EY CSIRT PL – zarządzanie incydentami bezpieczeństwa

EY CSIRT PL (Computer Security Incident Response Team): model działania oraz usługi

Skupiamy się na klientach w Polsce, a także w regionie EMEIA (Europa, Bliski Wschód, Indie i Afryka). Nasza jednostka EY CSIRT PL opiera się na trzech liniach wsparcia:

1 linia wsparcia (SOC)

• Monitorowanie bezpieczeństwa (monitorowanie infrastruktury sieciowej, serwerowej, punktów końcowych oraz aplikacji) w trybie 24/7

• Wstępna analiza zdarzeń oraz dobór priorytetów (ang. Triage)

2 linia wsparcia

• Obsługa i zarządzanie incydentami bezpieczeństwa

• Identyfikacja i wsparcie w zarządzaniu podatnościami

• Cyber Threat Intelligence (CTI) - skupia się na gromadzeniu i analizowaniu informacji o aktualnych i potencjalnych atakach, które stanowią zagrożenie dla organizacji

3 linia wsparcia 

Linia oparta na naszym Laboratorium OT/IoT wyposażonym w komponenty automatyki przemysłowej, od urządzeń wykonawczych i czujników, po sterowniki PLC i systemy SCADA, laboratorium Cyber IT, w którym testujemy najnowsze rozwiązania oraz zespołach i ekspertyzie w cyberbezpieczeństwie IT i OT.

• Forensic - pozyskiwanie i zabezpieczanie elektronicznego materiału dowodowego, analiza danych z komputerów, telefonów, serwerów, wsparcie w przeprowadzeniu śledztwa i analizie zgromadzonych dowodów.

• Analiza Malware - ma na celu poznanie metod interakcji malware z środowiskiem teleinformatycznym, klasyfikację incydentu oraz dobranie odpowiednich metod i technik odpowiedzi.

• Threat Hunting - proaktywne kroki w celu zidentyfikowania luk w zabezpieczeniach oraz złośliwej aktywności.

• Doradztwo w zakresie organizacji, procesów, strategii, polityk i narzędzi służących do zapewnienia bezpieczeństwa organizacji.

Model współpracy w ramach Computer Security Incident Response Team (CSIRT PL) 

Naszą usługę CSIRT możemy dostosować do Twoich potrzeb, możemy dobrać naszych analityków, procesy i technologię w zależności od Twojej strategii OT. Oferujemy nasze usługi w różnych modelach:

• Build Operate and Transfer (BOT) – dający naszym klientom możliwość zaprojektowania, budowy, obsługi i transferu wiedzy do nowej jednostki SOC

• OT SOC as a service – czyli tzn. Outsourcing usług SOC-owych dla automatyki przemysłowej. W tym modelu to nasz zespół będzie świadczył usługi SOC-owe Państwa organizacji

• Transformacja SOC – jeśli macie Państwo już funkcję SOC lub myślicie o niej, pomożemy w ocenie jej efektywności, wprowadzeniu nowych usług (np. objęciu infrastruktury OT) lub budowie od podstaw

• Threat Intelligence as a service - kanały oferujące kompleksowe źródła danych o zagrożeniach oraz raportowanie bieżących zagrożeń specyficznych dla OT

• Modelowanie zagrożeń OT oferujące podmiotom usługi projektowania i budowania modeli zagrożeń

• Audyt i Usługi doradcze – wsparcie w usprawnianiu i wdrażaniu mechanizmów zabezpieczeń, zarówno technicznych, jak i procesowo-organizacyjnych.

• Wsparcie w zagadnieniach prawnych i regulacyjnych.

Jak EY może pomóc Nasze usługi w kontekście UKSC? 

Świadczymy także usługi SOC, pozwalające spełnić wymagania Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) zarówno dla operatów usług kluczowych, dostawców usług cyfrowych oraz administracji publicznej.

Zgodnie z UKSC portfolio tych usług zawarte jest w art. 8, 9, 10 (1-3), 11 (1-3), 12 i 13 Ustawy. Są to przede wszystkim:

• wsparcie we wdrażaniu odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych;

• zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• zarządzanie incydentami cyberbezpieczeństwa;

• wsparcie w stosowaniu środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

• utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;

• obsługa incydentu;

• zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

• klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny;

• zgłaszanie incydentu poważnego do właściwego CSIRT poziomu krajowego;

• współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT poziomu krajowego;

• wsparcie w usuwaniu podatności, zgodnie z zaleceniami organu właściwego ds. cyberbezpieczeństwa.

Zakres usług jest odpowiednio dopasowywany do potrzeb klienta.

CSIRT PL – zarządzanie incydentami bezpieczeństwa

Klucz PGP

W dobie powszechnej wymiany informacji związanych z bezpieczeństwem często istnieje potrzeba (dokładniejszego) określenia grupy odbiorców. EY CSIRT PL wykorzystuje w komunikacji TLP (Traffic Light Protocol).

Traffic Light Protocol jest to zestaw reguł, pogrupowanych w 4 kategorie, używanych w celu lepszego zdefiniowania grupy odbiorców wrażliwych informacji. Dla ułatwienia kategorie opisywane są czterema kolorami (czerwony, pomarańczowy, zielony oraz biały). Zakwalifikowanie do odpowiedniej kategorii leży po stronie organizacji, z której pochodzą informacje. Jeśli odbiorca chciałby podzielić się uzyskanymi informacjami z szerszym gronem, musi uzyskać odpowiednią akceptację od autora wiadomości.

Nasz zespół składa się z doświadczonych ekspertów cyberbezpieczeństwa, z doświadczeniem w krajowych CSIRT, agencjach związanych z zapewnieniem bezpieczeństwa państwa oraz inżynierów posiadających pełne zrozumienie środowiska IT i automatyki przemysłowej.