Telekomunikační infrastruktura roste, přibývá zařízení, roste objem provozu. S tím i počet útoků, které projdou bez povšimnutí. Směrnice NIS2 poprvé zákonem vyžaduje to, co bezpečnostní odborníci říkají léta: kdo nevidí do vlastní sítě, nemůže ji chránit. FlowPRO NG je české řešení, které ukazuje jak na to. Od síťových toků po umělou inteligenci.

Provoz roste, přehled klesá

Průměrná firemní síť dnes obsluhuje násobně více zařízení než před pěti lety. IoT senzory, IP telefony, přístupové body, hybridní cloudové propojení. Každé zařízení generuje provoz a každé je potenciálním vstupním bodem pro útočníka. A většina organizací nemá nejmenší tušení, co všechno v jejich síti komunikuje.

Není to problém technologií. Firewally, antiviry i endpoint ochrana dnes fungují spolehlivě. Problém je v tom, co mezi nimi chybí, tedy v celkovém pohledu na síťovou komunikaci. Kdo s kým mluví, jak často, jakým protokolem a v jakém objemu. Právě tyto informace odhalí anomálie, které bodová ochrana přehlédne.

Podle dat Eurostatu nemá 43 % evropských podniků s více než 50 zaměstnanci zavedený žádný systém centrálního logování. A bez logů je jakákoliv zpětná analýza incidentu nemožná.

Požadavky NIS2 jsou rozumné

Směrnice NIS2 bývá vnímána jako další byrokratická povinnost z Bruselu. Při bližším pohledu ale její požadavky kopírují to, co bezpečnostní architekti doporučují roky.

  • Kompletní evidence aktiv. Organizace musí vědět, jaká zařízení provozuje, v jakém stavu jsou a kdo za ně odpovídá.
    Pro telekomunikační firmy a poskytovatele připojení to znamená stovky až tisíce aktivních prvků. Každý z nich musí být v evidenci.
  • Kontinuální monitoring. Nestačí jednorázový audit. NIS2 vyžaduje průběžný dohled nad infrastrukturou, schopnost detekovat bezpečnostní události v reálném čase a uchovávat záznamy pro zpětnou analýzu.
  • Řízení incidentů. Každý bezpečnostní incident musí být zdokumentován, vyhodnocen a reportován. U závažných incidentů běží zákonná lhůta 24 hodin pro první hlášení. To je bez automatizace v praxi obtížně splnitelné.
  • Bezpečnost dodavatelského řetězce.Organizace odpovídá i za třetí strany, které mají přístup k její infrastruktuře. To je oblast, kde většina firem v českém prostředí výrazně zaostává.

Analýza síťových toků je základ

Logy zachytí, co se děje na koncových zařízeních. Ale komunikaci mezi nimi, kdo kam posílá data, v jakém objemu a přes jaké porty, toodhalí jedině analýza síťových toků. NetFlow, sFlow a IPFIX jsou standardy, které síťová zařízení podporují nativně. Router nebo switch exportuje metadata o každém spojení:

  • zdrojovou a cílovou adresu,
  • porty,
  • protokol,
  • objem přenesených dat,
  • časové razítko.

Bez obsahu komunikace, ale s kompletním přehledem o tom, kdo s kým a jak komunikoval. Pro operátory a poskytovatele služeb je to klíčový zdroj dat. Umožňuje odhalit:

  • laterální pohyb útočníka v síti,
  • neautorizovanou komunikaci s externími servery,
  • volumetrické anomálie typické pro DDoS,
  • data exfiltraci, tedy pomalé úniky dat pod prahem běžné detekce.

Přesto je nativní NetFlow analýza v segmentu řešení dostupných menším a středním firmám vzácností. Většina SIEM platforem síťové toky buď ignoruje, nebo je nabízí jako drahý doplněk. FlowPRO NG ji má jako integrální součást. Od základní verze, s plnou analytickou nadstavbou.

Jeden server, kompletní platforma

FlowPRO NG je česká bezpečnostní platforma, která kombinuje funkce, jež organizace typicky řeší třemi až pěti oddělenými nástroji.

SIEM a centrální logování

  • Syslog
  • Windows Events
  • Fleet agenti

Konsolidace logů z heterogenní infrastruktury do jednoho fulltextově prohledávatelného úložiště. Bez tohoto základu nelze plnit požadavky NIS2 na uchovávání a zpětnou analýzu bezpečnostních událostí.

Síťová analytika

Nativní zpracování NetFlow/IPFIX dat s vizualizací komunikačních vzorců, detekcí anomálií a dlouhodobou retencí. Pro telekomunikační prostředí je zásadní, že síťové toky jsou často jediný zdroj dat o komunikaci mezi segmenty, které nemají vlastní agenty.

Automatická inventarizace

Zařízení se registrují automaticky, platforma sleduje:

  • stav zařízení,
  • systémové metriky,
  • verze software.

Evidence aktiv tak přestává být statický Excel a stává se živým přehledem infrastruktury.

Detekční aparát

Zahrnuje:

  • IDS pravidla na bázi Suricata,
  • threat Intelligence feedy,
  • korelace s MITRE ATT&CK frameworkem,
  • CVE monitoring s EPSS skóre.

Součástí je také honeypot modul se 17 typy návnad. Od SSH přes MQTT až po průmyslové protokoly.

Compliance engine

Šest compliance frameworků včetně NIS2, automatizované kontroly stavu plnění a reporty pro auditory. Organizace vidí v reálném čase, kde má mezery a co je potřeba řešit.

Automatizované reakce

SOAR playbooks umožňují definovat automatické reakce na bezpečnostní události:

  • notifikace,
  • eskalace,
  • webhook integrace.

Funkce, kterou většina konkurenčních řešení v této cenové kategorii nenabízí.

Kde přichází ke slovu umělá inteligence

AI v kybernetické bezpečnosti má reálný potenciál. Avšak jen tam kde má nad čím pracovat.

Vyhodnotit incident, korelovat síťový tok s událostí z logu, posoudit riziko konkrétní zranitelnosti v kontextu infrastruktury zákazníka, to vše AI dokáže. Za podmínky, že má přístup ke kompletním, strukturovaným datům z jednoho místa.

Proto je důležité správné pořadí:

  1. Centrální logování
  2. Síťová analytika
  3. Evidence aktiv
  4. Až poté AI nad daty

Organizace, která nasadí AI nad roztříštěnými daty ve třech oddělených systémech, získá jen drahého chatbota. FlowPRO NG tento přístup reflektuje. AI modul staví nad kompletními daty platformy:

  • compliance dotazy v přirozeném jazyce,
  • automatické vyhodnocování incidentů,
  • korelační analýza napříč logy i síťovými toky.

FlowPro NG běží na straně zákazníka

Celá platforma běží on-premise. Na jediném serveru zákazníka. Pro organizace v telekomunikacích, veřejné správě nebo zdravotnictví, kde bezpečnostní data nesmí opustit perimetr, je to často zásadní požadavek.

Reálné nasazení, žádný pilotní projekt

Platforma je dostupná jako běžný linuxový balíček. Instalace na dedikovaný server zabere méně než hodinu, včetně konfigurace pro:

  • log management,
  • síťovou analytiku,
  • compliance dashboardy.

Podporuje také automatický onboarding agentů. Stačí jednořádkový příkaz na cílovém stroji a zařízení se registruje do platformy. Licenční model je transparentní. Zahrnuje čtyři úrovně od bezplatné verze po enterprise. Bez skrytých poplatků za objem dat nebo počet dotazů. Pro organizace, které chtějí platformu vyzkoušet, je k dispozici 14denní trial s plnou funkcionalitou Enterprise. Bez nutnosti zadávat platební údaje.