fbpx
Pre vyhľadávanie sú vyžadované aspoň 2 znaky
NAFTA a.s. je medzinárodná spoločnosť s rozsiahlymi skúsenosťami v oblasti podzemného skladovania zemného plynu a slovenským lídrom v ťažbe uhľovodíkov. V priebehu roku 2020 sa spoločnosť rozhodla vybudovať jeden z dôležitých pilierov bezpečnosti – bezpečnostný monitoring.

Nasadenie SIEM (Security Incident and Event Management) nástroja IBM QRadar umožnilo organizácii v pomerne krátkom čase výrazne zvýšiť viditeľnosť bezpečnostných udalostí v rámci prevádzky infraštruktúry a zefektívniť bezpečnostný dohľad. Riešenie navrhla a implementovala spoločnosť Alanata.

Kľúčové ciele projektu

Kľúčovým cieľom bola ochrana zákazníka pred únikom informácií, ochrana investícií, podnikania a zníženie rizika straty reputácie, a to zabezpečením:

  • centralizovaného zberu a uchovávania auditných údajov
  • monitoringu bezpečnosti sietí a informačných systémov
  • analýzy a riešenia bezpečnostných udalostí a incidentov

Súčasne implementáciou IBM QRadar boli naplnené aj požiadavky legislatívy* na riešenie kybernetických bezpečnostných incidentov a opatrení pre oblasť monitorovania, testovania bezpečnosti a bezpečnostných auditov.

*zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a vyhlášky NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Požiadavky
  • uchovávanie udalostí z preddefinovaných zdrojov logov aplikácií, operačných systémov a sieťového hardware
  • monitorovanie bezpečnostne relevantných udalostí prevádzkovanej infraštruktúry a informačných systémov
  • korelovanie bezpečnostne relevantných udalostí
  • vyhodnocovanie bezpečnostne relevantných udalostí
  • detekcia a riešenie bezpečnostných incidentov
  • naplnenie požiadaviek zákona č.69/2018 Z.z. o kybernetickej bezpečnosti a nadväzujúcej vyhlášky č. 362/2018 Z. z., §§ 14,15
Popis riešenia

Technológia IBM QRadar spolu s našimi kompetenciami a službami predstavuje riešenie, ktoré zabezpečilo naplnenie cieľov projektu i legislatívnych požiadaviek. Architektúra riešenia bola postavená na centrálnom spracovaní údajov a ich zbere v niekoľkých lokalitách. V každej lokalite sme umiestnili samostatný dátový kolektor, ktorý zbiera údaje a optimalizuje ich prenos na centralizované spracovanie. SIEM bol u zákazníka nasadený ako on-premise inštalácia.

Pre dosiahnutie požadovanej úrovne bezpečnostného dohľadu bolo kľúčové zabezpečiť dáta pre vyhodnocovanie udalostí. Na tieto dáta sa pozeráme v dvoch rovinách, a to v rovine zariadení a systémov, z ktorých dáta získavame, a v rovine obsahu logov definovaných nastavenou úrovňou logovania. V oboch rovinách je nutné brať do úvahy architektúru a topológiu prevádzkovej infraštruktúry a legislatívne požiadavky, ktoré má riešenie naplniť. K tomu, aby SIEM v čo najkratšom čase zabezpečil požadovanú funkcionalitu, boli identifikovaným zdrojom logov priradené priority podľa kategorizácie sietí a informačných systémov.

Úroveň logovania na pripojených systémoch bola nastavená podľa bezpečnostných požiadaviek zákazníka a požiadaviek zákona o kybernetickej bezpečnosti. V rámci analýzy boli logy rozdelené do kategórií uvedených nižšie. Sleduje sa pri nich úspešnosť alebo neúspešnosť vykonávanej udalosti i prípadná modifikácia záznamov:

  • autorizačné udalosti
  • autentifikácia
  • privilegované operácie
  • prístupy k logom
  • prístupy k systémovým zdrojom
  • úprava autentifikačných údajov
  • úprava autorizačných údajov
  • konfiguračné zmeny systému
  • aktivácia/deaktivácia bezpečnostných mechanizmov
  • spustenie/zastavenie procesov
  • spustenie/vypnutie systému
Vyhodnocovanie udalostí

Efektívne využitie dát dosahujeme konfiguráciou a ladením parametrov, ktoré vstupujú do logiky vyhodnocovania udalostí. V maximálnej miere sme využili predpripravené pravidlá i prislúchajúce data sety a thresholdy, aby sme v krátkom čase „oživili“ analýzu spracovávaných udalostí. Prehľadné zobrazenie stavu a tendencie vývoja parametrov prostredníctvom dashboardov zvyšujú úroveň poznania aktuálneho stavu monitorovaných udalostí a nálezov. Dashboardoy boli prispôsobené zobrazeniu udalostí a aktivít, ktoré sa viažu na udalosti identifikované v rámci analýzy, a na ktoré sa primárne zameriavajú požiadavky zákona o kybernetickej bezpečnosti.

Prínosy nasadenia SIEM

Nasadenie SIEM umožnilo spoločnosti Nafta a.s.:

  1. integrovať jednotný centralizovaný pohľad na existujúcu bezpečnostnú infraštruktúru
  2. schopnosť rýchlo a efektívne vyhodnocovať veľké množstvo bezpečnostne relevantných udalostí v reálnom čase
  3. prijímať adekvátne opatrenia s minimálnym oneskorením

Súčasne nasadené riešenie umožnilo vytvorenie jednotnej platformy pre uchovávanie normalizovaných log/auditných záznamov, ich komprimáciu a indexáciu. Spoločnosť teda získala ucelený komplexný pohľad na bezpečnosť svojej IT infraštruktúry. V Nafta a.s. si uvedomujú že SIEM nie je len o nasadení nástroja, ale rovnako dôležité je aj nastavenie procesov a zabezpečenie dohľadu.

Hodnotenie projektu

„Náš projekt splnil všetky stanovené ciele. Zvýšili sme najmä mieru automatizácie kybernetickej bezpečnosti v našej spoločnosti a zabezpečili plný súlad s legislatívou. Súčasne chránime operácie našich zákazníkov i investície akcionárov ešte na vyššej úrovni. Ďakujeme za efektívnu spoluprácu a cenné znalosti spoločnosti Alanata,“ hodnotí projekt Ivan Mazáň, Head of IT NAFTA, a.s.

„Kybernetická bezpečnosť je veľmi senzitívna téma a o to viac ďakujeme zákazníkovi za dôveru. Na vyriešenie potrieb spoločnosti NAFTA i aktuálnych legislatívnych požiadaviek sme zvolili technológiu QRadar od IBM. Máme s ňou vynikajúcu skúsenosť. V Alanata disponujeme kompetentnými odborníkmi na takmer všetky oblasti kybernetickej bezpečnosti,“ komentujú Attila Fintor a Richard Beňo za dodávateľa, Alanata a.s.