Zapraszamy na konferencję InfraSEC 2025 – weź udział w najbardziej praktycznym spotkaniu menedżerów cyberbezpieczeństwa OT na polskim rynku! Zobacz więcej >>

09.12.2024

7 minutes

Wdrożenie rozwiązania Splunk w firmie BEST S.A.

Klient

BEST S.A. należy do grona liderów w branży windykacyjnej w Polsce. Firma zarządza dużymi portfelami wierzytelności nieregularnych, rozwiązując problem braku terminowych rozliczeń pomiędzy stronami umów i przywracając równowagę w obiegu gospodarczym. 
Spółka istnieje na rynku od 1994 roku, a od 1997 roku jej akcje notowane są na GPW w Warszawie. 
Siedziba firmy znajduje się w Gdyni, w Elblągu usytuowane jest  Centrum Usługowe BEST S.A. 

BEST SA jako spółka wiodąca w grupie kapitałowej BEST jest odpowiedzialna za środowisko informatyczne oraz zapewnienie bezpieczeństwa informacji i IT we wszystkich spółkach z grupy. 

Oczekiwania Klienta

Ataki cyberprzestępców są kierowane na firmy i instytucje wielu branż. Firmy z sektora finansowego, ze względu na specyfikę prowadzonej działalności i poufność przechowywanych i przesyłanych informacji są szczególnie „atrakcyjnym” celem. Ujawnienie tych informacji może mieć bardzo negatywne skutki – zarówno dla firmy, jak i jej klientów. Analogicznie jak w innych instytucjach, nie tylko z sektora finansowego, utrata danych, np. wskutek ataku ransomware może wiązać się z przerwaniem ciągłości funkcjonowania grupy kapitałowej i brakiem możliwości kontaktu z klientami. 

 Niezależny od pionu IT Dział Bezpieczeństwa Informacji w BEST S.A. jest świadomy aktualnych zagrożeń i stale aktualizuje wiedzę zarówno z zakresu najnowszych ataków, jak i dostępnych na rynku rozwiązań zapewniających skuteczną ochronę. 

Firma stosuje wiele rozwiązań podnoszących bezpieczeństwo organizacji takich jak Next Generation Firewall, system klasy EDR (Endpoint Detection and Response), system do ochrony przed wyciekiem danych (DLP), skanery podatności, czy system kontroli dostępu do sieci (NAC).  

Firma od kilku lat korzystała z rozwiązań klasy SIEM, ale zaistniała  potrzeba wdrożenia  nowego rozwiązania, które   umożliwiałoby bardziej intuicyjne budowanie scenariuszy incydentów i reguł korelacyjnych, przyspieszyłoby analizę zdarzeń mogących stanowić naruszenie bezpieczeństwa  
i pomogło szybciej reagować na wykryte odstępstwa od przyjętej polityki bezpieczeństwa  

W tym celu  Dział Bezpieczeństwa Informacji w firmie BEST S.A. zdecydował o potrzebie wdrożenia nowego systemu klasy SIEM, który w szczególności spełni następujące funkcje: 

  • umożliwi podłączenie źródeł danych ze wszystkich systemów używanych w GK BEST, 
  • będzie posiadać czytelny, intuicyjny interface, możliwość tworzenia dedykowanych dashboard-ów oraz łatwy język budowania korelacji, 
  • będzie monitorować zdarzenia zachodzące w sieci wewnętrznej i próby przełamania zabezpieczeń,  
  • umożliwi zbudowanie powtarzalnych i skutecznych scenariuszy działań reakcji na zdarzenia wskazujące na incydent bezpieczeństwa informacji, w tym w oparciu o tabelę ATT@CK MITRE,  
  • zabezpieczy materiał dowodowy w przypadku naruszeń bezpieczeństwa, 
  • umożliwi generowanie przejrzystych i czytelnych raportów biznesowych dla kierownictwa i Zarządu firmy, 
  • będzie charakteryzował się wysoką skalowalnością.  

Rozwiązanie

Za realizację projektu odpowiedzialni byli pracownicy Działu Bezpieczeństwa Informacji, przy wsparciu pracowników Pionu IT, którzy również są odbiorcami docelowego rozwiązania.. Początkowo brano pod uwagę 7 rozwiązań różnych producentów. Po wstępnej selekcji przeprowadzono testy typu PoC (proof of concept) kilku z nich. Ostatecznie zdecydowano o wyborze rozwiązania firmy Splunk, jednego ze światowych liderów, jeśli chodzi o rozwiązania do analizy dużych zbiorów danych. Podejmując decyzję zwrócono uwagę na kilka elementów wyróżniających Splunk wśród konkurentów:  
– łatwość w budowaniu zapytań – intuicyjny język SPL (Splunk Processing Language) pozwala przygotować i zapisać dowolne zapytania w zbiorach Big Data, zasilanych przez infrastrukturę IT, 
– korelacja zdarzeń ze wszystkich źródeł logów, tj. systemów wykorzystywanych w BEST S.A. – Splunk umożliwia rejestrowanie danych pochodzących zarówno z systemów zabezpieczeń (firewall, IDS, antywirusy) jak i z urządzeń sieciowych, baz danych, systemów operacyjnych w jednym miejscu i ich analizę za pomocą jednego UI, 
– intuicyjny interfejs – podejście drill-down zapewnia  łatwy dostęp do szczegółowych informacji o zdarzeniu bezpośrednio z poziomu wykresu lub tabeli z możliwością tworzenia indywidualnych dashboardów, 
– szerokie „community” ułatwiające rozwój systemu oraz powszechność stosowania rozwiązania, która daje gwarancję rozwoju produktu przez kolejne kilka lat. 
– wzbogacenie wyników wyszukiwania o informacje z framework ATT@CK MITRE, dzięki czemu analityk otrzymuje dodatkowe informacje o incydencie i jego impakcie na organizację 

Wdrożenie

Pierwszym krokiem było wdrożenie platformy Splunk Enterprise w celu gromadzenia i indeksowania logów oraz innych danych z dowolnego źródła sieciowego, umożliwiając pracownikom wyszukiwanie  
i korelowanie tych informacji oraz wyświetlanie wyników na pulpitach nawigacyjnych. 
Następnie inżynierowie Passus wdrożyli Splunk Enterprise Security (Splunk ES), rozwiązanie bezpieczeństwa klasy premium, które rozszerzyło platformę Splunk, ułatwiając zespołom ds. bezpieczeństwa szybkie wykrywanie i reagowanie na wewnętrzne i zewnętrzne ataki oraz uprościło zarządzanie zagrożeniami. Splunk ES zapewnił wygodny i czytelny dostęp do informacji o  stanie bezpieczeństwa organizacji, dostarczając kompleksowy zestaw gotowych dashboardów, raportów 
  i wskaźników, które pozwalają szybko reagować na zagrożenia. 
 
Dodatkowo biorąc pod uwagę potrzeby Klienta inżynierowie Passus przygotowali dodatkową dedykowaną aplikację agregującą logi z systemów nieobsługiwanych przez Splunk np. ze skanera podatności.  

Architektura rozwiązania Splunk: 

  • w dwóch lokalizacjach – Gdyni oraz Elblągu zainstalowano serwery Heavy Forwarders, odpowiadające za zbieranie danych z poszczególnych systemów. Forwarder zbiera dane, a następnie przekazuje do Indexera.  
  • Indexer odpowiada za przechowywanie i indeksację danych, dzieli je na kilka logicznych magazynów danych. 
  • Search Heady pomagają w przesyłaniu wyszukiwań do różnych Indexerów. Zarządzają funkcjami wyszukiwania dostarczając użytkownikowi wyniki zapytania. 

Po wdrożeniu – podsumowanie

Dzięki wdrożeniu Splunk Enterprise i Splunk ES, firma BEST S.A . jest w stanie agregować i korelować w jednym miejscu dane pochodzące z wielu systemów bezpieczeństwa. Firma posiada rozwiązanie do obsługi terabajtów danych i szybkiej obsługi alertów zgłaszanych przez systemy. Możliwość natychmiastowego zidentyfikowania problemu, a co za tym idzie szybkiego zaadresowania   i rozwiązania w krótkim czasie od wykrycia  nie tylko oszczędza mnóstwo  i czasu pracy pracowników IT i działu bezpieczeństwa, ale również może pozwolić uchronić organizację przed poważnymi konsekwencjami incydentu, który nie zostałby w porę wykryty.  W ramach wdrożenia przygotowano specjalne dashboardy prezentujące informacje istotne z punktu widzenia Zarządu,  przedstawiające w przejrzysty sposób aktualną sytuację w obszarze cyberbezpieczeństwa oraz dające możliwość analizy efektywności pracy i obciążenia działu bezpieczeństwa w ujęciu historycznym (np. z uwzględnieniem ilości ataków w miesiącach ). 

Dla Działu Bezpieczeństwa firmy BEST S.A. istotnym aspektem był krótki czas instalacji i uruchomienia rozwiązania Splunk, który można liczyć w dniach, a nie miesiącach. 

W kolejnym etapie firma planuje wdrożenie systemu SOAR (Splunk Phantom), które pozwali na automatyzację procesów związanych z zarządzaniem bezpieczeństwem i w związku z tym jeszcze efektywniejsze wykorzystanie zasobów działu bezpieczeństwa informacji w firmie BEST S. A

Ta strona wykorzystuje pliki cookies w celu gromadzenia danych statystycznych. Ustawienia cookies można zmienić w przeglądarce internetowej. Korzystanie z tej strony internetowej bez zmiany ustawień cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji >>

Akceptuję