Zapraszamy na konferencję InfraSEC 2025 – weź udział w najbardziej praktycznym spotkaniu menedżerów cyberbezpieczeństwa OT na polskim rynku! Zobacz więcej >>

09.12.2024

7 minutes

Wdrożenie rozwiązania Sycope w firmie Veolia

Klient

Grupa Veolia działa w Polsce od 25 lat i jest sprawdzonym partnerem dla miast i przemysłu. Jest jednym z czołowych dostawców usług w zakresie zarządzania energią, gospodarki wodno-ściekowej i odpadowej. Oferuje szereg innowacyjnych usług dostosowanych do potrzeb klientów i, co istotne w tej branży, zgodnych z Celami Zrównoważonego Rozwoju przyjętymi przez ONZ. Zatrudnia w Polsce około 4600 pracowników.  

Grupa Veolia w Polsce prowadzi działalność na terenie 123 miejscowości, w 58 miejscowościach zarządza sieciami ciepłowniczymi. Działa poprzez spółki operacyjne: Veolia Energia Polska (holding), Veolia Energia Warszawa, Veolia Energia Łódź, Veolia Energia Poznań, Veolia term, Veolia Industry Polska, Veolia Energy Contracting Polska, Przedsiębiorstwo Wodociągów i Kanalizacji w Tarnowskich Górach oraz ich spółki zależne w tym Veolia Centrum Usług Wspólnych Sp. z o.o., oferującą m.in. obsługę i wsparcie IT dla wszystkich spółek Grupy. 

Veolia Polska jest częścią holdingu Veolia notowanego na giełdzie w Paryżu, zatrudniającego łącznie około 220 000 pracowników na całym świecie, którzy tworzą i wdrażają rozwiązania w zakresie energetyki, gospodarki wodno-ściekowej oraz gospodarki odpadami. W 2021 roku Grupa Veolia dostarczyła wodę pitną 79 milionom ludzi, obsłużyła 61 mln osób w zakresie usług ściekowych, wyprodukowała prawie 48 milionów MWh energii i przetworzyła 48 mln ton odpadów. 

Oczekiwania Klienta

Dział IT Centrum Usług Wspólnych odpowiada za utrzymanie infrastruktury teleinformatycznej i łączności we wszystkich 87 lokalizacjach Veolia Polska. Infrastruktura sieciowa firmy jest zróżnicowana – do jej budowy wykorzystano urządzenia między innymi Cisco Meraki, Cisco oraz CheckPoint. Wiele usług, w tym m.in.: eBOK udostępnionych jest za pośrednictwem internetu  

 Aby zapewnić dostępność i wydajność aplikacji niezbędne stało się wykorzystanie wydajnego rozwiązania do monitorowania połączeń i pracy urządzeń sieciowych. Wykorzystanie oprogramowania dostarczanego przez poszczególnych producentów wymagało jednoczesnej pracy na kilku konsolach i utrudniało reagowanie na incydenty pojawiające się na styku technologii.  

Dział IT Veolia Polska szukał rozwiązania do monitorowania obciążenia różnych typów urządzeń sieciowych (routery, firewalle, przełączniki) dostarczanych przez różnych producentów.  Istotną jego cechą powinna być zdolność do gromadzenia danych niezbędnych do przyspieszenia napraw i optymalizacji sieci. Nowo wdrożone oprogramowanie miało też umożliwić monitorowania rzeczywistego ruchu w sieci i ocenę jego zgodności z matrycą połączeń zaakceptowaną przez dział bezpieczeństwa IT. 

Ważnym kryterium branym pod uwagę podczas wyboru rozwiązania była też jego elastyczność i możliwość samodzielnego dostosowania dashboardów analitycznych, tak, by zapewniały szybki dostęp do niezbędnych informacji.  

Ponadto dział IT, pod kierownictwem pana Macieja Oziembło, zdefiniował dodatkowe kryteria dla nowego systemu monitorowania infrastruktury IT:   

  •  Analiza obciążenia urządzeń sieciowych i wykrywanie tzw. wąskich gardeł oraz segmentów sieci odpowiadających za spadek jakości transmisji,  
  • Identyfikacja przyczyn powolnego działania aplikacji.  
  • Analiza stopnia wysycenia łączy w danych okresach (datach, godzinach).  
  • Łatwość konfigurowania i obsługi – z racji wielu obowiązków, pracownicy działu IT mogą w ograniczonym stopniu zaangażować się  we wdrożenie i naukę nowego systemu.  
  • Współpraca z systemem SIEM – nowo wdrożone rozwiązanie musi być wyposażone w mechanizmy umożliwiające integrację z IBM QRadar. 
  • Wykrywanie i analiza potencjalnych ataków typu DDoS  

Wdrożenie – przebieg prac

Po analizie dostępnych na rynku rozwiązań, podjęto decyzję o weryfikacji systemu Sycope w środowisku produkcyjnym Veolii. Ostatecznie po 3 miesięcznych testach w trakcie których przygotowano prototypy dashboardów, dokonano parametryzacji reguł bezpieczeństwa oraz potwierdzono możliwość integracji z aplikacją QRadar, Klient zdecydował się na zakup dwóch modułów wchodzących w skład  systemu Sycope. Pierwszym był moduł Visibility, który odpowiada za monitorowanie obciążenia urządzeń sieciowych oraz ruchu pomiędzy urządzeniami w sieci. Drugim modułem był moduł Security, który analizuje ruch sieciowy wykrywając zagrożenia, anomalie bezpieczeństwa oraz niepożądaną komunikacją wykorzystując w tym celu zarówno zaawansowane reguły bezpieczeństwa jak i stale aktualizowane zewnętrzne białe i czarne listy oraz sygnatury zagrożeń.   
 
Wdrożenie miało miejsce w grudniu 2022 roku i obejmowało: 

  • instalację maszyny wirtualnej w środowisku Klienta,  
  • instalację licencji,  
  • wstępną konfigurację systemu, która obejmowała m.in. adresację sieciową, integrację z Active Directory do wykorzystania przy logowaniu użytkowników oraz integrację z systemem SIEM,  
  • konfigurację dedykowanych dashboardów, służących m.in. do monitorowania stanu urządzeń sieciowych oraz weryfikacji ruchu sieciowego z matrycą zgodności opracowaną przez dział bezpieczeństwa IT.  
  • stworzenie mechanizmu do eksportowania logów audytowych do systemu SIEM umożliwiających monitorowanie dostępu do Systemu Sycope 
     

Instalacja i konfiguracja Systemu Sycope w infrastrukturze Klienta zajęła jeden dzień, a stworzenie predefiniowanych dashboardów jedynie 7 dni. Równolegle opracowano skrypt, który odpowiadał za gromadzenie logów rejestrujących dostępy poszczególnych osób do Systemu Sycope, a następnie ich wysyłkę za pośrednictwem protokołu Syslog do rozwiązania SIEM.  

Po wdrożeniu – podsumowanie

Dzięki informacjom zawartym we flowach sieciowych dział IT otrzymuje szczegółowe informacje o ruchu generowanym przez użytkowników, komunikacji między serwerami oraz wykorzystanych w organizacji urządzeniach i aplikacjach. Dzięki temu może szybko podejmować decyzje dotyczące alokacji zasobów i działań zabezpieczających przed nieplanowanymi przestojami związanymi z awariami infrastruktury IT, a także wykrywać incydenty bezpieczeństwa.  
 
Szybki dostęp do najważniejszych z punktu widzenia Klienta informacji zapewniają, przygotowane przez inżynierów Passus dashboardy. Prezentują one komunikację między poszczególnymi urządzeniami z możliwością filtrowania portów, pozwalają na budowanie tabel ruchu, weryfikuję i wizualizują obciążenia konkretnych urządzeń i portów oraz wyliczają procentowe obciążenie poszczególnych interfejsów. 
 
Istotną korzyścią z wdrożenia jest lepsza widoczność anomalii sieciowych i zagrożeń bezpieczeństwa z poziomu całej organizacji. System Sycope stał się istotnym źródłem informacji dla oprogramowania SIEM firmy IBM, które koreluje logi z różnych źródeł.  Z racji tego, że monitorowane są flowy sieciowe ze wszystkich istotnych urządzeń organizacji, widać wszystkie komunikacje sieciowe. Obecnie w celu wysłania alertów bezpieczeństwa z systemu Sycope do SIEM wystarczy podać w konfiguracji adres IP oraz port serwera Syslog. Analiza flowów sieciowych odbywa się w rozwiązaniu Sycope, a nie bezpośrednio w silniku analitycznym systemu SIEM. Przynosi to  wymierne korzyści finansowe eliminując koszty licencji SIEM niezbędnych do analizowania miliardów flowów sieciowych dziennie.  
 
„Szukaliśmy rozwiązania, które umożliwiłoby monitoring całej sieci, będąc również źródłem danych dla systemu SIEM, który posiadamy. System Sycope doskonale wpisał się w nasze potrzeby pozwalając ponadto  zoptymalizować koszty działania obecnego SIEM-a.” 
Maciej Oziembło, Kierownik Obszaru Data Center 

Ta strona wykorzystuje pliki cookies w celu gromadzenia danych statystycznych. Ustawienia cookies można zmienić w przeglądarce internetowej. Korzystanie z tej strony internetowej bez zmiany ustawień cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji >>

Akceptuję