EY CSIRT PL

Obszar: Cybersecurity

Misją naszej jednostki EY CSIRT PL jest wykrywanie zagrożeń teleinformatycznych oraz podatności stanowiących zagrożenie dla naszych klientów oraz wsparcie w ich obsłudze.

W ramach naszej jednostki EY CSIRT PL działa nasz zespół SOC, który koncentruje się na dostarczaniu wysokiej jakości usług związanych z monitorowaniem, priorytetyzacją oraz obsługą incydentów dostosowanych do wymagań i środowiska Klienta.

EY CSIRT PL - o zespole:

EY CSIRT PL jest zespołem działającym komercyjnie, a naszą misją jest zapewnienie bezpieczeństwa teleinformatycznego klientów, koncentrując się na sektorach określanych mianem kluczowych i krytycznych z uwzględnieniem całego środowiska sieciowego naszych klientów: IT, OT (środowisko automatyki przesyłowej), IoT (ang. Internet of things) w tym środowisko chmurowe.

Skupiamy się na klientach w Polsce, a także w regionie EMEIA (Europa, Bliski Wschód, Indie i Afryka).

EY CSIRT PL - model działania oraz usługi:

Nasza jednostka EY CSIRT PL opera się na trzech liniach wsparcia:

1 linia wsparcia (SOC):

  • Monitorowanie bezpieczeństwa (monitorowanie infrastruktury sieciowej, serwerowej, punktów końcowych oraz aplikacji) w trybie 24/7
  • Wstępna analiza zdarzeń oraz dobór priorytetów (ang. Triage)

2 linia wsparcia:

  • Zarządzanie i obsługa incydentów bezpieczeństwa
  • Identyfikacja i wsparcie w zarządzaniu podatnościami
  • Cyber Threat Intelligence (CTI)  - skupia się na gromadzeniu i analizowaniu informacji o aktualnych i potencjalnych atakach, które stanowią zagrożenie dla organizacji

3 linia wsparcia oparta na naszym Laboratorium OT/IoT wyposażonym w komponenty automatyki przemysłowej, od urządzeń wykonawczych i czujników, po sterowniki PLC i systemy SCADA, laboratorium Cyber IT, w którym testujemy najnowsze rozwiązania oraz zespołach i ekspertyzie w cyberbezpieczeństwie IT i OT:

  • Forensic - pozyskiwanie i zabezpieczanie elektronicznego materiału dowodowego, analiza danych z komputerów, telefonów, serwerów, wsparcie w przeprowadzeniu śledztwa i analizie zgromadzonych dowodów.
  • Analiza Malware - ma na celu poznanie metod interakcji malware z środowiskiem teleinformatycznym, klasyfikację incydentu oraz dobranie odpowiednich metod i technik odpowiedzi.
  • Threat Hunting - proaktywne kroki w celu zidentyfikowania luk w zabezpieczeniach oraz złośliwej aktywności.
  • Doradztwo w zakresie organizacji, procesów, strategii, polityk i narzędzi służących do zapewnienia bezpieczeństwa organizacji.

Nasz zespół składa się z doświadczonych ekspertów cyberbezpieczeństwa, z doświadczeniem w krajowych CSIRT, agencjach związanych z zapewnieniem bezpieczeństwa państwa oraz inżynierów posiadających pełne zrozumienie środowiska IT i automatyki przemysłowej. 

Model współpracy

Naszą usługę CSIRT możemy dostosować do Twoich potrzeb, możemy dobrać naszych analityków, procesy i technologię w zależności od Twojej strategii OT. Oferujemy nasze usługi w różnych modelach:

  • Build Operate and Transfer (BOT) – dający naszym klientom możliwość zaprojektowania, budowy, obsługi i transferu wiedzy do nowej jednostki SOC
  • OT SOC as a service – czyli tzn. Outsourcing usług SOC-owych dla automatyki przemysłowej. W tym modelu to nasz zespół będzie świadczył usługi SOC-owe Państwa organizacji
  • Transformacja SOC – jeśli macie Państwo już funkcję SOC lub myślicie o niej, pomożemy w ocenie jej efektywności, wprowadzeniu nowych usług (np. objęciu infrastruktury OT) lub budowie od podstaw
  • Threat Intelligence as a service - kanały oferujące kompleksowe źródła danych o zagrożeniach oraz raportowanie bieżących zagrożeń specyficznych dla OT
  • Modelowanie zagrożeń OT oferujące podmiotom usługi projektowania i budowania modeli zagrożeń
  • Audyt i Usługi doradcze – wsparcie w usprawnianiu i wdrażaniu mechanizmów zabezpieczeń, zarówno technicznych, jak i procesowo-organizacyjnych.
  • Wsparcie w zagadnieniach prawnych i regulacyjnych.

Nasze usługi w kontekście UKSC:

Świadczymy także usługi SOC, pozwalające spełnić wymagania Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) zarówno dla operatów usług kluczowych, dostawców usług cyfrowych oraz administracji publicznej.

Zgodnie z UKSC portfolio tych usług zawarte jest w art. 8, 9, 10 (1-3), 11 (1-3), 12 i 13 Ustawy. Są to przede wszystkim:

  • wsparcie we wdrażaniu odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych;
  • zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  • zarządzanie incydentami;
  • wsparcie w stosowaniu środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  • utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  • obsługa incydentu;
  • zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
  • klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny;
  • zgłaszanie incydentu poważnego do właściwego CSIRT poziomu krajowego;
  • współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT poziomu krajowego;
  • wsparcie w usuwaniu podatności, zgodnie z zaleceniami organu właściwego ds. cyberbezpieczeństwa.

Zakres usług jest odpowiednio dopasowywany do potrzeb klienta.

Wymiana informacji:

Klucz PGP

W dobie powszechnej wymiany informacji związanych z bezpieczeństwem często istnieje potrzeba (dokładniejszego) określenia grupy odbiorców. EY CSIRT PL wykorzystuje w komunikacji  TLP (Traffic Light Protocol).

Traffic Light Protocol jest to zestaw reguł, pogrupowanych w 4 kategorie, używanych w celu lepszego zdefiniowania grupy odbiorców wrażliwych informacji. Dla ułatwienia kategorie opisywane są czterema kolorami (czerwony, pomarańczowy, zielony oraz biały). Zakwalifikowanie do odpowiedniej kategorii leży po stronie organizacji, z której pochodzą informacje. Jeśli odbiorca chciałby podzielić się uzyskanymi informacjami z szerszym gronem, musi uzyskać odpowiednią akceptację od autora wiadomości.

TLP_GRAFIKI_WWW_27.01
TLP_GRAFIKI_WWW_27.01

Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.