Sentinel i cyberbezpieczeństwo w abonamencie

Fundacja GS1 korzysta z outsourcingu Security Operations Center w All for One. Usługa jest realizowana w koordynacji z klientem, w oparciu o kontrakt SLA. Zadaniem All for One jest ochrona organizacji przed cyberatakami, a w tym ciągłe monitorowanie i doskonalenie stanu zabezpieczeń oraz zapobieganie incydentom cyberbezpieczeństwa, ich wykrywanie z użyciem zaawansowanych narzędzi, analiza zagrożeń, reagowanie na nie oraz działania wyprzedzające. Przygotowujemy także rekomendacje w zakresie niezbędnych inwestycji w obszar cyberbezpieczeństwa.

Każda organizacja ma specyficzne wymagania dotyczące bezpieczeństwa IT. Dlatego zwykle naszą współpracę z klientem rozpoczynamy od szczegółowej analizy jego potrzeb, co w dalszych etapach pozwala nam zaproponować wdrożenie konkretnych rozwiązań.

W przypadku firmy GS1 Polska po dokładnej ocenie stosowanych wcześniej rozwiązań oraz aktualnych potrzeb zdecydowaliśmy się na implementację Microsoft Sentinel – zaawansowanej platformy SIEM (Security Information and Event Management) oraz SOAR (Security Orchestration, Automation, and Response), która zapewnia monitorowanie i reagowanie na zagrożenia w infrastrukturze IT. Dzięki integracji z innymi produktami Microsoft oraz rozwiązaniami firm trzecich Sentinel pozwala na zbieranie, analizowanie oraz automatyczne reagowanie na incydenty bezpieczeństwa.

Trwające kilkanaście tygodni prace wdrożeniowe realizowane przez konsultantów All for One obejmowały wszystkie etapy uruchomienia platformy – od inwentaryzacji wszystkich możliwych źródeł zdarzeń w GS1 Polska, poprzez zaplanowanie ich archiwizacji i korelacji w środowisku Sentinel, skończywszy na opracowaniu mechanizmów raportowania i alertowania.

Wśród systemów objętych monitorowaniem uwzględniono:

• Urządzenia końcowe użytkowników (stacje robocze, telefony);
• Urządzenia sieciowe;
• Serwery utrzymywane on-premise oraz w chmurze;
• Usługi biznesowe realizowane przez hyperscalerów;
• Usługi hostingowe.

W ciągu doby do usługi Sentinel trafia od kilku do kilkunastu milionów zdarzeń. Są one następnie analizowane i klasyfikowane, a na tej podstawie podejmowane są zautomatyzowane lub manualne reakcje. Każdego dnia pojawiają się alerty (o pojedynczych potencjalnych zagrożeniach lub podejrzanych działaniach) oraz incydenty (grupy powiązanych alertów, które razem tworzą bardziej kompleksowy obraz potencjalnego zagrożenia) wymagające dalszego dochodzenia. Zadania te wykonywane są w ramach usługi Security Operations Center, którą dla GS1 Polska realizuje All for One.

Bieżącą wizualizację i analizę pokrycia bezpieczeństwa Sentinel raportuje w oparciu o ramy MITRE ATT&CK – publicznie dostępną bazę wiedzy o taktykach i technikach stosowanych przez atakujących.

Inną pomocną opcją Microsoft Sentinel jest wizualizacja geograficznego pochodzenia wykrytych zagrożeń.

Z wykorzystaniem Microsoft Sentinel zbudowaliśmy platformę, która pozwala na pełną obserwowalność zdarzeń w systemach IT w GS1 Polska, zarówno w środowisku on-premise, jak i w chmurach publicznych. Narzędzie to w pierwszej kolejności jest wykorzystywane przez zespół Security Operations Center w All for One, natomiast zespół IT w GS1 Polska otrzymuje cykliczne raporty o zdarzeniach bezpieczeństwa.

Integracja z różnymi usługami, takimi jak Defender XDR, Intune czy Fortinet, zapewnia szeroką ochronę infrastruktury IT. Dzięki elastycznym możliwościom konfiguracji i analizy Sentinel stanowi kluczowy element strategii bezpieczeństwa w nowoczesnych organizacjach.

Ze wsparciem Sentinela oraz konsultantów All for One fundacja GS1 Polska zyskała zarządzanie bezpieczeństwem w formie usługi, która nie tylko zwiększa poziom ochrony, ale także optymalizuje procesy związane z monitorowaniem i reagowaniem na incydenty.

GS1 Polska jest częścią GS1, globalnej organizacji rozwijającej najpowszechniej stosowany system standardów na świecie. Do najbardziej znanych standardów GS1 należą m.in. GTIN (identyfikacja produktów), GLN (identyfikacja lokalizacji) czy SSCC (identyfikacja jednostek logistycznych).

Niepowołany dostęp do kluczowych informacji czy próba manipulacji przyznawanymi identyfikatorami mogłaby skutkować zaburzeniami w łańcuchach dostaw, stąd nasza troska, by zapewnić najwyższą jakość usług świadczonych przez GS1 Polska i zabezpieczyć nasze systemy przed cyberzagrożeniami.

Zdecydowaliśmy się na wdrożenie w naszej chmurze narzędzia Sentinel, które służy do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) w chmurze. Dzięki inteligentnej analizie zabezpieczeń umożliwia wykrywanie zaawansowanych cyberataków. We wdrożeniu tego narzędzia wspiera nas zespół wysokiej klasy ekspertów z All for One. Dzięki ich wiedzy i zaangażowaniu wdrożenie narzędzia przebiegło bez przeszkód i na dziś nasze systemy pozostają pod ich opieką.

Adam Kubisiak, Menedżer ds. Integracji Systemów IT, GS1 Polska

Do najważniejszych funkcji Microsoft Sentinel należą:

• Zbieranie danych – możliwość agregowania logów i zdarzeń z różnych źródeł, takich jak systemy operacyjne, aplikacje chmurowe, urządzenia sieciowe czy platformy bezpieczeństwa;
• Analiza zagrożeń – zastosowanie sztucznej inteligencji i analizy behawioralnej do wykrywania anomalii;
• Automatyzacja reakcji – wykorzystywanie mechanizmów SOAR, takich jak Playbooks, do automatycznego reagowania na incydenty;
• Monitorowanie w czasie rzeczywistym – konfigurowalne dashboardy pozwalające na bieżąco śledzić aktywność i zagrożenia;
• Zaawansowane zapytania – użycie KQL (Kusto Query Language) do wyszukiwania zagrożeń i analizy logów.

Reguły analityczne pozwalają na automatyczną analizę zebranych danych, wykrywając wzorce oraz anomalie, które mogą wskazywać na incydenty bezpieczeństwa. Dzięki nim możliwe jest szybkie generowanie alertów i eskalacja wykrytych zagrożeń do dalszej analizy.

• Alerty – automatyczne powiadomienia o wykrytych anomaliach lub podejrzanych aktywnościach;
• Incydenty – grupowanie powiązanych alertów w jeden incydent, który można dalej analizować i eskalować.

Reagowanie na zagrożenia w Microsoft Sentinel odbywa się poprzez różne narzędzia do reakcji:

• Playbooks – zautomatyzowane reakcje na zagrożenia przy użyciu Azure Logic Apps;
• Workbooks – interaktywne raporty i wizualizacje logów;
• Hunting Queries – predefiniowane zapytania KQL do analizy zagrożeń;
• Dashboardy – wizualne panele monitorowania, dostosowane do potrzeb klienta.

GS1 Polska jest częścią międzynarodowej organizacji not-for-profit GS1, która od ponad 50 lat rozwija najpowszechniej stosowany system standardów na świecie. Najbardziej znanym standardem GS1 są kody kreskowe stosowane obecnie na całym świecie i skanowane 10 miliardów razy dziennie. BBC uznało je za jedną z 50 rzeczy, które w największym stopniu przyczyniły się do powstania nowoczesnej gospodarki. Standardy opracowane przez GS1 umożliwiają firmom identyfikowanie, gromadzenie i udostępnianie informacji o produktach, lokalizacjach, partnerach, przesyłkach i zdarzeniach w całym łańcuchu dostaw. Wykorzystywane są m.in. w handlu, e-commerce, logistyce, budownictwie i ochronie zdrowia. Standardy GS1 pomagają organizacjom działać skuteczniej, bezpieczniej i w sposób bardziej zrównoważony.

GS1 posiada lokalne organizacje członkowskie w 118 krajach i skupia ponad 2 miliony uczestników Systemu GS1, w tym ponad 46 tysięcy w Polsce.

GS1 Polska aktywnie edukuje rynek w zakresie transformacji cyfrowej, standaryzacji danych i ESG m.in. poprzez Akademię Cyfryzacji GS1, która wspiera przedsiębiorstwa w zdobywaniu praktycznej wiedzy i wdrażaniu nowoczesnych rozwiązań.

Od ponad 25 lat świadczymy bezpieczne usługi dla setek naszych klientów. GS1 Polska wspieramy na wielu płaszczyznach, a całość obejmujemy usługą Security Operations Center opartą na rozwiązaniach Microsoft, w tym Sentinel. Najważniejszą częścią naszej pracy jest dbanie o zapewnienie ciągłości działania systemów klienta niezależnie od tego, na jakim rozwiązaniu chmurowym czy własnym działa system. Liczy się szybka i skuteczna identyfikacja potencjalnych zagrożeń oraz wewnętrzna eskalacja w celu zachowania pełnego bezpieczeństwa systemów i usług.

Michał Strzyżewski, Manager Cloud Services, All for One Poland

Utrzymanie i doskonalenie ochrony przez zagrożeniami cyfrowymi wymaga wielowymiarowego podejścia – zarówno od strony zarządczej, jak i technicznej. GS1 Polska przy wsparciu All for One kompleksowo realizuje to wyzwanie już od kilku lat, systematycznie osiągając kolejne założone cele. Jako naturalny element ewolucji usług IT realizowanych przez wewnętrzny zespół IT w GS1 Polska zaistniała potrzeba zwiększenia świadomości sytuacyjnej w zakresie zdarzeń i zagrożeń występujących w szybko rosnącym, hybrydowym środowisku IT. Narzędziem, które bardzo dobrze odpowiada na te potrzeby, jest wdrożony dla GS1 Polska Microsoft Sentinel – skalowalna, chmurowa platforma do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) oraz do automatyzacji i reakcji na zagrożenia (SOAR).

Warto zaznaczyć, że archiwizacja, ochrona i analityka logów systemowych oraz monitorowanie aktywności pod kątem potencjalnych incydentów to wymogi wszystkich powszechnych standardów w zakresie zarządzania bezpieczeństwem informacji, takich jak ISO/IEC 27001 i VDA ISA/TISAX, a także regulacji prawnych w ramach Krajowego Systemu Cyberbezpieczeństwa, implementującego Dyrektywy NIS i NIS2. Przede wszystkim jednak – troska o cyberbezpieczeństwo, wyrażona szczegółową znajomością zdarzeń zachodzących w środowisku IT, powinna należeć do priorytetów szefów IT oraz oficerów bezpieczeństwa informacji każdej organizacji.

Microsoft Sentinel jest jednym z narzędzi wdrażanych przez All for One, które wspierają naszych klientów w obserwacji i rozumieniu zdarzeń występujących w ich środowiskach, skutecznie podnosząc poziom cyberbezpieczeństwa.

Rafał Grześkowiak, Manager ds. Projektów IT, All for One