EY CSIRT PL

EY CSIRT PL - o zespole:

EY CSIRT PL jest zespołem działającym komercyjnie, a naszą misją jest zapewnienie bezpieczeństwa teleinformatycznego klientów, koncentrując się na sektorach określanych mianem kluczowych i krytycznych z uwzględnieniem całego środowiska sieciowego naszych klientów: IT, OT (środowisko automatyki przesyłowej), IoT (ang. Internet of things) w tym środowisko chmurowe.

Skupiamy się na klientach w Polsce, a także w regionie EMEIA (Europa, Bliski Wschód, Indie i Afryka).

EY CSIRT PL - model działania oraz usługi:

Nasza jednostka EY CSIRT PL opera się na trzech liniach wsparcia:

1 linia wsparcia (SOC):

• Monitorowanie bezpieczeństwa (monitorowanie infrastruktury sieciowej, serwerowej, punktów końcowych oraz aplikacji) w trybie 24/7
• Wstępna analiza zdarzeń oraz dobór priorytetów (ang. Triage)

2 linia wsparcia:

• Zarządzanie i obsługa incydentów bezpieczeństwa
• Identyfikacja i wsparcie w zarządzaniu podatnościami
• Cyber Threat Intelligence (CTI)  - skupia się na gromadzeniu i analizowaniu informacji o aktualnych i potencjalnych atakach, które stanowią zagrożenie dla organizacji

3 linia wsparcia oparta na naszym Laboratorium OT/IoT wyposażonym w komponenty automatyki przemysłowej, od urządzeń wykonawczych i czujników, po sterowniki PLC i systemy SCADA, laboratorium Cyber IT, w którym testujemy najnowsze rozwiązania oraz zespołach i ekspertyzie w cyberbezpieczeństwie IT i OT:

• Forensic - pozyskiwanie i zabezpieczanie elektronicznego materiału dowodowego, analiza danych z komputerów, telefonów, serwerów, wsparcie w przeprowadzeniu śledztwa i analizie zgromadzonych dowodów.
• Analiza Malware - ma na celu poznanie metod interakcji malware z środowiskiem teleinformatycznym, klasyfikację incydentu oraz dobranie odpowiednich metod i technik odpowiedzi.
• Threat Hunting - proaktywne kroki w celu zidentyfikowania luk w zabezpieczeniach oraz złośliwej aktywności.
• Doradztwo w zakresie organizacji, procesów, strategii, polityk i narzędzi służących do zapewnienia bezpieczeństwa organizacji.

Nasz zespół składa się z doświadczonych ekspertów cyberbezpieczeństwa, z doświadczeniem w krajowych CSIRT, agencjach związanych z zapewnieniem bezpieczeństwa państwa oraz inżynierów posiadających pełne zrozumienie środowiska IT i automatyki przemysłowej. 

Model współpracy

Naszą usługę CSIRT możemy dostosować do Twoich potrzeb, możemy dobrać naszych analityków, procesy i technologię w zależności od Twojej strategii OT. Oferujemy nasze usługi w różnych modelach:

• Build Operate and Transfer (BOT) – dający naszym klientom możliwość zaprojektowania, budowy, obsługi i transferu wiedzy do nowej jednostki SOC
• OT SOC as a service – czyli tzn. Outsourcing usług SOC-owych dla automatyki przemysłowej. W tym modelu to nasz zespół będzie świadczył usługi SOC-owe Państwa organizacji
• Transformacja SOC – jeśli macie Państwo już funkcję SOC lub myślicie o niej, pomożemy w ocenie jej efektywności, wprowadzeniu nowych usług (np. objęciu infrastruktury OT) lub budowie od podstaw
• Threat Intelligence as a service - kanały oferujące kompleksowe źródła danych o zagrożeniach oraz raportowanie bieżących zagrożeń specyficznych dla OT
• Modelowanie zagrożeń OT oferujące podmiotom usługi projektowania i budowania modeli zagrożeń
• Audyt i Usługi doradcze – wsparcie w usprawnianiu i wdrażaniu mechanizmów zabezpieczeń, zarówno technicznych, jak i procesowo-organizacyjnych.
• Wsparcie w zagadnieniach prawnych i regulacyjnych.

Nasze usługi w kontekście UKSC:

Świadczymy także usługi SOC, pozwalające spełnić wymagania Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) zarówno dla operatów usług kluczowych, dostawców usług cyfrowych oraz administracji publicznej.

Zgodnie z UKSC portfolio tych usług zawarte jest w art. 8, 9, 10 (1-3), 11 (1-3), 12 i 13 Ustawy. Są to przede wszystkim:

• wsparcie we wdrażaniu odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych;
• zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
• zarządzanie incydentami;
• wsparcie w stosowaniu środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
• utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
• obsługa incydentu;
• zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
• klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny;
• zgłaszanie incydentu poważnego do właściwego CSIRT poziomu krajowego;
• współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT poziomu krajowego;
• wsparcie w usuwaniu podatności, zgodnie z zaleceniami organu właściwego ds. cyberbezpieczeństwa.

Zakres usług jest odpowiednio dopasowywany do potrzeb klienta.

Wymiana informacji:

Klucz PGP

W dobie powszechnej wymiany informacji związanych z bezpieczeństwem często istnieje potrzeba (dokładniejszego) określenia grupy odbiorców. EY CSIRT PL wykorzystuje w komunikacji  TLP (Traffic Light Protocol).

Traffic Light Protocol jest to zestaw reguł, pogrupowanych w 4 kategorie, używanych w celu lepszego zdefiniowania grupy odbiorców wrażliwych informacji. Dla ułatwienia kategorie opisywane są czterema kolorami (czerwony, pomarańczowy, zielony oraz biały). Zakwalifikowanie do odpowiedniej kategorii leży po stronie organizacji, z której pochodzą informacje. Jeśli odbiorca chciałby podzielić się uzyskanymi informacjami z szerszym gronem, musi uzyskać odpowiednią akceptację od autora wiadomości.