Wiemy jak, dzięki rozwiązaniom IBM, wydatnie zwiększyć bezpieczeństwo całej infrastruktury

Z Andrzejem Gładyszem, wiceprezesem zarządu i Piotrem Uzarem, kierownikiem Działu Systemów Informatycznych w Averbit rozmawiamy o: aktualnym krajobrazie cyberzagrożeń; unikatowych kompetencjach we wdrażaniu rozwiązań wielkoskalowych związanych z monitoringiem bezpieczeństwa; projekcie dla Komendy Głównej Policji; a także funkcjonalnościach i specyfice wdrożeń dwóch rozwiązań CyberSec: IBM Security QRadar oraz IBM Netcool Operations Insight.

Jak zmienił się krajobraz cyberzagrożeń w tym roku biorąc pod uwagę m.in. wojnę w Ukrainie czy wzrost ataków ransomware? Jakich zmian w podejściu do zapewnienia bezpieczeństwa IT w firmach wymagają te nowe realia?

Andrzej Gładysz (A.G.): Cyberbezpieczeństwo było do niedawna traktowane trochę po macoszemu. To się zmieniło od wybuchu pandemii i miało związek przede wszystkim z przejściem w wielu firmach na pracę zdalną. Okazało się wtedy, że „dziur” w systemach i potencjalnych zagrożeń jest bardzo dużo.

Wcześniej głównym celem cyberataków były instytucje finansowe, ale od początku 2021 r. w czołówce cyberataków znalazły się firmy produkcyjne. I to jest niepokojący trend.

W związku z tym priorytet realizowania projektów bezpieczeństwa IT wzrósł wszędzie. Choć wiele instytucji nawet nie chce się chwalić, że wdraża czy też ma już zaimplementowane zaawansowane systemy bezpieczeństwa, aby czasem nikogo nie kusić.

Piotr Uzar (P.U.): Dodałbym, że do tego, aby wdrażać systemy bezpieczeństwa, obligują także różnego rodzaju dyrektywy. Tak było choćby z bankami, które otrzymały wytyczne do wdrożenia rozwiązań SIEM. Obecnie zabezpieczają się też inne organizacje, które chcą uchronić się przed wyciekami danych i utratą pieniędzy.

Czym wyróżnia się IBM QRadar na tle innych rozwiązań klasy SIEM?

A.G.: Platforma ta rozwijana jest od 15 lat, jest więc już ugruntowana i stabilna. Posiada wiele wbudowanych narzędzi automatyzujących procesy. To szczególnie istotne dziś, gdy działy IT mają coraz mniej czasu na taką podstawową pracę. Kolejna kwestia, na którą warto zwrócić uwagę, to fakt, że IBM posiada bardzo dobre mechanizmy uczenia maszynowego ML (Machine Learning) i rozwiązania sztucznej inteligencji AI (Artificial Intelligence).

P.U.: Wystarczy spojrzeć na klasyfikację Gartnera, aby przekonać się, że QRadar jest wiodącym rozwiązaniem na rynku. Popularność zawdzięcza m.in. temu, że jest szybkie do wdrożenia. Po instalacji i wstępnej konfiguracji  oferuje całą gamę mechanizmów, które administratorzy mogą od razu wykorzystać, aby wykrywać ataki i podatności. Oczywiście, wdrożenie SIEM nie oznacza samej instalacji. Jest to przede wszystkim poznanie polityk bezpieczeństwa danej instytucji i dostosowanie systemu do ich wymagań. A to jest ważną rolą integratora.

Do wdrożeń jeszcze wrócimy, najpierw jednak chciałbym dopytać jak duże znaczenie mają wspomniane algorytmy AI i ML w rozwiązaniu IBM Security QRadar?

P.U.: QRadar jest platformą umożliwiającą doinstalowanie aplikacji, które rozszerzają jego funkcjonalność. Jedną z nich jest Watson Advisor, który pobiera dane z chmury IBM. Jeżeli tylko pojawi się nowa podatność w systemie, algorytm AI analizuje jakich elementów naszej infrastruktury ten problem dotyczy. Inną ciekawą aplikacją jest User Behavior Analytics, która pokazuje wszelkie anomalie dotyczące pracy użytkowników.

Możliwość elastycznej rozbudowy zarówno o oprogramowanie IBM, a także o rozwiązania firm trzecich, jest kolejną istotną cechą QRadara. Otrzymujemy bowiem „parasol” skupiający informacje bezpośrednio z urządzeń i systemów znajdujących się w naszej infrastrukturze, jaki i z systemów wspomagający pracę QRadara. Dzięki temu firmy mogą powiedzieć z pełnym przekonaniem – tak, mamy rozwiązanie typu Zero Trust.

Jak przebiega typowy proces wdrożenia systemów typu SIEM? Na temat ich implementacji pokutuje opinia, że są skomplikowane, czasochłonne, kosztowne i głównie dla największych firm…

P.U.: Podejście Averbit do wdrożenia SIEM to przede wszystkim edukacja, a więc przeprowadzenie cyklu szkoleń. Następnie przygotowujemy założenia projektowe. Wdrażamy system w bardzo podstawowej funkcjonalności i pozostawiamy go w takiej postaci na 2-3 miesiące. Dzięki temu użytkownicy mogą się z nim lepiej zaznajomić. Dopiero w kolejnym cyklu implementujemy dodatkowe funkcjonalności.

A.G.: Trzeba szczerze powiedzieć, że nie jest to rozwiązanie dla wszystkich. Firma powinna mieć określoną skalę infrastruktury, aby jego wdrożenie miało sens. Określiłbym go na poziomie powyżej 100 urządzeń. Najwięcej wdrożeń mamy w Polsce wśród firm z sektorów: finansowego i energetycznego oraz u operatorów telekomunikacyjnych.

Implementacją rozwiązania QRadar zajmujemy się od 2018 roku i – z racji posiadanych kompetencji – postrzegani jesteśmy przez IBM jako lider oraz ekspert w tej dziedzinie. Mamy coraz więcej zapytań dotyczących konsultacji od firm, które już posiadają to rozwiązanie. Często okazuje się, że system ten został jedynie „zainstalowany”, a nie „wdrożony” i trzeba go dostosować do prawidłowego działania w infrastrukturze klienta.

Z jakimi wyzwaniami dla organizacji wiąże się implementacja takiego narzędzia? I ile średnio ono trwa?

P.U.: Kluczowe jest dostosowanie systemu do tego, aby – w sposób znormalizowany – przedstawiał informację ze środowisk różnych producentów. QRadar jest w stanie zunifikować wszystkie informacje i przedstawić je administratorom w czytelny sposób. Aby to osiągnąć, musimy dotrzeć do właściwych ludzi w każdym departamencie. Dzięki temu możemy w odpowiedni sposób skonfigurować systemy, za które odpowiadają.

Wdrożenie QRadara to często ciężka praca po obu stronach. Co do czasu trwania implementacji to jest to indywidualna kwestia, zależąca od skali infrastruktury w danej organizacji. Realizowaliśmy wdrożenia w organizacjach posiadających kilkadziesiąt tysięcy urządzeń, które trwały kilka lat. Możemy jednak założyć, że średni czas wdrożenia to od 3 miesięcy wzwyż.

Averbit zaimplementował niedawno rozwiązania IBM Netcool Operations Insight i Control Desk do obsługi numeru 112 dla Komendy Głównej Policji. Jaka jest faktyczna rola tych rozwiązań w kontekście funkcjonowania tej instytucji?

P.U.: Zacznijmy od tego, że IBM Netcool Operations Insight jest systemem służącym do szeroko pojętego monitoringu. Takim „szefem wszystkich szefów”, do którego może trafić wszystko. Potrafi wszystkie elementy skorelować i udostępnić powiadomienia administratorom. Natomiast w infrastrukturze jest rozwiązaniem pasywnym, tylko „słucha” sieci.

Co istotne, Netcool ma zaszytą funkcjonalność Root Cause Analysis, dzięki której wykrywa pierwotną przyczynę awarii i określa skalę problemu. Jeśli np. awarii ulegnie jedno urządzenie, do którego podłączonych jest 100 innych, to w innych systemach alert dostaniemy od 101 elementów. Netcool zaś wskaże wyłącznie ten jeden, właściwy element, a pozostałe alarmy określi jako symptomy. I nie robi on tego tylko na podstawie zdarzeń, które spływają z sieci, ale również na bazie informacji topologicznych. Cyklicznie co jakiś czas „przepytuje” bowiem sieć i na tej podstawie buduje jej topologię. To jego główna siła. Dlatego m.in. korzysta z niego 90% polskich telekomów. Zatem – jeśli firmy nie chcą dowiadywać się o awarii od klienta, powinny zainstalować Netcool Operations Insight.

Co do samego wdrożenia dla Komendy Głównej Policji, to – choć sieć numeru 112 rzeczywiście jest bardzo duża – to nie jest to nasza największa implementacja tego rozwiązania. Na dużo większą skalę zrealizowaliśmy projekty w Banku Centralnym w Etiopii czy w firmach telekomunikacyjnych w Namibii i RPA. Mamy unikatowe kompetencje we wdrażaniu rozwiązań wielkoskalowych związanych z monitoringiem bezpieczeństwa. Takich zespołów na świecie jest zaledwie kilkanaście.

A.G.: Dodajmy, że poza oprogramowaniem, Averbit dostarcza też rozwiązania cyberbezpieczeństwa w postaci dedykowanego sprzętu. Od początku 2022 r. w systemy pamięci masowej IBM FlashSystem wbudowano nowe funkcjonalności, na przykład SafeGuarded Copy, które w połączeniu z systemami SIEM (np. IBM QRadar) pozwalają projektować kompleksowe systemy cybersecurity dla macierzy dyskowych