English: Case Study - TeskaLabs SIEM for large Czech government organization

🇨🇿 Česká verze je níže / Czech version is below.

Delivery target

The subject of the tender was to provide a service for recording, collecting, detecting, and evaluating cyber security events and incidents in the ICT environment of a large government organization.

The Customer

A large government organization (ministry), which operates a large number of offices across Czech Republic.

Delivery description

It was a large government organization with branches all over Czech Republic and had a need to process at least 20,000 EPS. Events Per Second (EPS) define the number of events or processes that take place in a given time on any IT appliance in IT infrastructure. The task was to deliver a full-fledged SIEM solution. The delivery was successfully completed on time and on budget.

This organization chose TeskaLabs SIEM cybersecurity product as the ideal solution, running in a 24/7 monitoring service at the Security Operation Centre (SOC). This service is provided by the O2 Security Expert Center, ensuring real-time response to incidents of an advanced nature.

TeskaLabs SIEM logs data from across the internal IT infrastructure and identifies potential problems and attacks. The system is able to correlate, both statistically and in the time domain.
For this project, the customer required more than 300 types of correlation rules.

Another interesting aspect of this tender is the highly distributed IT infrastructure of the organization, which operates a large number of offices across the country. Together with implementation partner Axenta, the correlation rules were tailored to the customer's exacting requirements and the reality found during implementation, thus adapting precisely to the needs of this organization.

Architecture

Because the customer required a high-availability and fault-tolerant solution, the delivery was implemented as a cluster of three physical servers that could be further expanded as the monitored IT infrastructure grew. This architecture can compensate for the failure of an entire single server without loss of functionality — this was a key requirement to meet the strict service-level agreement (SLA) set by the customer. The cluster is also prepared for the possibility of extending to another geographic location (i.e., geo-cluster).

The solution is designed to manage approximately 100 TB of stored logs and other inputs, which are stored within the solution for a period of 18 months, across multiple availability zones, ranging from fast SSDs to cost-effective NAS-type network storage.

Hundreds of systems have been connected during the delivery, and all systems are sending logs to TeskaLabs SIEM.
The customer is moving forward with integrating other IT systems that it wants to keep under control.

The deployment also uses so-called "multi-tenancy", where the collected logs are organized into separate logical units that can only be accessed by authorized personnel. This basically means that the different organizational units of the customer only see the data they are authorized to see.

Benefits

• Compliance with the strict requirements of the Cybersecurity Act No. 181/2014 Coll. and Decree No. 316/2014 Coll. through the SOC 24/7 service
• Collection and secure archiving of logs from all ICT environments
• Ability to monitor, process, evaluate and respond in real time to collected events to identify potential security breaches
• Strengthening the security of the organisation's distributed IT infrastructure
• Monitoring the handling of data and sensitive information
• Security Operations Center (SOC) security incident monitoring and investigation service, provided by O2 Security Expert Center. Thanks to the TeskaLabs SIEM as a service solution, the organization does not have to run the SIEM cybersecurity itself, and thus avoids the hassle of finding and employing security professionals.
• Visibility into operational IT infrastructure issues

As a result, the organization is satisfied with the implemented and active system, allowing for subsequent implementation and expansion of cybersecurity with TeskaLabs SIEM.

TeskaLabs

TeskaLabs, founded in 2014, is a a Czech-British developer of cybersecurity software products. It is focused on real-time security monitoring systems, mobile applications security and security of critical infrastructure. It also secures communication of Cooperative Intelligent Transport Systems (C-ITS), where TeskaLabs is a major vendor with the largest number of deployments throughout Europe. We operate from our headquarters in London and offices in Prague. TeskaLabs also holds ISO 9001:2015 quality management certification in the area of cyber security product development. However, our highest priority is to meet customer needs through the timely and continuous delivery of technologically complex and valuable software.

Partners

O2 Czech Republic, SOC

The O2 Security Expert Center (O2 SEC) is a specialized unit that takes care of cybersecurity. It is a 24/7 real time monitoring of IT infrastructures and helps to eliminate the risks associated with cyber threats.

Continue here for more information.

Axenta

Axenta s.r.o. is a company operating as a systems integrator in the area of complex security solutions and services. Axenta provides analytical services, designs, realisations and operation of optimal solutions protecting information assets and critical processes of the customer.

Continue here for more information.

Česky: Případová studie - TeskaLabs SIEM pro velkou státní organizaci

Cíle dodávky

Předmětem plnění zadávané veřejné zakázky bylo poskytnutí služby zaznamenávání, sběru, detekce a vyhodnocování kybernetických bezpečnostních událostí a incidentů v ICT prostředí velké státní organizace.

O zákazníkovi

Rozsáhlá státní organizace (ministerstvo) s úřady na celém území České republiky.

Popis dodávky

Jedná se o rozsáhlou státní organizaci, která má pracoviště po celé České republice a má potřebu zpracovávat minimálně 20 000 EPS. EPS, neboli události za sekundu, definují počet událostí nebo procesů, které proběhnou za daný čas na jakémkoli IT zařízení v dané IT infrastruktuře. Zadáním byla dodávka plnohodnotného SIEM řešení. Dodávka byla realizována ve stanoveném termínu a rozpočtu.

Tato organizace zvolila jako ideální řešení produkt kybernetické bezpečnosti TeskaLabs SIEM, běžící ve službě nepřetržitého 24/7 dohledu v Security Operation Centru (SOC). Tuto službu poskytuje O2 Security Expert Center a zajišťuje tak reakci na incidenty pokročilého charakteru v reálném čase.

TeskaLabs SIEM zaznamenává data z celé interní IT infrastruktury a identifikuje potenciální problémy a útoky. Systém pracuje na základě schopnosti korelací, a to jak statistických, tak i v časové doméně. Zákazník požadoval více než 300 typů korelačních pravidel.

Dalším zajímavým aspektem je vysoce distribuovaná IT infrastruktura organizace, která provozuje velké množství úřadů na území celé České republiky. Společně s implementačním partnerem společností Axenta se korelační pravidla upravovala na míru podle požadavků zákazníka a reality zjištěné při implementaci a maximálně se tak přizpůsobila potřebám této organizace.

Architektura

Protože zákazník požadoval řešení s vysokou dostupností a odolné proti výpadkům, tak byla dodávka realizována jako cluster tří fyzických serverů, který je dále možné rozšiřovat tak, jak roste monitorovaná IT infrastruktura. Architektura umožňuje výpadek celého jednoho serveru bez ztráty funkcionality, což se využívá k dodržování přísného service-level agreement (SLA), které stanovil zákazník. Cluster je připraven i na možnost rozšíření na jinou geografickou lokalitu, tj. geo-cluster.

Řešení je navrženo na správu cca 100 TB uložených logů a dalších vstupů, které jsou v rámci řešení uloženy po dobu 18 měsíců, a to v několika zónách dostupnosti, od rychlých SSD disků po cenově efektivní síťové uložiště typu NAS.

Během dodávky bylo připojeno stovky systémů, které do TeskaLabs SIEM odesílají logy a zákazník dále postupuje v integraci dalších IT systémů, které chce mít pod dohledem.

V nasazení se také využívá takzvaná "multi-tenantnost", kdy jsou sbírané logy organizovány do oddělených logických celků, kam mají přístup pouze pověření pracovníci. To v podstatě znamená, že jednotlivé organizační celky zákazníka vidí jen data, která mají oprávnění vidět.

Přínosy

• Splnění striktních požadavků Zákonu o kybernetické bezpečnosti č. 181/2014 Sb. a vyhlášce č. 316/2014 Sb. prostřednictvím služby SOC 24/7
• Sběr a bezpečná archivace logů ze všech ICT prostředí
• Schopnost monitorovat, zpracovávat, vyhodnocovat a reagovat v reálném čase na sbírané události s cílem identifikovat potenciální narušení bezpečnosti.
• Posílení bezpečnosti distribuované IT infrastruktury organizace
• Monitoring manipulace s daty a citlivými informacemi
• Služba dohledu a vyšetřování bezpečnostních incidentů Security Operations Centrum (SOC), zajištěna O2 Security Expert Center.
• Díky řešení as a service nemusí tak tato organizace provozovat kyberbezpečnost SIEM sama a vyvarovala se tak problémům se sháněním a zaměstnáváním bezpečnostních oborníků.
• Viditelnost operativních problémů IT infrastruktury

Výsledkem je spokojenost organizace s implementovaným a aktivním systémem. Pokračuje se tak v následné implementaci a rozšiřování kybernetické bezpečnosti s TeskaLabs SIEM.

O TeskaLabs

Společnost TeskaLabs, založená v roce 2014, vyvíjí pokročilé softwarové technologie v oblasti kybernetické bezpečnosti. Zaměřuje se na oblasti nejkomplexnější technologie zabezpečení pro mobilní, stolní, webové a IoT aplikace. Dále na zabezpečení kritických infrastruktur organizací, nástroje pro real-time bezpečnostní dohled a bezpečnou komunikaci inteligentních transportních systémů (C-ITS), kde se TeskaLabs řadí mezi dodavatele s největším počtem nasazením v Evropě. Působíme z centrály v Londýně a z další kanceláře v Praze. TeskaLabs je také držitelem certifikace managementu kvality ISO 9001:2015, v oblasti vývoje produktů kybernetické bezpečnosti. Nejvyšší prioritou je však uspokojení potřeb zákazníka včasným a nepřetržitým dodáváním technologicky komplexního a hodnotného softwaru.

Partneři

O2 Czech Republic, SOC / Služba nepřetržitého dohledu

O2 Security Expert Center (O2 SEC) je specializované pracoviště, které se stará o kybernetickou bezpečnost. Nepřetržitě a v reálném čase monitoruje IT infrastruktury a pomáhá tím eliminovat rizika spojená s kybernetickými hrozbami.

Více informací zde.

Axenta

Axenta s.r.o. je společnost, působící jako systémový integrátor v oblasti komplexních bezpečnostních řešení a služeb. Poskytuje analytické služby, návrhy, realizace a provoz optimálních řešení, chránících informační aktiva a kritické procesy zákazníka.

Více informací zde.

About the Author

Jan Fousek

Marketing Specialist at TeskaLabs