Talus Informatik

Der Schweizer Dienstleister Talus Informatik überwacht den gesamten Netzwerkverkehr mithilfe von Trend Micro Deep Discovery und Analyzer

Überblick

Die Schweizer Talus Informatik AG bietet ihren Kunden seit über 20 Jahren IT-Gesamtlösungen aus einer Hand, – von der Analyse und Beratung über Konzeption bis hin zu Umsetzung und Support. Das breit gefächerte IT-Lösungsportfolio umfasst neben führenden Branchen- auch individuelle Softwarelösungen. Darüber hinaus übernimmt der Generalunternehmer im eigenen georedundanten Rechenzentrum das komplette Outsourcing von Kunden-IT, Webund Mail-Hosting und offeriert auch Software as a Service. Die Angebote sind exakt auf die Anforderungen von öffentlichen Verwaltungen von Städten und Gemeinden, Energieversorgern und KMUs im Dienstleistungssektor abgestimmt.

Angesichts dieser sehr vielfältigen Angebote für Kunden mit sehr unterschiedlichen Bedürfnissen besteht eine der größten Herausforderungen für die IT-Abteilung der Schweizer darin, Verfügbarkeit und Integrität der dem Unternehmen anvertrauten Daten stets aufrecht zu erhalten. Eine nicht immer einfache Aufgabe, wie Michael Weissbach, CIO von Talus, versichert – gerade auch bei Kunden der städtischen Verwaltungen, die besonders viele kritische Daten vorhalten, etwa in den Systemen von Sozialdiensten oder des Einwohnermeldeamts.

Herausforderungen

Für die Sicherheit der IT-Systeme und Anwendungen sorgen Firewalls und Mail-Relays, die von einem externen Partner rund um die Uhr betreut und überwacht werden. Trend Micro Antivirus läuft auf Servern und Terminalservern und diese werden, inklusive Scan Mail for Exchange sowie Offi ceScan, intern von den IT-Mitarbeitern überwacht. Sämtliche Dienste sind zudem in einer Monitoring-Software eingebunden, berichtet der CIO.

Doch angesichts der steigenden Zahl versuchter Angriffe, vor allem auch über Mail, reichte ihm die vorhandene Sicherheitsinfrastruktur nicht. „Die stetig steigenden Bedrohungen für das Rechenzentrum, auch durch Ransomware, und eine nur eingeschränkte Online-Übersicht über alle bestehenden Dienste hinweg, also Mail-Fluss oder Datenverkehr, zeigte uns deutlich die Notwendigkeit noch besserer Analysemöglichkeiten und eines Frühwarnsystems zur Erkennung von Anomalien, Bedrohungen und Schwachstellen“, unterstreicht Weissbach.

Darum suchte Talus eine Lösung, die zusätzlich zu den Features der eingesetzten Firewall und IPS weitere Funktionalitäten bietet, um auch Unregelmäßigkeiten, Indizien oder anderes zu finden, die etwa den Perimeter-Schutzmechanismen entgangen sein könnten. Außerdem wollte der Generalunternehmer eine zweite Sicht auf das Geschehen im Netzwerk und den Endpunkten zur Verfügung haben.

"Mit Deep Discovery haben wir ein Werkzeug, das komplett in unserer Hand liegt und das uns eine zweite Sicht auf die Systeme liefert. Es stehen uns mit der Lösung nun Kennzahlen wie etwa ein erhöhtes Verkehrsaufkommen oder von der Norm abweichendes Verhalten zur Verfügung, die uns Erkenntnisse liefern, die wir vorher nicht hatten."

Michael Weissbach,
CIO, Talus Informatik AG

 

Warum Trend Micro

„Genau diese Anforderungen erfüllen Trend Micro Deep Discovery Inspector und Deep Discovery Analyzer“, betont der CIO von Talus. „Auch kannten wir den Anbieter und dessen Produkte bereits länger, und Erkundigungen bei einem Referenzkunden überzeugten uns noch mehr.“

In einer zweimonatigen Teststellung konnte sich das Team der Talus mit Deep Discovery vertraut machen und die Eignung für die speziellen Anforderungen im Unternehmen prüfen. Danach wurde die aufgesetzte Konfiguration exportiert und übernommen. Mit Unterstützung von Trend Micro richtete das Talus-Team Schnittstellen, Schwellwerte, Ausnahmen und Whitelists ein. Dies war besonders wichtig, weil die Lösung gerade in der Anfangsphase vieles gefunden hatte, was den anderen Mechanismen entgangen war – gerade auch bei ankommenden Mails.

Lösung

Deep Discovery überwacht bei Talus den kompletten Netzwerkverkehr im LAN, der DMZ und im Servernetzwerk des gesamten Rechenzentrums inklusive dem zweiten Standort (Georedundanz). Jeden Morgen findet ein Systemcheck über das ganze Rechenzentrum statt, der auch die Deep Discovery-Lösung miteinschliesst. Für letztere bedeutet dies, dass ein Mail-Alert konfiguriert wurde, der die wichtigsten Benachrichtigungen fortlaufend ins Postfach der Verantwortlichen schickt, sodass diese gegebenenfalls Massnahmen einleiten können.

"Wir können heute den Schutz der IT in unserem Unternehmen gelassener sehen, denn wir sind mit Deep Discovery auf dem richtigen Weg, und es gibt kaum noch kritische Alerts!"

Michael Weissbach,
CIO, Talus Informatik AG

 

Ergebnisse

Neben dem Schutz der Firewalls und Mail Relays in der Verantwortung eines Partners hat Talus nun mit Deep Discovery Inspector und dem Deep Discovery Analyzer zusätzliche Sicherheit im eigenen Haus. „Wir haben ein Werkzeug, das komplett in unserer Hand liegt, mit dem wir eine zweite Sicht auf die Systeme erhalten“, erklärt Weissbach. Und weiter: „Überdies stehen uns mit der Lösung bessere Analysemöglichkeiten als bislang zur Verfügung.“

Zudem hat sich Deep Discovery als Frühwarnsystem zur Erkennung von Bedrohungen und auch Schwachstellen, z.B. bei hohem Spamaufkommen oder sonstigen Unregelmäßigkeiten bewährt. Bei einem Mail-Volumen von über 300’000 Mails pro Tag ist es essenziell, einen plötzlichen Anstieg des Spam-Aufkommens schnell zu erkennen und Gegenmassnahmen einleiten zu können.

Den Nutzen hat die Lösung auch schon konkret unter Beweis stellen können. Es gab den Versuch einer Distributed Denial of Service (DDoS)-Attacke, welche schnell geblockt werden konnte. „Auch hier war die zweite Online-Sicht wichtig, denn der Angriff liess sich nachvollziehen und die Unterbrechung des Betriebs dauerte nur eine Stunde.“, berichtet der CIO.

Schliesslich ist die Erkennung von Schwachstellen von hoher Bedeutung für die Sicherheit der IT-Systeme bei Talus, weil der Dienstleister alle möglichen Softwarelösungen betreibt. Hier ist es wichtig, Schwachstellen erkennen zu können, welche die Mechanismen am Gateway allenfalls nicht finden. „Mit Deep Discovery haben wir nun Kennzahlen wie etwa erhöhtes Verkehrsaufkommen oder von der Norm abweichendes Verhalten, die uns Erkenntnisse liefern, die wir vorher nicht hatten.“, erläutert Weissbach. Kein Wunder, dass der CIO die Möglichkeit besonders schätzt, über Threat Connect die Übersicht über alle verdächtigen Objekte, die die Lösung gefunden hat, zu erhalten. Damit können die Experten bei Talus zum einen die Bedrohung erkennen und zum anderen nachvollziehen, woher etwa eine Spam-Mail gekommen ist.

Auch liefert die Sandbox-Umgebung, welche das Verhalten von Bedrohungen in komplett losgelösten Instanzen auf verschiedenen Betriebssystemen durchläuft, beobachtet und detailliert protokolliert, einen einzigartigen „Behind the Scenes“-Einblick auf das, was bei einer Infizierung geschieht und steigert somit für den Mitarbeiter das Verständnis zu den genauen Vorgängen.

Seit einem Jahr ist die Trend Micro-Lösung im produktiven Einsatz, und das Fazit von Weissbach lautet: „Wir können heute den Schutz der IT in unserem Unternehmen gelassener sehen, denn wir sind mit Deep Discovery auf dem richtigen Weg.“ Das zeigt auch die Tatsache, dass es kaum noch kritische Alerts gibt!