NAFTA a.s. je medzinárodná spoločnosť s rozsiahlymi skúsenosťami v oblasti podzemného skladovania zemného plynu a slovenským lídrom v ťažbe uhľovodíkov. V priebehu roku 2020 sa spoločnosť rozhodla vybudovať jeden z dôležitých pilierov bezpečnosti – bezpečnostný monitoring.
Nasadenie SIEM (Security Incident and Event Management) nástroja IBM QRadar umožnilo organizácii v pomerne krátkom čase výrazne zvýšiť viditeľnosť bezpečnostných udalostí v rámci prevádzky infraštruktúry a zefektívniť bezpečnostný dohľad. Riešenie navrhla a implementovala spoločnosť Alanata.
Kľúčové ciele projektu
Kľúčovým cieľom bola ochrana zákazníka pred únikom informácií, ochrana investícií, podnikania a zníženie rizika straty reputácie, a to zabezpečením:
- centralizovaného zberu a uchovávania auditných údajov
- monitoringu bezpečnosti sietí a informačných systémov
- analýzy a riešenia bezpečnostných udalostí a incidentov
Súčasne implementáciou IBM QRadar boli naplnené aj požiadavky legislatívy* na riešenie kybernetických bezpečnostných incidentov a opatrení pre oblasť monitorovania, testovania bezpečnosti a bezpečnostných auditov.
*zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a vyhlášky NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
Požiadavky
- uchovávanie udalostí z preddefinovaných zdrojov logov aplikácií, operačných systémov a sieťového hardware
- monitorovanie bezpečnostne relevantných udalostí prevádzkovanej infraštruktúry a informačných systémov
- korelovanie bezpečnostne relevantných udalostí
- vyhodnocovanie bezpečnostne relevantných udalostí
- detekcia a riešenie bezpečnostných incidentov
- naplnenie požiadaviek zákona č.69/2018 Z.z. o kybernetickej bezpečnosti a nadväzujúcej vyhlášky č. 362/2018 Z. z., §§ 14,15
Popis riešenia
Technológia IBM QRadar spolu s našimi kompetenciami a službami predstavuje riešenie, ktoré zabezpečilo naplnenie cieľov projektu i legislatívnych požiadaviek. Architektúra riešenia bola postavená na centrálnom spracovaní údajov a ich zbere v niekoľkých lokalitách. V každej lokalite sme umiestnili samostatný dátový kolektor, ktorý zbiera údaje a optimalizuje ich prenos na centralizované spracovanie. SIEM bol u zákazníka nasadený ako on-premise inštalácia.
Pre dosiahnutie požadovanej úrovne bezpečnostného dohľadu bolo kľúčové zabezpečiť dáta pre vyhodnocovanie udalostí. Na tieto dáta sa pozeráme v dvoch rovinách, a to v rovine zariadení a systémov, z ktorých dáta získavame, a v rovine obsahu logov definovaných nastavenou úrovňou logovania. V oboch rovinách je nutné brať do úvahy architektúru a topológiu prevádzkovej infraštruktúry a legislatívne požiadavky, ktoré má riešenie naplniť. K tomu, aby SIEM v čo najkratšom čase zabezpečil požadovanú funkcionalitu, boli identifikovaným zdrojom logov priradené priority podľa kategorizácie sietí a informačných systémov.
Úroveň logovania na pripojených systémoch bola nastavená podľa bezpečnostných požiadaviek zákazníka a požiadaviek zákona o kybernetickej bezpečnosti. V rámci analýzy boli logy rozdelené do kategórií uvedených nižšie. Sleduje sa pri nich úspešnosť alebo neúspešnosť vykonávanej udalosti i prípadná modifikácia záznamov:
- autorizačné udalosti
- autentifikácia
- privilegované operácie
- prístupy k logom
- prístupy k systémovým zdrojom
- úprava autentifikačných údajov
- úprava autorizačných údajov
- konfiguračné zmeny systému
- aktivácia/deaktivácia bezpečnostných mechanizmov
- spustenie/zastavenie procesov
- spustenie/vypnutie systému
Vyhodnocovanie udalostí
Efektívne využitie dát dosahujeme konfiguráciou a ladením parametrov, ktoré vstupujú do logiky vyhodnocovania udalostí. V maximálnej miere sme využili predpripravené pravidlá i prislúchajúce data sety a thresholdy, aby sme v krátkom čase „oživili“ analýzu spracovávaných udalostí. Prehľadné zobrazenie stavu a tendencie vývoja parametrov prostredníctvom dashboardov zvyšujú úroveň poznania aktuálneho stavu monitorovaných udalostí a nálezov. Dashboardoy boli prispôsobené zobrazeniu udalostí a aktivít, ktoré sa viažu na udalosti identifikované v rámci analýzy, a na ktoré sa primárne zameriavajú požiadavky zákona o kybernetickej bezpečnosti.
Prínosy nasadenia SIEM
Nasadenie SIEM umožnilo spoločnosti Nafta a.s.:
- integrovať jednotný centralizovaný pohľad na existujúcu bezpečnostnú infraštruktúru
- schopnosť rýchlo a efektívne vyhodnocovať veľké množstvo bezpečnostne relevantných udalostí v reálnom čase
- prijímať adekvátne opatrenia s minimálnym oneskorením
Súčasne nasadené riešenie umožnilo vytvorenie jednotnej platformy pre uchovávanie normalizovaných log/auditných záznamov, ich komprimáciu a indexáciu. Spoločnosť teda získala ucelený komplexný pohľad na bezpečnosť svojej IT infraštruktúry. V Nafta a.s. si uvedomujú že SIEM nie je len o nasadení nástroja, ale rovnako dôležité je aj nastavenie procesov a zabezpečenie dohľadu.
Hodnotenie projektu
„Náš projekt splnil všetky stanovené ciele. Zvýšili sme najmä mieru automatizácie kybernetickej bezpečnosti v našej spoločnosti a zabezpečili plný súlad s legislatívou. Súčasne chránime operácie našich zákazníkov i investície akcionárov ešte na vyššej úrovni. Ďakujeme za efektívnu spoluprácu a cenné znalosti spoločnosti Alanata,“ hodnotí projekt Ivan Mazáň, Head of IT NAFTA, a.s.
„Kybernetická bezpečnosť je veľmi senzitívna téma a o to viac ďakujeme zákazníkovi za dôveru. Na vyriešenie potrieb spoločnosti NAFTA i aktuálnych legislatívnych požiadaviek sme zvolili technológiu QRadar od IBM. Máme s ňou vynikajúcu skúsenosť. V Alanata disponujeme kompetentnými odborníkmi na takmer všetky oblasti kybernetickej bezpečnosti,“ komentujú Attila Fintor a Richard Beňo za dodávateľa, Alanata a.s.