Proaktivní architektura

Schránka01

Proaktivní architektura kybernetické bezpečnosti

Obecné proaktivní architektura kybernetické bezpečnosti vychází ze základu kritické informační infrastruktury, který je tvořen zařízeními ICT splňujícími požadavky dle zákona o kybernetické bezpečnosti, bezpečnostními technickými a organizačními opatřeními a nakonec bezpečnostními politikami dle vyhlášky o kybernetické bezpečnosti. Nad tímto základem je vrstva opatření a dohledu nad opatřeními. Další vrstva by se dala charakterizovat jako sada připravující relevantní data pro stěžejní aplikace Log Management a SIEM. To jsou nejdůležitější aplikace pro rychlou, kvalitní a efektivní činnost SOC.

Hlavní oblasti ochrany

  • nástroje detekce kybernetických incidentů
  • nástroje pro řízení přístupu zařízení do sítě
  • podpůrné nástroje pro řízení mimořádných stavů na síti
  • nástroje pro log management
  • nástrojů pro řízení bezpečnostních incidentů

Nástroje detekce

Nástroje detekce zahrnují především nástroje monitoringu sítě (detailní L2 monitoring pro forenzní audit, Flow monitoring a monitoring zdrojů síťových zařízení) spojené s pokročilými nadstavbami jako je NBA – behaviorální analýza sítě, integrovaná správa adresního prostoru, základních síťových služeb (DDI) a řízení přístupu zařízení do sítě (NAC).

Nástroje pro řízení přístupu

Nástroje pro řízení přístupu zařízení do sítě využívají především inteligentních nadstaveb nástrojů detekce – zejména pokročilého DDI nástroje (správa IP adresního prostoru a základní síťové služby – DHCP/DNS/Radius) s integrovaným NAC nástrojem na druhé vrstvě OSI modelu sítě.  Poskytne tak nejenom možnost autentizace zařízení na síti, ale rovněž nástroje autorizace (tj. přiřazování do VLAN)

Podpůrné nástroje pro řízení mimořádných stavů

Podpůrné nástroje pro řízení mimořádných stavů na síti zahrnují nástroje pro správu krizových setů (kritické infrastruktury organizace) s možností okamžité deaktivace provozu zařízení mimo tento set a dále nástroje pro automatizované zálohování a podporu obnovy konfigurací aktivních prvků.

Nástroje pro log management

Nástroje pro log management pro zajištění požadovaných auditních informací. V tomto prostředí dochází ke vstupní korelaci dílčích událostí jednotlivých subsystémů nástrojů detekce a řízení přístupu zařízení.

Nástroje pro řízení bezpečnostních incidentů

Nástroje pro řízení bezpečnostních incidentů v případě identifikace kybernetického bezpečnostního incidentu v log managementu systém  SIEM řídí proces jeho vyřešení, včetně veškeré externí komunikace a možností realizovat urychlené nápravné opatření jako je například dálkové odpojení kompromitované zařízení od sítě.