EY CSIRT PL
Misją naszej jednostki EY CSIRT PL jest wykrywanie zagrożeń teleinformatycznych oraz podatności stanowiących zagrożenie dla naszych klientów oraz wsparcie w ich obsłudze.
W ramach naszej jednostki EY CSIRT PL działa nasz zespół SOC, który koncentruje się na dostarczaniu wysokiej jakości usług związanych z monitorowaniem, priorytetyzacją oraz obsługą incydentów dostosowanych do wymagań i środowiska Klienta.
Zespół
EY CSIRT PL - o zespole:
EY CSIRT PL jest zespołem działającym komercyjnie, a naszą misją jest zapewnienie bezpieczeństwa teleinformatycznego klientów, koncentrując się na sektorach określanych mianem kluczowych i krytycznych z uwzględnieniem całego środowiska sieciowego naszych klientów: IT, OT (środowisko automatyki przesyłowej), IoT (ang. Internet of things) w tym środowisko chmurowe.
Skupiamy się na klientach w Polsce, a także w regionie EMEIA (Europa, Bliski Wschód, Indie i Afryka).
EY CSIRT PL - model działania oraz usługi:
Nasza jednostka EY CSIRT PL opera się na trzech liniach wsparcia:
1 linia wsparcia (SOC):
- Monitorowanie bezpieczeństwa (monitorowanie infrastruktury sieciowej, serwerowej, punktów końcowych oraz aplikacji) w trybie 24/7
- Wstępna analiza zdarzeń oraz dobór priorytetów (ang. Triage)
2 linia wsparcia:
- Zarządzanie i obsługa incydentów bezpieczeństwa
- Identyfikacja i wsparcie w zarządzaniu podatnościami
- Cyber Threat Intelligence (CTI) - skupia się na gromadzeniu i analizowaniu informacji o aktualnych i potencjalnych atakach, które stanowią zagrożenie dla organizacji
3 linia wsparcia oparta na naszym Laboratorium OT/IoT wyposażonym w komponenty automatyki przemysłowej, od urządzeń wykonawczych i czujników, po sterowniki PLC i systemy SCADA, laboratorium Cyber IT, w którym testujemy najnowsze rozwiązania oraz zespołach i ekspertyzie w cyberbezpieczeństwie IT i OT:
- Forensic - pozyskiwanie i zabezpieczanie elektronicznego materiału dowodowego, analiza danych z komputerów, telefonów, serwerów, wsparcie w przeprowadzeniu śledztwa i analizie zgromadzonych dowodów.
- Analiza Malware - ma na celu poznanie metod interakcji malware z środowiskiem teleinformatycznym, klasyfikację incydentu oraz dobranie odpowiednich metod i technik odpowiedzi.
- Threat Hunting - proaktywne kroki w celu zidentyfikowania luk w zabezpieczeniach oraz złośliwej aktywności.
- Doradztwo w zakresie organizacji, procesów, strategii, polityk i narzędzi służących do zapewnienia bezpieczeństwa organizacji.
Nasz zespół składa się z doświadczonych ekspertów cyberbezpieczeństwa, z doświadczeniem w krajowych CSIRT, agencjach związanych z zapewnieniem bezpieczeństwa państwa oraz inżynierów posiadających pełne zrozumienie środowiska IT i automatyki przemysłowej.
Model współpracy
Naszą usługę CSIRT możemy dostosować do Twoich potrzeb, możemy dobrać naszych analityków, procesy i technologię w zależności od Twojej strategii OT. Oferujemy nasze usługi w różnych modelach:
- Build Operate and Transfer (BOT) – dający naszym klientom możliwość zaprojektowania, budowy, obsługi i transferu wiedzy do nowej jednostki SOC
- OT SOC as a service – czyli tzn. Outsourcing usług SOC-owych dla automatyki przemysłowej. W tym modelu to nasz zespół będzie świadczył usługi SOC-owe Państwa organizacji
- Transformacja SOC – jeśli macie Państwo już funkcję SOC lub myślicie o niej, pomożemy w ocenie jej efektywności, wprowadzeniu nowych usług (np. objęciu infrastruktury OT) lub budowie od podstaw
- Threat Intelligence as a service - kanały oferujące kompleksowe źródła danych o zagrożeniach oraz raportowanie bieżących zagrożeń specyficznych dla OT
- Modelowanie zagrożeń OT oferujące podmiotom usługi projektowania i budowania modeli zagrożeń
- Audyt i Usługi doradcze – wsparcie w usprawnianiu i wdrażaniu mechanizmów zabezpieczeń, zarówno technicznych, jak i procesowo-organizacyjnych.
- Wsparcie w zagadnieniach prawnych i regulacyjnych.
Nasze usługi w kontekście UKSC:
Świadczymy także usługi SOC, pozwalające spełnić wymagania Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) zarówno dla operatów usług kluczowych, dostawców usług cyfrowych oraz administracji publicznej.
Zgodnie z UKSC portfolio tych usług zawarte jest w art. 8, 9, 10 (1-3), 11 (1-3), 12 i 13 Ustawy. Są to przede wszystkim:
- wsparcie we wdrażaniu odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych;
- zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
- zarządzanie incydentami;
- wsparcie w stosowaniu środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
- utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
- obsługa incydentu;
- zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
- klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny;
- zgłaszanie incydentu poważnego do właściwego CSIRT poziomu krajowego;
- współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT poziomu krajowego;
- wsparcie w usuwaniu podatności, zgodnie z zaleceniami organu właściwego ds. cyberbezpieczeństwa.
Zakres usług jest odpowiednio dopasowywany do potrzeb klienta.
Wymiana informacji:
Klucz PGP
W dobie powszechnej wymiany informacji związanych z bezpieczeństwem często istnieje potrzeba (dokładniejszego) określenia grupy odbiorców. EY CSIRT PL wykorzystuje w komunikacji TLP (Traffic Light Protocol).
Traffic Light Protocol jest to zestaw reguł, pogrupowanych w 4 kategorie, używanych w celu lepszego zdefiniowania grupy odbiorców wrażliwych informacji. Dla ułatwienia kategorie opisywane są czterema kolorami (czerwony, pomarańczowy, zielony oraz biały). Zakwalifikowanie do odpowiedniej kategorii leży po stronie organizacji, z której pochodzą informacje. Jeśli odbiorca chciałby podzielić się uzyskanymi informacjami z szerszym gronem, musi uzyskać odpowiednią akceptację od autora wiadomości.