The post Prevencija umesto reakcije appeared first on Business&IT.

The post Bekap za Microsoft 365 – opcija ili obaveza? appeared first on Business&IT.

The post Brz i jasan prikaz zdravlja vaših aplikacija appeared first on Business&IT.

Sve ste uradili kako treba. Uložili ste vreme i sredstva u projektovanje i izgradnju data centra, vodili ste računa da sve bude redundantno i po najboljim preporukama. Da biste obezbedili visokoraspoložive servise potrebno je da imate visokoraspoloživu infrastrukturu, a ona se sastoji od klastera servera, redundantnih kontrolera na storidž sistemima, stekovane mrežne opreme, odvojenih grana za napajanje, UPS sistema, generatora… Takođe, ne smemo zaboraviti ni redundantne internet konekcije, koje po pravilu moraju biti od različitih internet provajdera. Drugi pristup je da vaše poslovanje i podatke poverite jednom od cloud provajdera, koji će onda biti odgovoran za dostupnost servisa i moraće da ispuni dogovoreni SLA (Service Level Agreement). Da li je to dovoljno? Nažalost, u mnogo slučajeva pokazalo se da nije.

Bilo da ste izgradili svoj data centar, obezbedili disaster recovery lokaciju koja može da preuzme poslovanje u slučaju havarije na primarnom sajtu ili ste se odlučili za cloud varijantu, jedno je sigurno: na Marfijev zakon uvek možete računati! Kao što zakon kaže: Sve što može da krene naopako, krenuće naopako. Protiv ove pojave možemo se boriti konstantnim nadgledanjem sistema i pravovremenim reakcijama.

U slučaju da je vaš sistem pod stalnim nadzorom, u velikom broju slučajeva možete da sprečite prekid u radu ili da umnogome ublažite posledice neke havarije. Pod stalnim nadzorom ne podrazumevamo pasivno obaveštavanje administratora o problemu koji je nastao (npr. slanje elektronske poruke u slučaju otkazivanja neke komponente), već monitorig centar koji radi 24/7 sa obučenim inženjerima koji mogu da preduzmu potrebne akcije kako bi održali sistem stabilnim. Postavlja se pitanje: zašto nije dovoljno da vas administratori obaveste o problemu i da pristupe rešavanju? Odgovor je jednostavan: za reakciju su nekada presudni minuti. Ovo se posebno odnosi na cloud provajdere, koji da bi ispunili visok SLA i izbegli plaćanje kazni ili raskid ugovora moraju da pravovremeno reaguju. Još jedna situacija koja se u praksi često dešava jeste da u slučaju problema upravo e-mail servis ne bude dostupan, tako da vas ne može ni obavestiti o nastaloj situaciji.

Postavka monitoring centra

Vratimo se na monitoring centar. Kao i u prethodnom slučaju, i ovde morate da donesete odluku: ili ćete napraviti svoj monitoring centar sa svim potrebnim komponentama ili ćete nadzor svog sistema prepustiti nekoj kompaniji. Većini kompanija potrebno je da imaju ljude koji poznaju sistem i poslovanje kompanije koje nadziru, i u tom slučaju će mnogo brže ustanoviti u čemu je problem i kako ga najefikasnije rešiti. COMING je prepoznao ovu potrebu i pre par meseci započeo projekat uspostavljanja novog monitoring centra, izgrađenog po najnovijim standardima. Ovaj monitoring centar pravi se prvenstveno za potrebe cloud infrastrukture, kao i za interne potrebe COMING-a i Quantum Automarketa.

Tipična postavka monitoring centra sastoji se od velikog video-zida i radnih stolova sa radnim stanicama ispred njega. Radna mesta namenjena su za dežurne inženjere, koji aktivno prate parametre sistema u realnom vremenu. Video-zid je centralna tačka monitoring centra i od esencijalnog značaja je da on bude kvalitetno izrađen i da svojim dimenzijama zadovoljava potrebe prikaza svih relevantnih informacija odjednom. U današnje vreme video-zid se najčešće sastoji od više televizora HD ili 4K rezolucije. Jedan od uslova koje televizor treba da ispuni je nepostojanje spoljnih ivica, tj. okvira oko ekrana. Ovo je veoma važno zbog same funkcije video-zida, da na više ekrana prikazuje jedan uvećan sadržaj i da se mogu praviti proizvoljne dimenzije sadržaja koji se prikazuju. Druga važna stvar u vezi sa televizorima jeste da budu namenjeni za neprekidan rad. Ovo znači da kućne varijante ne dolaze u obzir, iz dva razloga. Prvi razlog je mnogo kraći životni vek televizora koji radi 24/7, a nije predviđen za to, a drugi je oštećenje ekrana zbog prikaza nepomičnih delova slike (ranije veoma izraženo kod plazma televizora). Imajući ovo u vidu, ozbiljniji proizvođači imaju posebne serije koje su namenjene upravo ovakvim uslovima, što za posledicu ima i osetno veću cenu po uređaju. U slučaju COMING monitoring centra odlučili smo se za matricu 3×3 Samsung televizora koja zauzima ceo jedan zid.

Dolazimo do sledećeg problema, a to je prikaz sadržaja na ekranima. Najjednostavnije rešenje je da jedan ili dva televizora budu prikačeni na jedan računar, ali to nije optimalno i ne dozvoljava dinamičnu promenu prikaza sadržaja. Rešenje koje je COMING primenio, u saradnji sa svojim partnerom iz Izraela, jeste softver Userful. Ovo rešenje podrazumeva da je na svaki televizor sa zadnje strane priključen tanki klijent, koji je do televizora povezan HDMI kablom, a na upravljački server preko mreže gigabitnom konekcijom. Ovo nam omogućuje da sa jedne web konzole upravljamo celim video-zidom i definišemo šta želimo da se prikazuje na kojim ekranima ili delovima ekrana.

Pomoću konzole možemo definisati i rotaciju video-sadržaja u određenom vremenskom intervalu, tako da ceo video-zid dobija na dinamici, a vi možete prikazati više sadržaja bez intervencije dežurnih inženjera.

Upravljanje nadzorom

Kada smo ispunili sve uslove za udoban prikaz slike u našem monitoring centru, dolazimo do najbitnije stavke, a to je sadržaj. Sam sadržaj ekrana mora biti strogo definisan i prilagođen potrebama svakog sistema posebno. Neki od najčešćih su zauzeće linkova i stanje mrežnih uređaja na lokaciji, zauzeće kompjuterskih resursa (CPU, RAM memorija), zauzeće diskova i kašnjenje storidž sistema, temperatura komponenata, ambijentalna temperatura DC-a, video-nadzor DC-a itd. Jedan od ekrana može biti dedikovan i tiketing sistemu, gde bi se pratilo stanje i broj otvorenih zahteva. Broj televizora brzo postaje nedovoljan da prikaže sve potrebne informacije, zato pomenuta rotacija dolazi do izražaja.

Kao što možemo videti iz osnovnih zahteva jednog monitoring centra, ne postoji jedan softver koji bi mogao da prikuplja ove informacije. Pored sveg hardvera i softvera za upravljanje video-zidom, potrebno je nabaviti i namenski softver koji može prikupiti i po potrebi logovati informacije. Jedan od najpoznatijih proizvoda na tržištu je Paessler PRTG, veoma moćan alat koji vam dozvoljava prikupljanje i prikaz velikog broja informacija sa sistema. Samo licenciranje PRTG-a vrši se po broju senzora, a omogućena je i besplatna verzija do 100 senzora.

S obzirom da je COMING VMware partner i da je naša infrastruktura zasnovana na vSphere platformi, imamo mogućnost da iskoristimo neke od alata koji nam daju detaljan prikaz sistema. U pitanju je par proizvoda iz vRealize grupe, kao što su vRealize Network Insight, vRealize Operation Manager i vRealize Log Insight. Pored prikaza u realnom vremenu i definisanja alarma u sistemu, važna komponenta je prikupljanje logova, koji vam mogu pomoći da rešite problem i ustanovite njegov uzrok. Dobra praksa pokazala je da pored svega navedenog treba razmišljati i o rezervnoj varijanti obeštavanja o problemima. U tom slučaju se većina monitoring sistema oslanja na GSM SMS gateway, koji će uz pomoć skripti proveravati najkritičnije servise (e-mail servis, temperatura, internet link) i potpuno drugom tehnologijom obaveštavati inženjere o statusu.

I pored svega navedenog, u većini slučajeva postoji „dobitna kombinacija“, koja, iako neverovatna, može oboriti ceo sistem ili njegov deo, jer gospodin Marfi nikada ne spava. Uz implementaciju 24/7 monitoring sistema ni mi ne spavamo, a onda borba postaje mnogo ravnopravnija.

Nebojša Lončarević , COMING

The post U BORBI PROTIV MARFIJA appeared first on Business&IT.

Svakoga dana kreira se na hiljade novih malicioznih kodova i napadači uspevaju da na najrazličitije načine zaobiđu sigurnosne barijere i upadnu u kompanijske sisteme. Stoga je današnje poslovanje nemoguće zamisliti bez adekvatne zaštite podataka. Kompletan uvid u stanje mreže znatno smanjuje rizike od napada jer ranjivosti sistema postaju jasno vidljive. Vectra pruža potpun pregled stanja mreže, detektuje aktivne napade i brzo reaguje na njih.

Vectra je svetski lider u primeni veštačke inteligencije u detekciji i reagovanju na cyber napade u cloud-u, data centrima i enterprise okruženjima u realnom vremenu. Sedište kompanije Vectra je u Kaliforniji, u gradu San Hozeu, ekonomskom, kulturnom i političkom centru Silicijumske doline. Njihov tim čine „white hats“ (popularni etični hakeri), istraživači ranjivosti sistema, specijalisti za analizu i obradu podataka, inženjeri za zaštitu mreže i dizajneri korisničkog interfejsa. Oni su zajedno kreirali Cognito platformu.

Cognito platforma

Cognito platforma prikuplja i skladišti mrežne metapodatke (podatke o podacima), kombinuje ih sa podacima koje obezbeđuje mašinsko učenje (machine learning) i na osnovu njih adekvatno reaguje. Ova platforma se sastoji iz tri dela:

• Cognito Stream
• Cognito Recall
• Cognito Detect

Cognito Stream pruža uvid u celokupan mrežni saobraćaj. Na osnovu ovog uvida izdvaja metapodatke i skladišti ih lokalno ili u SIEM. Te podatke koriste ostale dve komponente za istraživanje i analizu. Svaki uređaj na mreži identifikuje se i prati (serveri, desktop računari, laptopovi, štampači, IoT uređaji).

Cognito Recall zadužen je za threat hunting, odnosno za traženje ranjivosti u sistemu. Vectra omogućava čuvanje metapodataka, a na osnovu sačuvanih podataka može se vršiti retrospektivna forenzika i tako detektovati ranjivosti u sistemu. Cognito Detect detektuje cyber napade u realnom vremenu. Automatizuje manuelne procese i konsoliduje hiljade događaja da bi odredio hostove koji predstavljaju najveću pretnju.

Kako Cognito radi?

Zadatak platforme je da sakupi podatke, analizira ih i na osnovu analize adekvatno reaguje. Cognito monitoriše i izdvaja relevantne podatke iz cloud-a, data centara i enterprise okruženja. Ono po čemu je Vectra jedinstvena jeste da se saobraćaj ne vezuje za IP adresu, već za host. Ovo je važna karakteristika za retrospektivno istraživanje. Ukoliko host promeni IP adresu, Cognito Recall će moći tačno da veže host za detektovanu pretnju. Nakon izdvajanja podataka, brišu se njihove redundantne kopije i od njih se kreiraju metapodaci. Platforma primenjuje veštačku inteligenciju i algoritme mašinskog učenja kako bi poboljšala rezultate u otkrivanju pretnji i napada.

Istraživači kompanije Vectra razvili su i konstanto prilagođavaju modele ponašanja. Oni služe da obogate i dopune izdvojene metapodatke ključnim sigurnosnim atributima, kao što su sigurnosni obrasci, ponašanje napadača i dr. Pored toga, razvijen je i model ponašanja za automatsku detekciju cyber napada u realnom vremenu, pre nego što oni nanesu štetu. Detektovane pretnje se automatski kategorišu u nivoe po stepenu rizika, tako da se prvo reaguje na najrizičnije pretnje.

Use cases

U kompanijama se ponekad dešava da danima ili čak nedeljama uopšte ne znaju da imaju malver. Zbog toga je dobra praksa čuvati podatke, da bi se oni kasnije mogli analizirati i utvrditi gde je bila ranjivost u sistemu i koje su moguće pretnje. Vectra omogućava da se metapodaci i logovi čuvaju neograničeno dugo, upravo zbog potencijalnih budućih analiza i istraživanja. Cognito Recall može uspešno retrospektivno da sagleda pretnje i na osnovu toga otkrije ranjivosti u sistemu. Takođe, Recall aktivno traži ranjivosti u sistemu, pružajući inteligentnu istragu bilo kog uređaja.

Za kompanije je od ključnog značaja da brzo dobiju konkretne informacije, a da pri tome ulože što manje resursa. Cognito Detect omogućava da se iz niza događaja koji su se desili pilikom napada izdvoji početna tačka, zarad dublje istrage ili momentalnog reagovanja. Cognito Detect uspešno identifikuje i razotkriva skrivene tunele, koji se sve češće koriste za prikrivanje umetnutog sadržaja u okviru regularnih protokola. To su tuneli koji zaobilaze sigurnosne prepreke, uključujući IDS i IPS sisteme, kao i firewall. Zbog toga ih je teško detektovati i često dugo ne budu otkriveni. Detect je sposoban da otkrije rootkite, maliciozni softver koji ostavlja zadnji ulaz preko kojeg napadač može da uđe u sistem. On se teško detektuje zato što uspeva da zaobiđe ili čak „sruši“ softver koji pokušava da ga „ulovi“.

Integracija sa drugim security tehnologijama

Vectra se uspešno integriše sa ostalim cyber security tehnologijama. Endpoint sigurnosna rešenja dopunjavaju Cognito platformu informacijama kao što su ime mašine, operativni sistem koji je instaliran na mašini i sl. S druge strane, rešenje se može integrisati i sa firewall uređajima, tako da kada platforma detektuje da je host zaražen, ona šalje firewall-u njegovu IP adresu kako bi ga on izolovao. Ovim se postiže trenutna automatska reakcija na pretnju, koja sprečava dalju zloupotrebu zaraženog hosta (eksfiltracija podataka, lateralno skeniranje i zaraza drugih sistema itd.), što administratoru daje vreme da na siguran način istraži detektovanu pretnju i očisti zaraženi sistem.

Vectra je usklađena sa nekim od najbitnijih regulacionih zakona koji su vezani za zaštitu privatnosti zaposlenih i primenu dobrih sigurnosnih praksi, kao što su GDPR, NIST, FFIEC, DFARS, MITRE ATT&CK i dr.

Za kraj

U vreme kada do nas skoro svakoga dana stižu vesti o tome da je neka kompanija postala žrtva krađe podataka ili zaraze ucenjivačkim malverom, treba preduzeti adekvatne korake da se rizici smanje. Kvalitetan monitoring sistema teško je ostvariti i on zahteva iskusne inženjere, koji će moći da iz logova koje šalju najrazličitiji uređaji detektuju zlonamerne aktivnosti. Monitoring uređaji poput SIEM-a trebalo bi da olakšaju ovaj posao, ali njih je uvek problematično kvalitetno konfigurisati tako da korelacijom različitih događaja daju kompletnu sliku. Glavni problem je to što jedan šablon pravila ne može odgovarati svim kompanijama. Čak i u slučaju da se pretnja detektuje, od inženjera se zahteva da utroše dosta vremena da bi analizirali okolnosti pod kojima je do pretnje došlo, kao i obim zaraze.

Upravo ovde postaju očigledne prednosti rešenja koje nudi Vectra. Za svaku pretnju koja se detektuje postoji spisak indikatora koji ukazuju na to zašto je događaj označen kao pretnja. Uz pomoć markiranja događaja kao visoko/manje kritičnih administratori mogu brzo da odrede prioritete rešavanja. Uz pomoć machine learning i deep learning algoritama smanjeno je vreme koje je potrebno za detekciju pretnji, a administratori mogu biti sigurni šta se tačno odigralo u njihovom sistemu i da su uspešno uklonili sve pretnje.

Strahinja Soskić , COMING

The post VECTRA: INTELIGENTNI MONITORING MREŽE appeared first on Business&IT.

Krajem prošlog veka otpočeo je ubrzan razvoj softvera i hardvera za monitoring IT sistema, pre svega IT infrastrukture. Glavni razlog bio je, svakako, sve veći uticaj poslovnih aplikacija i baza podataka na proizvodnju i logistiku u kompanijama koje su ubrzano uvodile ERP sisteme, kao i dinamičan razvoj i usložnjavanje računarskih mreža u kojima su se te poslovne aplikacije izvršavale. Računarski sistemi su „izašli iz podruma“, postali dostupni velikom broju korisnika, koji su počeli razmenjivati dokumente, a u sve većem broju kompanija poslovne transakcije počele su se izvršavati u realnom vremenu. Paralelno, korisnici su postajali „anonimni“, sve veći broj aplikacija dozvoljavao je pristup sa interneta, ubrzano se razvijao e-komerc.

Sasvim je prirodno da su kompanije želele da imaju kontrolu nad svim poslovnim događajima u svojim sistemima. Korisnici i poslovni procesi postali su veoma osetljivi na otkazivanje rada pojedinih delova IT sistema i eventualni gubitak podataka, pa je softver za monitoring počeo da dobija sve značajnije mesto u IT svetu.

Kako se fokus sa hardvera pomerao na korisnike i poslovne aplikacije, otpočeo je razvoj softvera za monitoring aplikacija i baza podataka. Ova grupa softvera omogućila nam je tzv. user experience, mogućnost da vidimo kako se naš IT sistem ponaša iz ugla korisnika. Ako bismo imali još i korelaciju sa infrastrukturom, bilo bi moguće dobiti pouzdane informacije o ponašanju našeg sistema.

Ova priča dostigla je svoj zenit početkom 21. veka. Situacija u Srbiji nije se mnogo razlikovala od one u razvijenijem delu IT sveta. Sa razvojem interneta postale su široko dostupne informacije o proizvodima za monitoring, kojih je bilo sve više, pa se u prvoj dekadi 21. veka sistemi za monitoring pojedinačnih IT infrastruktura ubrzano implementiraju i kod nas.

Osobenost uvođenja sistema za monitoring kod nas je da su inicijatori bili IT sektori u preduzećima, da bi olakšali svoj posao, dok menadžment nije imao suštinska saznanja o toj vrsti softvera i na sve je gledao kao na dodatni trošak. Kao rezultat takvih trendova kod nas i danas imamo prilično neuređeno tržište sistema za monitoring, a zbog želje da se troškovi smanje u mnogim preduzećima uvedeni su neintegrisani sistemi, razni open source programi ili besplatne verzije komercijalnog softvera sa ograničenim mogućnostima.

Upravljivost, kontrola, sigurnost

Ipak, razvoj IT industrije nije čekao i neke važne pojave u IT svetu nisu mimoišle ni nas. Desila se virtuelizacija IT infrastrukture, desio se IT outsourcing, desio se cloud. Sve pobrojano bilo je posledica težnje kompanija da povećaju profitabilnost i efikasnost, a da istovremeno obezbede sigurnost, upravljivost i kontrolu nad svim servisima koje koriste.

Sistemi su postajali sve kompleksniji, a njihovo uvođenje i održavanje sve složenije. U takvoj situaciji moderan sistem za monitoring treba da omogući:

• proaktivno delovanje
• kontrolu troškova održavanja IT sistema
• predvidljivost investicija (pomoć u izradi budžeta)
• kontrolu izvršavanja ugovora o outsourcing-u usluga, aplikacija, infrastrukture
• vezu sa sistemom za tiketing
• vezu sa sistemom za asset management
• ekspertizu o svim značajnim (kritičnim) dešavanjima u IT okruženju kompanije
• bazu znanja o našem IT sistemu, sa posebnim osvrtom na aspekt bezbednosti
• auditing.

Već na prvi pogled jasno je da se ovi zahtevi ne mogu ispuniti jednim „parčetom“ softvera ili hardvera. Potreban je organizovan pristup problemu, dosta znanja i korišćenje više različitih sistema softvera i hardvera da bismo došli do rezultata. U nastavku biće pokazani neki delovi sistema za monitoring koje COMING koristi i nudi svojim korisnicima kao uslugu, a koji daju odgovore na neke od zahteva koje smo postavili.

Runecast Analyzer

Radi se o kombinacija softvera i usluge koja se bazira na ekspertizi timova COMING-a i Runecast-a. Softver je namenjen inspekciji i monitoringu rada VMware okruženja, sa posebnim osvrtom na bezbednost. Kao svi genijalni proizvodi, i ovaj je krajnje jednostavan za upotrebu. Postoji mogućnost offline i online rada, kao i cloud usluge. Pored svih najboljih praksi koje su preuzete od VMware-a, tu je i usluga ekspertize koju pruža COMING Cloud tim.

Neke od mogućnosti Runecast-a:

• operativni i bezbednosni izveštaji u realnom vremenu
• nadgledanje i rešavanje problema sa virtuelnom infrastrukturom
• napredna analiza – platforma pokretana mašinskim učenjem
• laka instalacija – dostupan je OVA
• offline rad – offline storage ograničava izlaganje interne mreže i resursa na internet
• redovni update sistema.

Runecast Analizer se lako implementira u sva VMware okruženja, nezavisno od njihove veličine.

Blue Medora

Nov pristup monitoringu sistema i integracija sa VMware, SAP, Microsoft, Oracle alatima čini ovu firmu posebno inovativnom. O svim proizvodima kompanije Blue Medora možete čitati na kompanijskom sajtu (https://bluemedora.com), a ovde ćemo se pozabaviti jednim od brojnih dodataka za VMware vRealize pod nazivom VMware vRealize Operations Management Pack for SAP. Uz pomoć ovog dodatka moguće je realizovati kompletan monitoring nad SAP sistemima koji su virtuelizovani u VMware okruženju.

Uz Blue Medora vRealize Operations Management Pack for SAP moguće je detaljno analizirati SAP radno okruženje, kao i opterećenja sistema u toku rada. Na taj način postižemo bolje performanse aplikacija, sa mogućnošću da iskoristimo prediktivnu analitiku za bolje planiranje kapaciteta, kao i seriju predefinisanih pogleda i izveštaja koji nam pružaju detalje o radu SAP-a na virtuelnom nivou.

Pored toga, paket za upravljanje karakteriše mapiranje veza između komponenata SAP sistema i komponenata virtuelne infrastrukture, što nam omogućava da jasno razumemo šta bi moglo dovesti do problema. Takođe, to ubrzava pronalaženja uzroka problema i osigurava da krajnji korisnici ne trpe kada se oni pojave. U kombinaciji sa detaljnim upozorenjima i obaveštenjima, uobičajeno spor proces rešavanja problema transformiše se u brzo pronalaženje glavnih uzroka problema i njihovo otklanjanje tako da nema ponavljanja istih grešaka u budućnosti.

Više o rešenjima koja su pomenuta u tekstu možete saznati u direktnoj komunikaciji sa zaposlenima u COMING-u. Uz to, materijali u vezi sa ovim rešenjima prezentovani na 15. COMING IT konferenciji dostupni su na adresi www.konferencija.coming.rs. Za sva ostala praktična iskustva u radu sa pomenutim rešenjima možete nas kontaktirati na e-mail ili direktno. Srećan monitoring!

Slobodan Malbašić

The post MONITORING IT OKRUŽENJA appeared first on Business&IT.