Roman Jiráček, Comguard: ThreatGuard výrazně urychlí zásah proti hrozbám

Expertní služba ThreatGuard může výrazně pomoci firmám, které si chtějí udržet přehled o všech aktuálních IT hrozbách, ale nemají na to kapacitu. O jejích přínosech a možnostech využívání jsme mluvili s vendor managerem Comguardu Romanem Jiráčkem.

Roman Jiráček, Comguard: ThreatGuard výrazně urychlí zásah proti hrozbám



Co to vlastně služba ThreatGuard je a jaký je její přínos?

Služba ThreatGuard je zdrojem informací pro IT security a operation managery, kterým poskytuje přehled o aktuálních hrozbách v oblasti IT.

Vyhodnocuje míru rizikovosti pro ně relevantních hrozeb a připraví návrhy rad a doporučení, jak se správně bránit, čímž urychlí potřebný zásah. Tato služba je dostupná nepřetržitě v podobě webové aplikace a optimalizovaná i pro mobilní zařízení.

Kdo za službou stojí?

Základem ThreatGuard je tým aktuálně devíti specialistů, kteří denně sumarizují aktuální hrozby a zranitelnosti z více než padesáti ověřených zdrojů a vyhodnocují jejich relevantnost pro české a slovenské organizace.

Závěry srozumitelně popíšou a opatří doporučeními na úrovni konfigurací nebo workaroundů. Přidanou hodnotou služby je v neposlední řadě i šetření nedostatku personálních kapacit ve firmách.

Co když potřebuji pomoc s problémem, který zatím není popsaný?

Lze využít nadstavbu ThreatGuard HelpDesk, která zahrnuje možnost zadat na helpdesk vlastní problém. Náš tým expertů zanalyzuje prioritně příčinu a vyhodnotí návrhy opatření, které publikujeme na portálu.

Takže uživatel získá přehled o kritických a nebezpečných zranitelnostech a hrozbách a k tomu rady a doporučení, jak se správně bránit. To je spousta informací, jak se v tom vyzná?

Portál umožňuje filtrování informací podle vlastních kritérií, například podle použitých technologií v organizaci, stupně ohrožení apod. Security nebo operation manager tak snadno zjistí, jaká bezpečnostní opatření mají udělat co nejdříve.

Podle jakých kritérií hrozby sledujete?

Musí jít o hrozbu, která je v danou chvílí reálná. Existence zranitelnosti, pro niž není známá forma aplikovatelného zneužití, nepovažujeme za podstatnou a do ThreatGuardu ji nezařadíme. O přidání naopak rozhodují zveřejnění exploitu nebo zdokumentované pokusy o zneužití určité zranitelnosti.

Hrozba se musí týkat našeho regionu, přičemž jakákoliv globální nebo lokální malwarová/phishingová kampaň je relevantní. Pokud míří specificky mimo náš region nebo se netýká aktiv pro firemní využití, opomíjíme ji.

Velmi vážně bereme hrozby týkající se aplikačních serverů, Active Directory, linuxových serverů, aktivních prvků apod.Ze všech zpracovávaných zdrojů projde našimi filtry zhruba 10 % všech informací, takže odfiltrujeme zbytečný šum irelevantní pro ochranu infrastruktury.

Proč v ThreatGuard není uvedena například zranitelnost NetBackup CVE-2017-885[6-9]?

Jde o jednoduché pravidlo – neexistuje pro ni zatím veřejně dostupný exploit ani zmínka o tom, že by zranitelnost byla zneužívána některými útočníky nebo malwarem.

S jakým zpožděním se ve službě objeví nová hrozba?

Jde o best-effort aktivitu. Vyhodnocování probíhá v pracovních dnech v době od 8:00-17:00 a proces je nastaven tak, aby informace o existenci hrozby byly zveřejněny co nejrychleji po ověření podmínek uvedených výše.

Analytik hrozbu zveřejňuje samostatně, abychom eliminovali zpoždění způsobené dalším schvalovacím procesem. Hrozby zpětně kontroluje další člen týmu, který případně může navrhnout jejich stažení nebo přepracování.

Jste partnerem McAfee, je možné službu provázat s McAfee ePO?

Služba ThreatGuard Portal nabízí opatření proti vybraným hrozbám formou exportu politik pro ePO v ceně služby. Forma předpřipravených konfiguračních exportů pro nastavení doporučených úprav v ePO je velmi efektivní způsob, jak aplikovat doporučení a zkušenosti analytiků ThreatGuard ve vlastní síti.

Napojení do SIEM řešení ThreatGuard aktuálně nenabízí, nicméně již nyní máme spoustu nápadů a podnětů a usilovně pracujeme na rozvoji služby o další nové funkce. Rádi odpovíme na všechny dotazy a požadavky na integraci.

Lze službu používat i v anglickém jazyce?

Ano, služba tuto alternativu nabízí a někteří klienti takto v rámci rozšířené licence např. sdílejí informace se zahraničními kolegy.

Je nějaká možnost si službu vyzkoušet?

Nabízíme možnost bezplatného testu po dobu 14 dní. Přístup dostanou maximálně dva uživatelé, kteří mohou zadat až tři požadavky na helpdesk. Pro více informací stačí napsat na sales@comguard.cz. 

Zdroj: ChannelWorld








Úvodní foto: Comguard

Komentáře