IBM
Firma IBM oferuje szeroki zakres rozwiązań związanych z bezpieczeństwem informatycznym.
Flagowy produkt firmy – rozwiązanie QRadar SIEM to wiodące rozwiązanie do zarządzania, monitorowania, wykrywania i analizowania incydentów bezpieczeństwa informatycznego, wykorzystywane przez działy SOC największych firm w Polsce jak i na świecie.
Passus S.A. (wcześniej spółka Wisenet włączona do Grupy Passus w 2024 roku) jest partnerem IBM od 2013 roku i obecnie posiada status partnerski Gold. Od tego zrealizowaliśmy ponad 50 złożonych projektów z zakresu szeroko rozumianego Security Operation Center, uwzględniających obowiązujące w Polsce regulacje (m.in. RODO, Ustawa o KSC, rekomendacje KNF, prawo telekomunikacyjne itp.).
Oprócz rozwiązań SIEM/SOC rozwijamy nasze kompetencje w innych obszarach IBM Security takich jak SOAR, ochrona danych wrażliwych (DAM) czy przeprowadzania analiz śledczych (forensic).
IBM QRADAR SIEM
IBM QRadar to platforma do zarządzania informacjami o zdarzeniach bezpieczeństwa (SIEM), która pomaga w identyfikacji, analizie i reakcji na incydenty związane z bezpieczeństwem informatycznym. Poprzez swoją skalowalność i funkcjonalność znajduje zastosowanie zarówno w średniej wielkości przedsiębiorstwach jak i w dużych rozproszonych globalnie organizacjach. Jest rozwiązaniem mogącym służyć jako główny system kolekcjonowania zdarzeń, ich korelacji i wykrywania incydentów na potrzeby Security Operation Center.
System IBM QRadar realizuje wszystkie funkcjonalności stawiane wobec systemów klasy SIEM:
- Zbieranie danych - platforma integruje się z różnorodnymi źródłami danych, takimi jak logi systemowe, dane z urządzeń sieciowych, aplikacje oraz dane zabezpieczeń fizycznych, umożliwiając pełny obraz aktywności w sieci.
- Analiza zdarzeń - IBM QRadar przetwarza ogromne ilości danych, używając zaawansowanych algorytmów i reguł do identyfikacji nietypowych lub podejrzanych zachowań. system korzysta również z bazy danych zawierającej informacje o zagrożeniach.
- Korelacja - w oparciu o wspólne atrybuty wykonuje połączenie zdarzeń w logiczne paczki. Umożliwia zastosowanie wielu rodzajów korelacji zdarzeń z różnych źródeł w celu stworzenia wartościowej i zsyntetyzowanej informacji;
- Alertowanie i reakcja - po wykryciu potencjalnego zagrożenia, QRadar generuje alerty, umożliwiając szybką reakcję zespołom bezpieczeństwa. Może również automatycznie uruchamiać akcje.
- Integracja z innymi narzędziami - Platforma integruje się z różnymi narzędziami bezpieczeństwa, co umożliwia pełniejsze i skuteczniejsze reagowanie na incydenty.
- Raportowanie i analiza trendów – QRadar umożliwia generowanie raportów, analizę trendów i śledzenie zmian w poziomie bezpieczeństwa, co jest istotne dla doskonalenia strategii bezpieczeństwa organizacji.
IBM QRadar SIEM to kompleksowe rozwiązanie, które pomaga organizacjom w skutecznym monitorowaniu, analizie i reagowaniu na zagrożenia związane z bezpieczeństwem informatycznym.
QRADAR SOAR
System QRadar SOAR (wcześniej pod nazwą Resilient) służy do zarządzania, nadzorowania i automatyzacji procesów związanych z obsługą incydentów. W prosty sposób integruje się z istniejącymi w organizacji systemami bezpieczeństwa oraz systemami zarządzania i obiegu informacji. Dzięki temu każdy wykryty incydent podnosi alarm, który może być w odpowiedni sposób obsługiwany poprzez workflow czynności i akcji które są związane z jego obsługą, a których celem jest minimalizacja skutków potencjalnego ataku.
Kiedy w organizacji zostanie wykryty incydent bezpieczeństwa, oficerowie odpowiedzialni za monitorowanie zagrożeń mogą zainicjować incydent w platformie QRadar SOAR poprzez eskalację alertów np. bezpośrednio z systemów SIEM, czy też wykorzystując RESTful API, lub poprzez wysłanie wiadomości e-mail. W momencie kiedy zostanie zgłoszony incydent bezpieczeństwa w zależności od jego klasyfikacji QRadar SOAR sugeruje konkretne kroki - tak zwane action plans – które są związane z przyjętymi w organizacji scenariuszami SOP (Standard Operation Plan) czyli planami reakcji na konkretne zagrożenia.
Akcje zdefiniowane w rozwiązaniu krok po kroku wskazują jakie czynności powinny być podjęte aby w pierwszej kolejności wyeliminować trwający atak, zminimalizować jego skutki, ocenić wpływ danego incydentu na funkcjonowanie danej organizacji a na koniec przedsięwziąć czynności które uniemożliwią ponowne wystąpienie danego incydentu. W obecnej chwili w platformie IRP jest zdefiniowanych wiele wzorców oraz sugestii analizy zdarzeń związanych z 18 rożnego rodzaju klasyfikacjami incydentu np. (Atak DDoS, Malware, Insider Threat, kradzież sprzętu itp.).
Dodatkowo platforma Security SOAR potrafi wzbogacać kontekst każdego z wykrytych incydentów poprzez gromadzenie dodatkowych danych niezbędnych do przeprowadzania skutecznego śledztwa (np. po przez import zdarzeń z systemów bezpieczeństwa, Intelligence Content Feed czy systemów klasy SIEM) oraz zapewnia wspólną platformę do współpracy pomiędzy różnymi pracownikami począwszy od oficerów bezpieczeństwa, administratorów IT odpowiedzialnych za konfigurację i utrzymanie infrastruktury a kończąc na pracownikach odpowiedzialnych za relacje publiczne lub prawnikami.
Platforma Incident Response Platform może być wyposażona w 3 dedykowane moduły: Security, Action, Privacy
- Moduł Security umożliwia zarządzanie i obsługiwanie incydentów bezpieczeństwa - w zależności od klasyfikacji zgłoszonego incydentu dobiera odpowiednie procesy rozwiązywania problemu, zapewniając odpowiednie kroki oparte na najlepszych praktykach, uznanych standardach rozwiązywania problemów lub też wewnętrznych planach SOP (Security Operation Plans).
- Moduł Action umożliwia automatyzację czynności związanych z analizą i rozwiązywaniem incydentów bezpieczeństwa. Dzięki temu mogą być wyeliminowane często powtarzane i czasochłonne czynności, które zwykle są wykonywane przez operatorów bezpieczeństwa w sposób manualny.
- Moduł Privacy adresuje wyzwania związane z koniecznością potwierdzenia przez organizację zgodności z danym standardem bezpieczeństwa.
Systemy klasy SOAR są niezbędnym narzędziem w działaniu Security Operation Center, umożliwiając zarządzanie i monitoring obsługi incydentów. Znacząco wpływają na sprawność działania oraz obniżenie kosztów operacyjnych organizacji SOC.
IBM SECURITY GUARDIUM
Rozwiązanie IBM Security Guardium automatyzuje wykrywanie i klasyfikację wrażliwych danych, monitoruje aktywność na danych w czasie rzeczywistym i oferuje analizy kognitywne do wykrywania nietypowych działań na tych danych.
Chroni przed nieautoryzowanym dostępem do danych, ucząc się wzorców uzyskiwania dostępu przez użytkowników, a także uruchamia alerty w czasie rzeczywistym, gdy wykryje podejrzaną aktywność. Rozwiązanie dynamicznie blokuje dostęp na podstawie ID użytkowników i obejmuje ich kwarantanną, tak aby zabezpieczyć przedsiębiorstwo przed wewnętrznymi i zewnętrznymi zagrożeniami.
Usprawnia i automatyzuje zapewnienie zgodności z wymogami formalno-prawnymi. To rozwiązanie zbudowane na fundamencie skalowalnej architektury, która zapewnia widoczność aktywności względem danych w największych bazach danych.
Najważniejsze cechy IBM Guardium
- Monitorowanie i kontrola wszelkiej aktywności na plikach - Zapewnia widoczność i pomaga w interpretacji wszystkich transakcji realizowanych przez użytkowników, w tym administratorów baz danych, programistów, zewnętrzny personel kontraktowy oraz aplikacje — na wszystkich platformach i niezależnie od protokołu.
- Egzekwowanie strategii bezpieczeństwa w czasie rzeczywistym - Monitoruje i egzekwuje strategie dotyczące ochrony newralgicznych danych, działań użytkowników uprzywilejowanych, zmian, działań użytkowników aplikacji oraz wyjątków i naruszeń zabezpieczeń.
- Przyspieszanie zapewniania zgodności z wymogami i przeprowadzanie kontroli - Agreguje i normalizuje dane kontrolne w całym przedsiębiorstwie na potrzeby audytów, sprawozdawczości formalnej, korelacji i dochodzeń, nie korzystając przy tym z własnych funkcji kontrolnych bazy danych.
- Obsługa środowisk heterogenicznych - IBM Security Guardium Data Protection for Databases obsługuje korporacyjne bazy danych i hurtownie danych działające w najważniejszych systemach operacyjnych, w tym IBM DB2, Oracle, Teradata, Sybase i Microsoft SQL Server w systemach Windows, UNIX, Linux, AS/400 i z/OS.
- Łatwe dostosowywanie się do zmian w środowisku danych - Umożliwia stworzenie zwinnego środowiska ochrony danych, które odpowiednio adaptuje się do zmian — nowych użytkowników, platform i rodzajów danych.
IBM Guardium zapobiega wyciekom z baz danych, hurtowni danych i środowisk typu Big Data, takich jak Hadoop, zapewnia integralność informacji i automatyzuje kontrolę zgodności w środowiskach heterogenicznych.
IBM RANDORI RECON
IBM Randori to rozwiązanie klasy ASM (Attack Surface Management), w modelu SaaS. Służy do identyfikowania tych miejsc w infrastrukturze organizacji, które mogą stać się dla cyberprzestępców ścieżką przeprowadzania ataku - takich jak wirtualne serwery, interfejsy API, strony internetowe stworzone kiedyś przez zespół IT na potrzeby testów, a po nich pozostawione bez nadzoru.
Zaawansowany algorytm pozwala skutecznie wyłapywać potencjalne zagrożenia w wielu miejscach systemów IT przedsiębiorstwa. Wskazuje m.in. nieaktualne certyfikaty bezpieczeństwa (lub takie, które niedługo wygasną), serwery-zombie, niezabezpieczone dokumenty, a także strony, które należy dezaktywować. Efektem ciągłej analizy infrastruktury IT są raporty o potencjalnych zagrożeniach, które należy wyeliminować.
Randori Recon różni się od dostępnych na rynku tzw. skanerów podatności tym, że skanery wymagają od użytkownika wskazania dokładnych miejsc (serwerów) do przeprowadzenia analizy, natomiast Randori Recon odnajduje je samo.
Randori Recon często pozwala organizacjom zidentyfikować elementy systemów, które bez wiedzy administratorów są publicznie dostępne. Ich skuteczna eliminacja minimalizuje ryzyko błędów i potencjalnych ataków po przeniesieniu do chmury.