11 lutego 2020

Autor: Stanisław Rogasik

Kategorie: Aktualności, Artykuł

Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada na operatorów usług kluczowych obowiązki w zakresie monitorowania i wykrywania potencjalnych zagrożeń. Jednak samo wykrycie incydentu to dopiero początek. Następnie należy odpowiednio na niego zareagować. Jak usprawnić pracę z incydentami i zwiększyć efektywność ich obsługi? Najlepiej przy użyciu odpowiednio dobranych systemów informatycznych.

Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informatycznym wykorzystywanym do świadczenia usługi kluczowej. Powinien on zapewniać funkcjonalności, które umożliwią nam pełną obsługę incydentu oraz ciągły dostęp do informacji właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV. Incydent ma charakter potencjalny – samo zdarzenie, które mogło mieć niekorzystny wpływ, ale zostało odparte lub powstrzymane, też jest incydentem bezpieczeństwa.

Ustawa wskazuje różne typy incydentów:

Rozdział 1, art. 2

„5) incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;”
„6) incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;”
„7) incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;”
„8) incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych oraz parametrów służących do określenia…”;”
„9) incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;”

W związku z powyższymi incydentami, operator usługi kluczowej musi zapewnić:

  1. wykrywanie- każdy incydent musi zostać wykryty przez operatora
  2. rejestrowanie – niezbędne jest prowadzenie rejestru incydentów, które miały miejsce w danym systemie;
  3. analizowanie – operator musi dokonać wstępnej analizy incydentu
  4. klasyfikowanie – konieczne jest dokonanie klasyfikacji incydentu; ustawa nie wskazuje przyjętego modelu klasyfikacji, ale przyjęcie tego samego modelu co zespół CSIRT wspierający obsługę przyspieszy uzyskanie wsparcia
  5. priorytetyzacje – operator musi być w stanie określić jego priorytet
  6. podejmowanie działań naprawczych – operator ma możliwość naprawienia szkód wyrządzonych przez incydent
  7. ograniczenie skutków incydentu – operator jest w stanie przywrócić stan normalnego działania.

Naszą propozycją na efektywne zarządzanie incydentami bezpieczeństwa jest ServiceDesk Plus.
ServiceDesk Plus umożliwia wykonanie automatyzacji z programami opisanymi w poprzednich artykułach (EventLog Analyzer, OpManager, AdAudit Plus, Application Manager). Pozwala to na pobieranie informacji o incydentach bezpieczeństwa oraz rejestrowanie ich.
System można również integrować z innymi aplikacjami przy użyciu wymiany incydentów na poziomie e-mail. Dana aplikacja wykrywając nieprawidłowość, przesyła drogą mailową wykryty incydent, co tworzy nam zgłoszenie z wymaganymi informacjami.
Dodatkowo, produkt wspiera automatyzację przy użyciu skryptów API, co umożliwia integrację z większością systemów.
Wykonanie automatyzacji z aplikacjami monitorującymi jest bardzo ważne, ponieważ pozwala uniknąć rejestrowania większości incydentów przez administratorów systemu, co spowoduje zwiększenie wydajności oraz efektywności w rejestrowaniu zgłoszeń, a zespół administratorów będzie mógł się skupić na rozwiązywaniu incydentów.
Oprócz automatyzacji, musimy udostępnić możliwość zgłaszania incydentów użytkownikom usług kluczowych.

Odpowiednia konfiguracja formularza pozwala na skrócenie czasu realizacji zgłoszenia. Dodatkowo portal umożliwia komunikację pomiędzy użytkownikiem a odpowiednią osobą zarządzającą danym incydentem.
Automatyzacja, którą jesteśmy w stanie wykonać na formularzu, umożliwia wykonanie podstawowej analizy, klasyfikacji oraz priorytetyzacji incydentu, zależnie od informacji w zgłoszeniu. Poniżej pokażemy, jak za pomocą kilku kliknięć można ją skonfigurować.

Konfiguracja szablonu:

Podczas konfiguracji szablonu możemy dostosować szablon pod dany proces

Tworzenie dodatkowych pól przy użyciu metody drag & drop.
Użytkownik będzie musiał podać wszelkie wymagane dane zgłaszając incydent, co usprawni pracę operatora, który będzie mógł od razu przystąpić do działania, bez konieczności uzyskiwania dodatkowych informacji.

Przypisanie umowy SLA, umożliwia nam  odpowiednią kontrolę realizacji zgłoszenia przez osoby obsługujące. Wymusza to odpowiedni standard realizacji zgłoszeń.

Przykładem automatyzacji, która pozwoli nam dostosować system do wymagań ustawy jest automatyczne ustawienie priorytetu oraz serwisanta na podstawie wybranego pola „Problem związany z”

Następnym wyzwaniem jest udostępnienie odpowiedniego dostępu do incydentów bezpieczeństwa wybranym jednostkom.
W systemie możemy wykonać to na kilka sposobów. Od tworzenia użytkownika z dostępem do odpowiednich treści w oparciu o kreator ról, po przekazanie odpowiednich treści przesyłając raporty lub dane informacje ze zgłoszenia.

Nadanie dostępu do systemu zgłoszeniowego odpowiedniej jednostce umożliwi jej wgląd do wybranych zgłoszeń oraz stałą komunikację z osobą zgłaszającą incydent lub osobą odpowiedzialną za realizację.

Użytkownik, który uzyska dostęp do portalu, będzie miał wgląd do listy zarejestrowanych incydentów.

W samym zgłoszeniu, zarówno zgłaszający jak i serwisant, mogą kontaktować się przy użyciu domyślnych funkcji. Cała korespondencja będzie zapisywana w zgłoszeniu.

Dodatkowo ServiceDesk Plus posiada opcję „Drukowania” zgłoszenia. Funkcja ta pozwala nam na wybranie modułów, które chcemy wydrukować.

Efektywne podejmowanie działań naprawczych przy użyciu ServiceDesk Plus w praktyce.
Incydent, który został rozpoznany przez jeden z naszych programów monitorujących, przesyła nam zgłoszenie.
W tym wypadku OPManager podczas odpytania serwera nie dostał żadnej odpowiedzi. OPManager wysyła więc automatycznie zgłoszenie do systemu ServiceDesk.

Zgłoszenie po stronie ServiceDeska zostało rozpoznane jako incydent bezpieczeństwa o wysokim priorytecie. Dodatkowy główny administrator systemu został powiadomiony przez system notyfikacji (SMS/E-mail).

Zostało to zautomatyzowane przy użyciu reguły biznesowej, która w naszym wypadku wykonuje się jeśli temat zawiera daną frazę.

Przypisany operator zgłoszenia będzie musiał zweryfikować dostępność serwera, połączyć się oraz sprawdzić możliwe przyczyny błędu.
W portfolio ManageEngine znajduje się również oprogramowanie DesktopCentral, które umożliwia inicjowanie sesji zdalnej ze zgłoszenia po integracji z ServiceDeskiem.
Samą automatyzację możemy wykonać w module integracji ServiceDesk.

Automatyzacja jeszcze bardziej uprości proces naprawczy, oraz umożliwi wykonywanie wszystkich akcji w jednej aplikacji. Wszystkie akcje, które był inicjowane ze zgłoszenia, będą zapisywane w jego historii.

Następną automatyzacją, która będzie miała na celu nadawanie dostępów do serwerów na poziomie ActiveDirectory, będzie integracja systemów ServiceDesk Plus oraz ADManager Plus.
W ServiceDesk Plus konfigurujemy szablon uprawnień.
Użytkownik, który wnioskuje o nadanie uprawnień będzie musiał uzupełnić pola:

 

Automatycznie przypisze się osoba akceptująca, np. przełożony.

Po akceptacji zgłoszenie zostanie przejęte przez oprogramowanie AdManager.
Musimy włączyć jedną z poniższych opcji, aby automatyzacja mogła zostać wykonana:

Dzięki oprogramowaniu ServiceDesk Plus oraz jego możliwościom automatyzującym jesteśmy w stanie stworzyć konfiguracje, które umożliwiają utrzymywanie odpowiedniego poziomu kontroli dostępu oraz wysokiego poziomu dostępności usług kluczowych.
Integrując ServiceDesk Plus z innymi narzędziami marki ManageEngine otrzymujemy kompletny system pozwalający na efektywne reagowanie na incydenty.

Masz pytania? Chcesz dowiedzieć się więcej? Skontaktuj się z nami! 
 

11 lutego 2020

Autor: Stanisław Rogasik

Kategorie: Aktualności Artykuł

Stanisław Rogasik

Stanisław Rogasik

ISAM Team Leader

Posiada obszerną wiedzę związaną z zarządzaniem Active Directory oraz zabezpieczaniem organizacji przed atakami z zewnątrz. Pasjonat bezpieczeństwa IT oraz konfiguracji całego środowiska, aż do najmniejszego elementu. Na co dzień zajmuje się zarządzaniem środowiskiem, bazami danych oraz dostosowywaniem rozwiązań pod nowe wymagania. W MWT Solutions odpowiedzialny za koordynację działu ISAM, wdrażanie i obsługę systemów technicznych marki ManageEngine z zakresu IT Operations Management, IT Security oraz Active Directory.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.
ul. Szyperska 14, 61-754 Poznań

+48 61 622 23 94

Napisz do nas