ComCERT SA oferuje usługę monitorowania bezpieczeństwa infrastruktury teleinformatycznej organizacji. Usługa jest realizowana za pomocą zautomatyzowanego, unikatowego systemu CATS (ComCERT Advanced Tool for Security).

Unikatowość i duża wartość usługi polega na tym, że żaden z jej modułów nie wymaga jakiejkolwiek znajomości wewnętrznych systemów Klienta (poza listą monitorowanych adresów oraz listą wykorzystywanych systemów operacyjnych i aplikacji). Nie wymaga również instalacji u Klienta jakichkolwiek rozwiązań sprzętowych ani software’owych, co czyni ją całkowicie bezpieczną i godną zaufania ze strony Klienta oraz w praktyce bezobsługową.

Usługa składa się z 3 modułów:

  1. Reagowanie na naruszenia bezpieczeństwa
  2. Monitorowanie słabości systemowych
  3. Self-test bezpieczeństwa wskazanych systemów

MODUŁ REAGOWANIA NA INCYDENTY

Jego wartość polega na tym, że po podaniu przez Klienta puli jego adresów IP, system stale monitoruje, czy któryś z tych adresów nie stał się celem skutecznego ataku, co w praktyce czyni to rozwiązanie zdecydowanie bardziej efektywnym w stosunku do systemów typu IDS, redukując do zupełnego minimum fałszywe ostrzeżenia (tzw. false positive i false negative). Taki atak może być zupełnie niezauważalny. a nawet nieodczuwalny przez Klienta. a mimo to może być skuteczny. Konsekwencje takiego ataku mogą być odczuwalne po upływie długiego czasu. System CATS reaguje natychmiast, generując raport informujący o incydencie (ataku, zagrożeniu), podając jego podstawowe cechy oraz zalecając konkretne działania w celu obrony i usunięcia skutków ataku. Setki tysięcy komputerów w Polsce są celami skutecznych ataków. mimo stosowania przez ich właścicieli różnego rodzaju systemów bezpieczeństwa. ComCERT dysponuje na bieżąco uaktualnianą bazą danych kilkuset tysięcy komputerów zaatakowanych (adresów IP). Jest to znacząca część wszystkich komputerów w Polsce podłączonych bezpośrednio do sieci. Dane, które zasilają system CATS, pochodzą z wielu źródeł i są efektem monitorowania sieci wykorzystywanych do prowadzenia działalności przestępczej w Internecie. w szczególności sieci tworzących struktury tzw. botnetów. czyli komputerów zainfekowanych złośliwym oprogramowaniem i następnie wykorzystywanych w różnego rodzaju sieciowej działalności przestępczej, np.: do wykradania haseł i poufnej korespondencji, rozsyłania spamu. rozsyłania i utrzymywania serwerów zawierających nielegalne treści (przede wszystkim pornografię dziecięcą), przeprowadzania ataków typu DDoS na prywatne i publiczne serwisy internetowe. wszystkie te aktywności w sposób naturalny mogą spowodować poważne konsekwencje dla jego właścicieli. Z prowadzonych badań wynika, że średni czas wykorzystywania komputera do powyższych celów to kilka miesięcy. Bazy danych CATS są uaktualniane w trybie ciągłym (w zależności od źródła danych – od kilkudziesięciu razy dziennie do raz na kilka dni) co daje szanse na praktycznie natychmiastową reakcję.

MONITOWANIE SŁABOŚCI SYSTEMOWYCH

W ramach działania systemu CATS Klient może otrzymywać ostrzeżenia o słabościach jego systemu. Usługa polega na tym, że Klient wskazuje systemy i aplikacje używane przez siebie. natomiast CATS sprawdza ich podatność na ataki sieciowe, na podstawie informacji o wykrytych zagrożeniach, czyli o lukach w sprzęcie i oprogramowaniu dostrzeżonych przez ich producentów oraz przez środowiska poszukujące takich słabości (lub w wyniku własnych działań ComCERT-u albo wymiany informacji z innymi CERT-ami). W wyniku konfrontacji tych informacji Klient otrzymuje tylko informacje dla niego istotne – czyli te, które dotyczą bezpieczeństwa jego sieci.

SELF-TEST BEZPIECZEŃSTWA ADRESU IP

Usługa ta polega na umożliwieniu Klientowi wykonywania samodzielnego testu penetracyjnego adresów IP w uzgodnione] w umowie liczby i częstotliwości. W ramach tej usługi Klient może przeprowadzać test penetracyjny typu black-box interesujących go adresów IP. Poza standardowym testem penetracyjnym (oferowanym przez wiele firm) CATS sprawdza również dany adres IP w swoich bazach adresów, które mogły być celem ataku. Naturalnym uzupełnieniem tej usługi jest usługa reagowania na zagrożenia w sieci i wsparcia Klienta. Możliwość korzystania z usług wykrywania zagrożeń oraz wsparcia w obronie przed nimi i usuwania ich konsekwencji pozwala na zbudowanie kompletnego systemu bezpieczeństwa teleinformatycznego, bez których to usług bezpieczeństwo na odpowiednio wysokim poziomie nie może być zapewnione.