużywanych wcześniej aplikacji wszystkie te i inne aspekty aktywności podlegają wykryciu dzięki modelowaniu matematycznemu. Mogą być one cennym źródłem informacji - stanowią bowiem niespodziewane odstępstwo od zachowań przyjętych jako norma. Wizualizacja zagrożeń (Threat Visualizer) Dopełnieniem Enterprise Immune System jest Threat Visualiser interaktywny, trójwymiarowy graficzny interfejs zaprojektowany tak, aby pomóc analitykom i managerom procesów biznesowych w intuicyjnym zwizualizowaniu i prześledzeniu występujących anomalii bez potrzeby zagłębiania się w zaawansowaną matematykę kryjącą się za potęgą samego rozwiązania. Zalety rozwiązania: Zaawansowane wykrywanie zagrożeń włącznie z nowymi i unikalnymi, Technologia oparta na wyrafinowanym mechanizmie samouczenia się i zaawansowanej matematyce, Podejście bezsygnaturowe pozwalające na wykrycie zagrożeń dopiero kształtujących się lub ataków skierowanych, które nie były wcześniej widziane, Praca w czasie rzeczywistym pozwalająca na alertowanie bez żadnych opóźnień, Wydajna platforma wizualizacyjna umożliwiająca intuicyjną analizę zagrożeń, The Enterprise Immune System wizualizuje i śledzi aktywność wszystkich urządzeń i użytkowników pokazując ich adres IP, Urządzenie jest instalowane pasywnie w infrastrukturze w ciągu zaledwie 1 godziny. 26