Dnes se společně podíváme na nový produkt společnosti KPCS pod názvem ATOM. Zkratka ATOM je postavena z několika slov, které vypovídají částečně i o zaměření tohoto produktu „Advanced Thread Operations Monitoring“. Celý produkt je založen na komponentách společnosti Microsoft a data jsou primárně umístěna v Azure prostředí. Hlavními částmi pro zajištění plné funkcionality jsou tyto nástroje společnosti Microsoft:
- Operations Management Suite (dále také OMS)
- Advanced Thread Analytics (dále také ATA)
- System Center Operations Manager (dále také SCOM)
- System Center Virtual Machine Manager (dále také SCVMM)
Nicméně produkt KPCS ATOM tyto komponenty přímo nevyžaduje, jedinou nutnou komponentou je v tomto směru Operations Management Suite, která poskytuje data k další analýze, tudíž si jej v tomto případě můžeme představit jako datový sklad.
Tou nejpodstatnější součástí je však vlastní instalátor celého řešení, který na koncové zařízení nasadí skripty vytvořené konzultanty společnosti KPCS s detailním zaměřením na konkrétní části Microsoft Infrastruktury, případně pro různé aplikace společnosti Microsoft.
V několika krocích má tak zákazník možnost nasazení daného produktu do svého prostředí. Celá instalace trvá jen několik málo minut a data jsou téměř ihned shromažďována do datového skladu v Azure.
Celý nástroj je koncipován a postaven tak, aby chránil společnosti nejen proti vnějším útokům a umožnil detekovat abnormální stavy, případně sledoval zatížení systémů, ale také je chránil proti jejich vlastním IT správcům. Jak to dokáže? Odpověď je velice jednoduchá. Systém ukládá data na vrstvu datového skladu, který si můžeme představit jako „Data Lake“ v Azure, do kterého nemají IT administrátoři přístup, respektive do tohoto skladu nemá přístup nikdo, a proto je tento systém velmi bezpečným řešením na kontrolu všech systémů. Pokud se tedy administrátor/útočník rozhodne, že poničí agenta, který odesílá data, systém jej detekuje, stejně tak pokud se rozhodne, že smaže jen nějaké specifické logy v systémech. Veškerá data jsou odesílána do systému ihned po vytvoření v koncovém zařízení a následně zaslána do tohoto datového skladu produktu KPCS ATOM. To znamená, že jejich smazání nemá žádný vliv na vlastní detekci. Bezpečnostní správce má okamžitý přehled o stavu celého prostředí a podezřelé činnosti vlastních lidí, případně o podezřelém chování nevítaného „správce“. Z tohoto pohledu může být velmi dobrým pomocníkem například nová role Data Protector Officer, kterou musí společnosti nominovat v případě, že zpracovávají osobní a citlivé informace (dle nařízení GDPR).
KPCS ATOM cílí jako jeden z mála nástrojů na světě na to, aby zákazník získal jednotnou platformu pro komplexní pohled nad infrastrukturou, a to jak na úrovni platforem Windows a Linux, tak lze případně integrovat i hardwarová zařízení jako jsou switche, firewally a spoustu dalších zařízení a systémů. Genericky bychom mohli říci, že lze monitorovat vše, co umí posílat logy pomocí SNMP, SYSLOG, Event Log Forwarding, nebo je na platformě Windows případně Linux.
Nicméně v některých scénářích dává smysl napojení i na různé externí služby třetích stran (Syslog, Zabbix, Nagion, SIEM, WebService, atd..) a díky otevřenému REST API je možno integrovat celou řadu veřejně dostupných služeb, jako jsou například Black Listy pro poštovní služby, služby pro detekci domén, jejichž účty jsou nějakým způsobem kompromitovány, nebo dokonce předpovědi počasí. Ano, opravdu říkám předpovědi počasí, ty jsou důležité zejména pro energetické společnosti, které musí na základě nich predikovat, jaká bude topná sezóna.
A proč by tedy měl chtít zákazník zrovna řešení KPCS ATOM? Odpověď je v zásadě jednoduchá, ale zkusím vypíchnout pár základních věcí na otázku „Proč“.
- Pokud nasadíte monitoring nebo SIEM vlastními silami, bude implementace trvat dlouho, systém bude dodávat spousty varování, které po nějaké době končí stejně v e-mailovém koši a řešení problému nastává až ve chvíli, kdy systém přestane fungovat. Potom se teprve někdo dívá do logů a řeší problém.
- Platforma KPCS ATOM je okamžitě připravena k použití, informace jsou již očištěny o False Positive hlášení. Vývoj a ladění systému je prováděno neustále na straně KPCS CZ, a to těmi nejlepšími z nejlepších pro dané technologie.
- Pokud nasadíte monitoring v běžném slova smyslu, získáváte další systém, o který se musí někdo starat, musí jej udržovat, musí jej pravidelně sledovat. Máte jen další konzoli, ve které máte „nějaké“ informace.
- KPCS ATOM si dává za cíl sjednotit všechny vaše konzole do jediného operačního centra, které vám nabídne velmi rychlé možnosti pro reakci na vzniklý problém. Zároveň jste schopni jej odstranit dříve, než bude mít fatální dopad na vaši infrastrukturu nebo poskytované služby.
- Pokud provozujete Linux a Windows prostředí, případně VMware a Hyper-V virtualizační platformu, máte monitoring pravděpodobně na více platformách. Pro Linux to bude nejčastěji nástroj na bázi Nagion (Zabbix). Pro Windows se nabízí například System Center Operations Manager a pro virtualizační platformu vRealize, Veeam nebo třeba SolarWinds apod.
- KPCS ATOM umí propojit a nastavit alerting nad všemi prostředími komplexně, a to jak Windows, Linux, VMware, Hyper-V, atd. a tudíž i automatizační pravidla je možno řešit na základě alertů vzniklých v systému na globální úrovni. Toto je velkou výhodou, jelikož máte pouze jeden management pro řízení všech alertů.
- Pokud máte vlastní monitoring nebo bezpečnostní centrum, musíte vždy počítat s nutností alokace kapacit, které budou zařízení kontrolovat a upravovat pro potřeby společnosti.
- KPCS ATOM je vyvíjen dvěma základními streamy, a to ze strany KPCS CZ, a ze strany společnosti Microsoft. Všechna řešení jsou nejprve nasazována do Private Preview, potom přechází do Public Preview, a následně jsou zařazena pod jednotlivé produkty (dle licence).
Poté co jsou splněny veškeré požadavky pro správný chod produktu KPCS ATOM, je vám v pravidelných intervalech zasílán report a vaše prostředí je ze strany KPCS CZ sledováno. Report může sloužit jako výstupní zpráva o zdraví vašeho prostředí, poskytuje globální pohled včetně doporučení ze strany KPCS CZ a Microsoft, případně nabízí návrhy na eliminaci rizik. Ve vyšším plánu máte přístup přímo do konzole Operations Management Suite a máte možnost vytvořit si na základě přednastavených dotazů vlastní dashboard pro vaše Operations Centrum. Případně je možno, vám interaktivitu doručit pomocí platformy PowerBI, na kterou je celá platforma napojena.
Nyní se pojďme podívat na některá řešení, která je možno v rámci platformy KPCS ATOM využít, a která můžete mít k dispozici.
Jedno z řešení vám nabízí možnost sledovat kdo se přihlašuje na servery, zda se mu tato činnost povedla, či nikoliv, a to na úrovni například RDP. Další možností může být sledování i přihlášení pomocí SSH nebo zadání informací do přihlašovacího formuláře webové služby.
Důležitou informací je i aktuální konfigurace vašich serverů a získání informace o nastavených parametrech serverů, instalovaných rolích/funkcích a instalovaném software na serverech. Z tohoto důvodu zde existuje i řešení pro Assessment v rámci monitorovaných zařízení nebo Performance monitoring jednotlivých serverů.
Daniel Hejda | Senior konzultant at KPCS, P-Seller at Microsoft and CTO at CMPG