Passus S.A. w prestiżowym zestawieniu Diamentów Forbesa. Zobacz szczegóły >>

Autor: marcin.biernot

09.12.2024

7 minutes

Wdrożenie rozwiązania Sycope w firmie Veolia

Klient

Grupa Veolia działa w Polsce od 25 lat i jest sprawdzonym partnerem dla miast i przemysłu. Jest jednym z czołowych dostawców usług w zakresie zarządzania energią, gospodarki wodno-ściekowej i odpadowej. Oferuje szereg innowacyjnych usług dostosowanych do potrzeb klientów i, co istotne w tej branży, zgodnych z Celami Zrównoważonego Rozwoju przyjętymi przez ONZ. Zatrudnia w Polsce około 4600 pracowników.  

Grupa Veolia w Polsce prowadzi działalność na terenie 123 miejscowości, w 58 miejscowościach zarządza sieciami ciepłowniczymi. Działa poprzez spółki operacyjne: Veolia Energia Polska (holding), Veolia Energia Warszawa, Veolia Energia Łódź, Veolia Energia Poznań, Veolia term, Veolia Industry Polska, Veolia Energy Contracting Polska, Przedsiębiorstwo Wodociągów i Kanalizacji w Tarnowskich Górach oraz ich spółki zależne w tym Veolia Centrum Usług Wspólnych Sp. z o.o., oferującą m.in. obsługę i wsparcie IT dla wszystkich spółek Grupy. 

Veolia Polska jest częścią holdingu Veolia notowanego na giełdzie w Paryżu, zatrudniającego łącznie około 220 000 pracowników na całym świecie, którzy tworzą i wdrażają rozwiązania w zakresie energetyki, gospodarki wodno-ściekowej oraz gospodarki odpadami. W 2021 roku Grupa Veolia dostarczyła wodę pitną 79 milionom ludzi, obsłużyła 61 mln osób w zakresie usług ściekowych, wyprodukowała prawie 48 milionów MWh energii i przetworzyła 48 mln ton odpadów. 

Oczekiwania Klienta

Dział IT Centrum Usług Wspólnych odpowiada za utrzymanie infrastruktury teleinformatycznej i łączności we wszystkich 87 lokalizacjach Veolia Polska. Infrastruktura sieciowa firmy jest zróżnicowana – do jej budowy wykorzystano urządzenia między innymi Cisco Meraki, Cisco oraz CheckPoint. Wiele usług, w tym m.in.: eBOK udostępnionych jest za pośrednictwem internetu  

 Aby zapewnić dostępność i wydajność aplikacji niezbędne stało się wykorzystanie wydajnego rozwiązania do monitorowania połączeń i pracy urządzeń sieciowych. Wykorzystanie oprogramowania dostarczanego przez poszczególnych producentów wymagało jednoczesnej pracy na kilku konsolach i utrudniało reagowanie na incydenty pojawiające się na styku technologii.  

Dział IT Veolia Polska szukał rozwiązania do monitorowania obciążenia różnych typów urządzeń sieciowych (routery, firewalle, przełączniki) dostarczanych przez różnych producentów.  Istotną jego cechą powinna być zdolność do gromadzenia danych niezbędnych do przyspieszenia napraw i optymalizacji sieci. Nowo wdrożone oprogramowanie miało też umożliwić monitorowania rzeczywistego ruchu w sieci i ocenę jego zgodności z matrycą połączeń zaakceptowaną przez dział bezpieczeństwa IT. 

Ważnym kryterium branym pod uwagę podczas wyboru rozwiązania była też jego elastyczność i możliwość samodzielnego dostosowania dashboardów analitycznych, tak, by zapewniały szybki dostęp do niezbędnych informacji.  

Ponadto dział IT, pod kierownictwem pana Macieja Oziembło, zdefiniował dodatkowe kryteria dla nowego systemu monitorowania infrastruktury IT:   

  •  Analiza obciążenia urządzeń sieciowych i wykrywanie tzw. wąskich gardeł oraz segmentów sieci odpowiadających za spadek jakości transmisji,  
  • Identyfikacja przyczyn powolnego działania aplikacji.  
  • Analiza stopnia wysycenia łączy w danych okresach (datach, godzinach).  
  • Łatwość konfigurowania i obsługi – z racji wielu obowiązków, pracownicy działu IT mogą w ograniczonym stopniu zaangażować się  we wdrożenie i naukę nowego systemu.  
  • Współpraca z systemem SIEM – nowo wdrożone rozwiązanie musi być wyposażone w mechanizmy umożliwiające integrację z IBM QRadar. 
  • Wykrywanie i analiza potencjalnych ataków typu DDoS  

Wdrożenie – przebieg prac

Po analizie dostępnych na rynku rozwiązań, podjęto decyzję o weryfikacji systemu Sycope w środowisku produkcyjnym Veolii. Ostatecznie po 3 miesięcznych testach w trakcie których przygotowano prototypy dashboardów, dokonano parametryzacji reguł bezpieczeństwa oraz potwierdzono możliwość integracji z aplikacją QRadar, Klient zdecydował się na zakup dwóch modułów wchodzących w skład  systemu Sycope. Pierwszym był moduł Visibility, który odpowiada za monitorowanie obciążenia urządzeń sieciowych oraz ruchu pomiędzy urządzeniami w sieci. Drugim modułem był moduł Security, który analizuje ruch sieciowy wykrywając zagrożenia, anomalie bezpieczeństwa oraz niepożądaną komunikacją wykorzystując w tym celu zarówno zaawansowane reguły bezpieczeństwa jak i stale aktualizowane zewnętrzne białe i czarne listy oraz sygnatury zagrożeń.   
 
Wdrożenie miało miejsce w grudniu 2022 roku i obejmowało: 

  • instalację maszyny wirtualnej w środowisku Klienta,  
  • instalację licencji,  
  • wstępną konfigurację systemu, która obejmowała m.in. adresację sieciową, integrację z Active Directory do wykorzystania przy logowaniu użytkowników oraz integrację z systemem SIEM,  
  • konfigurację dedykowanych dashboardów, służących m.in. do monitorowania stanu urządzeń sieciowych oraz weryfikacji ruchu sieciowego z matrycą zgodności opracowaną przez dział bezpieczeństwa IT.  
  • stworzenie mechanizmu do eksportowania logów audytowych do systemu SIEM umożliwiających monitorowanie dostępu do Systemu Sycope 
     

Instalacja i konfiguracja Systemu Sycope w infrastrukturze Klienta zajęła jeden dzień, a stworzenie predefiniowanych dashboardów jedynie 7 dni. Równolegle opracowano skrypt, który odpowiadał za gromadzenie logów rejestrujących dostępy poszczególnych osób do Systemu Sycope, a następnie ich wysyłkę za pośrednictwem protokołu Syslog do rozwiązania SIEM.  

Po wdrożeniu – podsumowanie

Dzięki informacjom zawartym we flowach sieciowych dział IT otrzymuje szczegółowe informacje o ruchu generowanym przez użytkowników, komunikacji między serwerami oraz wykorzystanych w organizacji urządzeniach i aplikacjach. Dzięki temu może szybko podejmować decyzje dotyczące alokacji zasobów i działań zabezpieczających przed nieplanowanymi przestojami związanymi z awariami infrastruktury IT, a także wykrywać incydenty bezpieczeństwa.  
 
Szybki dostęp do najważniejszych z punktu widzenia Klienta informacji zapewniają, przygotowane przez inżynierów Passus dashboardy. Prezentują one komunikację między poszczególnymi urządzeniami z możliwością filtrowania portów, pozwalają na budowanie tabel ruchu, weryfikuję i wizualizują obciążenia konkretnych urządzeń i portów oraz wyliczają procentowe obciążenie poszczególnych interfejsów. 
 
Istotną korzyścią z wdrożenia jest lepsza widoczność anomalii sieciowych i zagrożeń bezpieczeństwa z poziomu całej organizacji. System Sycope stał się istotnym źródłem informacji dla oprogramowania SIEM firmy IBM, które koreluje logi z różnych źródeł.  Z racji tego, że monitorowane są flowy sieciowe ze wszystkich istotnych urządzeń organizacji, widać wszystkie komunikacje sieciowe. Obecnie w celu wysłania alertów bezpieczeństwa z systemu Sycope do SIEM wystarczy podać w konfiguracji adres IP oraz port serwera Syslog. Analiza flowów sieciowych odbywa się w rozwiązaniu Sycope, a nie bezpośrednio w silniku analitycznym systemu SIEM. Przynosi to  wymierne korzyści finansowe eliminując koszty licencji SIEM niezbędnych do analizowania miliardów flowów sieciowych dziennie.  
 
„Szukaliśmy rozwiązania, które umożliwiłoby monitoring całej sieci, będąc również źródłem danych dla systemu SIEM, który posiadamy. System Sycope doskonale wpisał się w nasze potrzeby pozwalając ponadto  zoptymalizować koszty działania obecnego SIEM-a.” 
Maciej Oziembło, Kierownik Obszaru Data Center 

09.12.2024

7 minutes

Wdrożenie rozwiązania Splunk w firmie BEST S.A.

Klient

BEST S.A. należy do grona liderów w branży windykacyjnej w Polsce. Firma zarządza dużymi portfelami wierzytelności nieregularnych, rozwiązując problem braku terminowych rozliczeń pomiędzy stronami umów i przywracając równowagę w obiegu gospodarczym. 
Spółka istnieje na rynku od 1994 roku, a od 1997 roku jej akcje notowane są na GPW w Warszawie. 
Siedziba firmy znajduje się w Gdyni, w Elblągu usytuowane jest  Centrum Usługowe BEST S.A. 

BEST SA jako spółka wiodąca w grupie kapitałowej BEST jest odpowiedzialna za środowisko informatyczne oraz zapewnienie bezpieczeństwa informacji i IT we wszystkich spółkach z grupy. 

Oczekiwania Klienta

Ataki cyberprzestępców są kierowane na firmy i instytucje wielu branż. Firmy z sektora finansowego, ze względu na specyfikę prowadzonej działalności i poufność przechowywanych i przesyłanych informacji są szczególnie „atrakcyjnym” celem. Ujawnienie tych informacji może mieć bardzo negatywne skutki – zarówno dla firmy, jak i jej klientów. Analogicznie jak w innych instytucjach, nie tylko z sektora finansowego, utrata danych, np. wskutek ataku ransomware może wiązać się z przerwaniem ciągłości funkcjonowania grupy kapitałowej i brakiem możliwości kontaktu z klientami. 

 Niezależny od pionu IT Dział Bezpieczeństwa Informacji w BEST S.A. jest świadomy aktualnych zagrożeń i stale aktualizuje wiedzę zarówno z zakresu najnowszych ataków, jak i dostępnych na rynku rozwiązań zapewniających skuteczną ochronę. 

Firma stosuje wiele rozwiązań podnoszących bezpieczeństwo organizacji takich jak Next Generation Firewall, system klasy EDR (Endpoint Detection and Response), system do ochrony przed wyciekiem danych (DLP), skanery podatności, czy system kontroli dostępu do sieci (NAC).  

Firma od kilku lat korzystała z rozwiązań klasy SIEM, ale zaistniała  potrzeba wdrożenia  nowego rozwiązania, które   umożliwiałoby bardziej intuicyjne budowanie scenariuszy incydentów i reguł korelacyjnych, przyspieszyłoby analizę zdarzeń mogących stanowić naruszenie bezpieczeństwa  
i pomogło szybciej reagować na wykryte odstępstwa od przyjętej polityki bezpieczeństwa  

W tym celu  Dział Bezpieczeństwa Informacji w firmie BEST S.A. zdecydował o potrzebie wdrożenia nowego systemu klasy SIEM, który w szczególności spełni następujące funkcje: 

  • umożliwi podłączenie źródeł danych ze wszystkich systemów używanych w GK BEST, 
  • będzie posiadać czytelny, intuicyjny interface, możliwość tworzenia dedykowanych dashboard-ów oraz łatwy język budowania korelacji, 
  • będzie monitorować zdarzenia zachodzące w sieci wewnętrznej i próby przełamania zabezpieczeń,  
  • umożliwi zbudowanie powtarzalnych i skutecznych scenariuszy działań reakcji na zdarzenia wskazujące na incydent bezpieczeństwa informacji, w tym w oparciu o tabelę ATT@CK MITRE,  
  • zabezpieczy materiał dowodowy w przypadku naruszeń bezpieczeństwa, 
  • umożliwi generowanie przejrzystych i czytelnych raportów biznesowych dla kierownictwa i Zarządu firmy, 
  • będzie charakteryzował się wysoką skalowalnością.  

Rozwiązanie

Za realizację projektu odpowiedzialni byli pracownicy Działu Bezpieczeństwa Informacji, przy wsparciu pracowników Pionu IT, którzy również są odbiorcami docelowego rozwiązania.. Początkowo brano pod uwagę 7 rozwiązań różnych producentów. Po wstępnej selekcji przeprowadzono testy typu PoC (proof of concept) kilku z nich. Ostatecznie zdecydowano o wyborze rozwiązania firmy Splunk, jednego ze światowych liderów, jeśli chodzi o rozwiązania do analizy dużych zbiorów danych. Podejmując decyzję zwrócono uwagę na kilka elementów wyróżniających Splunk wśród konkurentów:  
– łatwość w budowaniu zapytań – intuicyjny język SPL (Splunk Processing Language) pozwala przygotować i zapisać dowolne zapytania w zbiorach Big Data, zasilanych przez infrastrukturę IT, 
– korelacja zdarzeń ze wszystkich źródeł logów, tj. systemów wykorzystywanych w BEST S.A. – Splunk umożliwia rejestrowanie danych pochodzących zarówno z systemów zabezpieczeń (firewall, IDS, antywirusy) jak i z urządzeń sieciowych, baz danych, systemów operacyjnych w jednym miejscu i ich analizę za pomocą jednego UI, 
– intuicyjny interfejs – podejście drill-down zapewnia  łatwy dostęp do szczegółowych informacji o zdarzeniu bezpośrednio z poziomu wykresu lub tabeli z możliwością tworzenia indywidualnych dashboardów, 
– szerokie „community” ułatwiające rozwój systemu oraz powszechność stosowania rozwiązania, która daje gwarancję rozwoju produktu przez kolejne kilka lat. 
– wzbogacenie wyników wyszukiwania o informacje z framework ATT@CK MITRE, dzięki czemu analityk otrzymuje dodatkowe informacje o incydencie i jego impakcie na organizację 

Wdrożenie

Pierwszym krokiem było wdrożenie platformy Splunk Enterprise w celu gromadzenia i indeksowania logów oraz innych danych z dowolnego źródła sieciowego, umożliwiając pracownikom wyszukiwanie  
i korelowanie tych informacji oraz wyświetlanie wyników na pulpitach nawigacyjnych. 
Następnie inżynierowie Passus wdrożyli Splunk Enterprise Security (Splunk ES), rozwiązanie bezpieczeństwa klasy premium, które rozszerzyło platformę Splunk, ułatwiając zespołom ds. bezpieczeństwa szybkie wykrywanie i reagowanie na wewnętrzne i zewnętrzne ataki oraz uprościło zarządzanie zagrożeniami. Splunk ES zapewnił wygodny i czytelny dostęp do informacji o  stanie bezpieczeństwa organizacji, dostarczając kompleksowy zestaw gotowych dashboardów, raportów 
  i wskaźników, które pozwalają szybko reagować na zagrożenia. 
 
Dodatkowo biorąc pod uwagę potrzeby Klienta inżynierowie Passus przygotowali dodatkową dedykowaną aplikację agregującą logi z systemów nieobsługiwanych przez Splunk np. ze skanera podatności.  

Architektura rozwiązania Splunk: 

  • w dwóch lokalizacjach – Gdyni oraz Elblągu zainstalowano serwery Heavy Forwarders, odpowiadające za zbieranie danych z poszczególnych systemów. Forwarder zbiera dane, a następnie przekazuje do Indexera.  
  • Indexer odpowiada za przechowywanie i indeksację danych, dzieli je na kilka logicznych magazynów danych. 
  • Search Heady pomagają w przesyłaniu wyszukiwań do różnych Indexerów. Zarządzają funkcjami wyszukiwania dostarczając użytkownikowi wyniki zapytania. 

Po wdrożeniu – podsumowanie

Dzięki wdrożeniu Splunk Enterprise i Splunk ES, firma BEST S.A . jest w stanie agregować i korelować w jednym miejscu dane pochodzące z wielu systemów bezpieczeństwa. Firma posiada rozwiązanie do obsługi terabajtów danych i szybkiej obsługi alertów zgłaszanych przez systemy. Możliwość natychmiastowego zidentyfikowania problemu, a co za tym idzie szybkiego zaadresowania   i rozwiązania w krótkim czasie od wykrycia  nie tylko oszczędza mnóstwo  i czasu pracy pracowników IT i działu bezpieczeństwa, ale również może pozwolić uchronić organizację przed poważnymi konsekwencjami incydentu, który nie zostałby w porę wykryty.  W ramach wdrożenia przygotowano specjalne dashboardy prezentujące informacje istotne z punktu widzenia Zarządu,  przedstawiające w przejrzysty sposób aktualną sytuację w obszarze cyberbezpieczeństwa oraz dające możliwość analizy efektywności pracy i obciążenia działu bezpieczeństwa w ujęciu historycznym (np. z uwzględnieniem ilości ataków w miesiącach ). 

Dla Działu Bezpieczeństwa firmy BEST S.A. istotnym aspektem był krótki czas instalacji i uruchomienia rozwiązania Splunk, który można liczyć w dniach, a nie miesiącach. 

W kolejnym etapie firma planuje wdrożenie systemu SOAR (Splunk Phantom), które pozwali na automatyzację procesów związanych z zarządzaniem bezpieczeństwem i w związku z tym jeszcze efektywniejsze wykorzystanie zasobów działu bezpieczeństwa informacji w firmie BEST S. A

Ta strona wykorzystuje pliki cookies w celu gromadzenia danych statystycznych. Ustawienia cookies można zmienić w przeglądarce internetowej. Korzystanie z tej strony internetowej bez zmiany ustawień cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji >>

Akceptuję