Wykrywanie i reakcja na zagrożenia
Jak monitorować i wykrywać zdarzenia w sieci firmowej?
Wyzwanie
Stacje robocze w organizacjach są nieustannie poddawane próbom przełamania zabezpieczeń i przeprowadzania cyberataków. Dlatego każda firma stoi przed wymagającym wyzwaniem, jakim jest konieczność stałego monitorowania dużego ruchu sieciowego, aby na bieżąco być ze zdarzeniami i wykrywać zagrożenia.
W jednej z firm z branży medycznej funkcjonowało 700 stacji roboczych, które generowały duży ruch sieciowy. Aby zapewnić bezpieczeństwo teleinformatyczne firmie, konieczna stała się możliwość aktywnego monitorowania zdarzeń w sieci firmowej w czasie rzeczywistym do 60k EPS oraz do 20 Gbps ruchu sieciowego. Do identyfikacji wszystkich z nich w ramach istniejącej architektury bezpieczeństwa wymagany był zintegrowany klient.

Rozwiązanie
Idealnym rozwiązaniem na tego rodzaju wyzwania jest system klasy SIEM, który jednocześnie pełnić będzie rolę platformy threat huntingowej. Tego typu rozwiązanie pozwala na monitorowanie, gromadzenie, raportowanie oraz zarządzanie logami. Dzięki niemu członkowie zespołu bezpieczeństwa mają pełny wgląd w to, co dzieje się w sieci w czasie rzeczywistym. To z kolei pomaga rozwiązać wiele wyzwań związanych z ochroną danych, wliczając w to rozpoznanie cyberataku.
Narzędziem, które realizuje tego typu zadania jest moduł NetWitness Logs w ramach platformy RSA NetWitness. Zapewnia on całościowy dostęp do wiedzy na temat sieci, wychodzącej poza standardowy SIEM.

Efekty
Co więcej, generowanie raportu zawierający pełen zrzut PCAP, ekstrakcję plików, rekonstrukcję wiadomości mailowych pozwala na dostarczenie Organowi Nadzorczemu kompleksowych informacji dotyczących incydentu.