Healthcare Company
La integración y la automatización de Trend Vision One mejoran la seguridad y la fiabilidad
Frank Bunton
CISO
en una empresa sanitaria con 5001-10 000 empleados
¿CÓMO HA AYUDADO A MI ORGANIZACIÓN?
Cada componente que hemos adquirido de Trend Micro tiene su propio conjunto de valor único. Pero como CISO, la mayor emoción de mi día es cuando llega una iniciativa de día cero. Es una de esas cosas para la que, por naturaleza, generalmente no está preparado, y la reacción inicial del equipo de seguridad fue: “¿Qué vamos a hacer al respecto?”
Cuando eso sucedió, sugerí que echáramos un vistazo a nuestro IPS de Trend Micro y viéramos si había alguna vacuna relacionada con el día cero en particular, y sí. Permitimos esas vacunas y pudimos ver, utilizando el dispositivo ExtraHop, que los problemas que estábamos viendo antes se habían solucionado. Esa experiencia en particular fue un predictor de lo que iba a venir. Desde entonces, en casi todas las ocasiones, hemos tenido una respuesta atenuante en nuestro arsenal a cualquier tipo de ataque de día cero antes de que el ataque se produzca realmente.
Incluso cuando nos encontramos en una situación como Log4j y no había nada en nuestro arsenal para lidiar con ella, llamamos a Trend y dijeron: "Sí, lo estamos entregando ahora mismo, pero tendrá que instalarlo manualmente". Y estaba pensando: "Lo instalaré boca abajo si tengo que hacerlo, pero la conclusión es que lo obtendré aquí". Lo implementamos y solucionamos el problema. Creo que son dueños de esa iniciativa de VDI y es realmente bueno que estén tan cerca de ella. Eso es algo que realmente me ha hecho la vida mucho más fácil. Correr con el pelo al fuego no es divertido.
Básicamente, nos ha permitido controlar nuestras iniciativas y planificación de seguridad y construir seguridad a largo plazo. Llevamos trabajando con ellos al menos diez años.
Su personal de soporte técnico es mejor que la mayoría. En mi carrera, lo he visto todo. Pero el soporte de Trend es realmente bueno. Son el mejor proveedor que tengo para soporte.
¿QUÉ ES LO MÁS VALIOSO?
Su conjunto de herramientas se integra bien con nuestra infraestructura existente. Se integra bien con nuestra SIEM de AT&T AlienVault.
Otra pieza que hace que Trend sea algo único, y pude ver dónde podrían haber tenido un problema al arrancar, es que eran una de las empresas, desde el principio, que pasaban mucho tiempo integrando sus conjuntos de herramientas, y eso me impresionó mucho. Eso significaba que el sistema de gestión de endpoints podía ponerse en contacto con el sistema Trend Vision One to Deep Discovery to la red y detectar algo que percibía como un objeto sospechoso. Entonces podría lijarlo y supervisarlo. Si esa entidad sospechosa se pusiera en contacto para obtener comando y control o hiciera algo malintencionado, los endpoints serían alertados y comenzarían a deshacerse del problema.
El problema que aborda, y es uno de los problemas más importantes, es que realmente tiene que considerar la automatización y ser consciente de ella. Porque cuando las cosas llegan al fan, no necesariamente eres lo suficientemente rápido, como ser humano, como para hacer todo de la forma en que debe hacerse y documentar el proceso.
Es posible que no piense tanto en esa última pieza cuando empiece a realizar ingeniería de seguridad. Pero cuando entra en una gran empresa sanitaria como la nuestra, hay auditorías en marcha todo el tiempo. Los auditores querrán elegir dos o tres eventos con los que haya tratado y decir: "Queremos ver el registro de auditoría", etc. Como resultado, hay ventajas en la integración de los conjuntos de herramientas dispares de Trend.
Trend se ha esforzado mucho en hacer que sus conjuntos de herramientas, como IPS, Deep Discovery, Trend Micro to Deep Security, etc., se comuniquen entre sí y trabajen juntos. Y aún lo están haciendo hoy.
Han convertido su IPS en una aplicación en lugar de un dispositivo. Lo instala en el endpoint, que es un servidor en su datacenter, y realmente lo configurará con un estándar mínimo. Esto significa que las aplicaciones y la versión del sistema operativo que está ejecutando, hasta la versión de colon, solo tienen instaladas las herramientas necesarias para esa instancia en particular.
Minimizan la instalación porque no quieren que busque errores e indicadores de compromiso que no pueda experimentar porque está utilizando un sistema operativo que no es vulnerable a ellos. Esto elimina muchos gastos generales en lo que respecta a la gestión de servidores. Tienen en cuenta que estos son servidores que tienen un trabajo que hacer. No son solo escritorios, y si consumen mucha CPU, eso es malo para nosotros porque estamos haciendo negocios y ganamos dinero. Nunca hemos tenido ningún problema con ellos. Es realmente fiable, una vez que se configura.
¿QUÉ NECESITA MEJORA?
Cuando implementa estas herramientas de Trend, la integración y el hecho de que trabajen juntas se encuentran entre las piezas más difíciles del rompecabezas. Pero cuando lo configuras y trabajas, te alegras de haberlo hecho.
Cuando gestiona un departamento de seguridad para una serie de organizaciones sanitarias e implementa seguridad en sus entornos, quieren que se haga hoy. Y sin duda no quieren molestarse con ello en el transcurso de unas semanas. Llevamos un par de meses en nuestra migración a Cloud One y no es nuestro único proyecto. Tenemos muchas cosas que suceden aquí y en nuestras filiales, para las que también soy el CISO. Está muy ocupado. No tenemos tiempo para sentarnos y trabajar en proyectos solo con el fin de tener los recursos para trabajar en ellos.
Cuando invertimos tiempo en integrar recursos, dispositivos y aplicaciones dispares, lo hacemos con la idea de que vamos a obtener algo que valga más que lo que ponemos en él. En todos y cada uno de los casos, eso es lo que ha sucedido con Trend.
Aun así, mucha gente que conozco ha adoptado su tecnología, pero no la ha integrado.
La herramienta de gestión de endpoints se encuentra en el endpoint y lo gestiona, pero no está completamente integrada, por ejemplo, con el sandbox. Así que sería bueno que pudieran simplificar el proceso de integración. Y me gustaría ver una mejor documentación.
Otro punto es que, con Trend Vision One, hubo problemas que experimentamos con las tecnologías de IPS y EDR cuando lo conseguimos por primera vez. Tuvimos algunas dificultades para averiguar cómo hacerlo bailar. Una vez que lo descubrimos, estábamos bien.
La solución que implementaron para ello fue aumentar el número de presentaciones que hicieron en el software, presentaciones en las que respondieron a las preguntas. Asistimos a una cada dos o cuatro semanas con Trend para repasar las cosas y no solo nosotros. Hay entre 70 y 100 personas en esas reuniones. Descubrieron que, aunque está bien crear sistemas razonablemente complejos, en algún momento hay que transmitir el conocimiento a los usuarios finales. Eso no siempre es fácil de hacer. La mayoría de las empresas operan con la mentalidad de que: "Bueno, lo comprendemos, ¿por qué no lo entiende?"
La forma en que diseñan su tecnología, simplemente sigue funcionando y eso no siempre es el estándar en la industria. Sus cosas solo funcionan. Es realmente bueno y está bien diseñado”.
¿DURANTE CUÁNTO TIEMPO HE UTILIZADO LA SOLUCIÓN?
Comenzamos la integración de Trend Vision One hace tres o cuatro años.
¿QUÉ PIENSO SOBRE LA ESTABILIDAD DE LA SOLUCIÓN?
El equipo de Trend es muy estable y fiable. En este negocio, casi tiene que ser porque, si su sistema falla con frecuencia, simplemente no tiene tiempo para engañarse con él. En los años que hemos implementado su IPS, y ese es un producto complicado, es posible que hayamos tenido uno o dos fallos. Y como recuerdo, era algo en una fuente de alimentación. Si su fallo principal está relacionado con una fuente de alimentación una vez cada diez años, está en buen estado.
Lo mismo sucede con toda su tecnología. La forma en que lo diseñan, simplemente sigue funcionando y eso no siempre es el estándar en la industria. Por ejemplo, finalmente tuve que abandonar la solución IAM de IBM porque era tan mala. Simplemente se rompería. No tenemos esos problemas con Trend. Sus cosas solo funcionan. Es realmente bueno y está bien diseñado.
¿QUÉ PIENSO SOBRE LA ESCALABILIDAD DE LA SOLUCIÓN?
Es razonablemente escalable, pero recuerde que, a medida que se amplía, algunos de los componentes deben escalarse mientras que otros solo necesitan reconfigurarse. No quiere pagar por lo que no necesita, lo que significa que no tiene que duplicar todo. Cuando escala, tiene que pensarlo un poco.
¿CÓMO SON EL SERVICIO Y LA ASISTENCIA AL CLIENTE?
Su personal de soporte técnico es mejor que la mayoría. En mi carrera, lo he visto todo. Pero el soporte de Trend es realmente bueno. Son el mejor proveedor que tengo para soporte.
Cada vez que hemos tenido un problema con su equipo, han sido rápidos y lo han solucionado. Y si no pueden solucionarlo, sustituyen lo que tengan que sustituir.
Otro aspecto con Trend que es realmente bueno es que escuchan lo que dice. Si se le ocurre un caso de uso que no tienen actualmente, lo añadirán a su repertorio y, un par de actualizaciones en el futuro, hay esa herramienta que necesitaba. Es solo una empresa bien impulsada y bien gestionada cuando se trata de ese lado de las cosas.
Por ejemplo, al principio, el uso del panel de control era un poco complicado. Pero lo mejor que hicieron fue celebrar reuniones quincenales sobre ello. No solo pasarían por casos de uso, sino que al final preguntarían: “¿Qué más le gustaría ver? ¿Cómo mejoraría esto?" Una vez que la comunidad del CISO se hizo con eso, venían con sus armas cargadas y decían: "Me gustaría ver esto y me gustaría ver eso". Y Trend comenzó a eliminar las que tenían sentido. A día de hoy, es un juego de pelota completamente diferente al que era entonces. Están actualizando constantemente sus plataformas.
Y no tienen por qué hacer grandes lanzamientos para poner las cosas en manos de los usuarios. Construirán algo y dirán: "Oye, hemos incluido esto. Pruébelo y cuéntenos lo que piensa». La mayoría de las empresas diría: "Esa función estará en la versión 5 y no hasta esa versión. La versión 5 está prevista para mayo, pero probablemente no estará disponible hasta octubre". Trend no es así y lo apreciamos.
¿CÓMO CALIFICARÍA EL SERVICIO Y LA ASISTENCIA AL CLIENTE?
Positivo
¿QUÉ SOLUCIÓN UTILICÉ ANTERIORMENTE Y POR QUÉ CAMBIÉ?
Volvemos bastante atrás con Trend. Cuando me reuní con ellos por primera vez, fue un vendedor del resort Torrey Pines quien se reunía con personas. Allí se reunieron varios CIO y CISO y se reunieron durante unos días para reunirse con varios vendedores. Fue un evento de "conocerle" y lo hice cada año. Uno de los vendedores era de Trend y no sabía nada sobre ellos, pero me impresionó su presentación. Pensé para mí en ese momento: "Tenga esto en cuenta. Piense un poco en esto".
Aproximadamente un año más tarde, cuando, en ese momento, estábamos utilizando la suite de endpoint de IBM, IBM decidió retirarla. Tenía unos cinco conjuntos de herramientas diferentes, uno de los cuales era IBM BigFix, que es una solución de gestión de parches que todavía tenemos.
Dijeron que si desea reemplazarlos por lo que se llamaba Trend OfficeScan en ese momento, puede hacerlo y nosotros lo hicimos. Cuando migramos a OfficeScan para reemplazar la pieza de endpoint, nos dimos cuenta de que las otras piezas de IBM estaban en el aire, excepto BigFix. A continuación, acabamos de bloquear las herramientas de IBM para las herramientas de Trend, componente por componente. Eso funcionó muy bien para nosotros porque el conjunto de herramientas de Trend era mucho más completo que las herramientas de IBM. Y se integró bien con nuestra infraestructura BigFix. Todo funcionó conjuntamente. Fue una idea sencilla. Trend creó sistemas de seguridad mucho mejores que IBM.
Una vez que implementamos OfficeScan, comenzamos a hablar sobre la compra de un IPS. Normalmente hago una prueba de concepto cuando voy a comprar algo. El sistema Trend Micro rippingPoint IPS se incluyó en la evaluación. Lo que descubrí es que no solo es el mejor producto, sino que tiene el mejor soporte de producto y eso realmente marca la diferencia.
Estamos utilizando Trend en casi todos los frentes en los que trabajan. Han sido un tremendo partner para nosotros, realmente bueno.
Cuando iniciamos el departamento de seguridad aquí por primera vez, uno de los problemas que teníamos era que estábamos persiguiendo malware. Teníamos software de gestión de endpoints McAfee y antivirus en ese momento, pero no podíamos ejecutarlo porque, si lo hiciéramos, acabaría consumiendo toda la CPU y volcando sobre el escritorio.
Estábamos buscando un reemplazo para eso. Analizamos la tecnología de Trend Vision One y descubrimos que estaban profundamente interesados en lo que denominan gestión de la superficie de ataque. Integra la herramienta EDR de Trend que teníamos y la convertimos en algo que puede rastrearse hacia atrás. No solo podía detectar que se había producido un evento, que es lo que solíamos obtener, sino que ahora nos dio información sobre lo que condujo a ese evento. ¿Qué secuencia de eventos ocurrió en nuestras plataformas que lo condujeron? Podríamos rastrearlo hacia atrás, y ese es el componente XDR. Sustituyeron al componente de EDR y fue entonces cuando entramos en el negocio con Trend Vision One.
Desde entonces, hemos implementado los componentes Deep Security y Deep Discovery, además de su IPS TippingPoint y su endpoint. También contamos con su solución de seguridad de email.
El conjunto de herramientas de Deep Security se encuentra en su datacenter en cada instancia de servidor que desea proteger. Los sistemas operativos compatibles con Trend son Windows, Linux, Solaris y AIX. ¿Y qué implementamos en nuestra organización? Esos cuatro sistemas operativos. Pensé: "Eso es como un mensaje del propio Dios". Me sorprendió eso.
Y ahora mismo, estamos migrando a su entorno de Cloud One. Esto lo lleva al siguiente nivel y nos permite aprovechar los análisis que existen en la nube sin tener que configurar toda la infraestructura para respaldarla. Todo lo que tenemos permanece tal cual, en las instalaciones, pero ahora todo se comunica con la nube, y esa información se mejora y se agrega aún más en datos más significativos, lo que luego vuelve a nuestro alcance. De eso se trata el enfoque de Cloud One.
Son una empresa bastante genial y están muy bien organizadas y bien gestionadas.
¿CÓMO FUE LA CONFIGURACIÓN INICIAL?
La implementación inicial siempre es la más difícil porque nunca lo ha hecho antes. Se encontrará con problemas que no conoce. A medida que pasa de OfficeScan a Apex One, a Vision One y Cloud One, es más fácil cada vez que lo hace porque sabe lo que viene.
Para entonces, ya tiene un grupo establecido de personas que le apoyan y que lo han estado apoyando durante algún tiempo. Está familiarizado con el trabajo con ellos, sabe qué esperar y cómo van a avanzar las cosas. Y sabes cuál será el plazo. Esa parte es buena.
Vision One es local. Empezamos a construir datacenters hace mucho tiempo y tuve el honor y el privilegio de hacerlo. Creamos redundancia a nivel de centro de datos, así que hay dos de todo. Y luego piensa: "Bueno, ¿qué sucede si le pasa algo al datacenter?" Así que construimos otra. Y luego nos dimos cuenta de que lo queríamos en otro lugar porque tenemos suficientes terremotos en el sur de California para saber que nada está seguro aquí. Como resultado, construimos uno en Arizona y imitamos lo que teníamos aquí y luego lo avergonzamos todo juntos. Para que podamos fallar aquí o en las instalaciones de Arizona. Básicamente tenemos dos nubes privadas que gestionamos. Eso nos llevó a donde estábamos hace aproximadamente un año.
Y, de repente, había la idea de pasar a la nube. Empezamos a trabajar con Azure y AWS para mover elementos a la nube, pero también hubo algunos problemas con eso.
Por ejemplo, si creamos una gran infraestructura en nuestro datacenter, compramos el hardware y luego lo implementamos. Todo ese hardware es CapEx y puede cancelar el coste de la mayor parte de él durante un periodo de años. Cuando te trasladas a la nube, no te tomas ese descanso y, si estás aprovechando la infraestructura de otra persona, te van a cobrar por ese servicio. Aunque no soy experto en la nube, hemos reunido algunas aplicaciones basadas en la nube, pero desde un punto de vista financiero, es realmente caro. No vuelve a tener ese CapEx en su bolsillo como lo hace cuando crea sus propios datacenters.
Nuestra dirección aún quiere poner más cosas en la nube, así que continuaremos haciéndolo, y Cloud One le permite hacerlo con las funciones de seguridad de la carga de trabajo.
¿QUÉ PASA CON EL EQUIPO DE IMPLEMENTACIÓN?
Lo hicimos todo internamente. Encontré a alguien que ya había trabajado en seguridad, dentro de nuestra empresa, y lo incorporé a mi equipo. Si puede encontrar a alguien que ya ha hecho este trabajo y lo entiende, no solo puede hacer que lo implemente inmediatamente, lo que le quita ese fragmento de la mesa, sino que está en posición de empezar a aprender otras cosas porque ya conocen la infraestructura que está implementando realmente bien. En cada oportunidad que tuve que buscar a alguien que ya tenía experiencia y que era bueno con lo que hacía, lo hice. Ayuda a conseguir personas con experiencia.
¿CUÁL FUE NUESTRO ROI?
Siempre he sentido que la automatización y la integración de plataformas iba a ser la clave de esto.
El motivo por el que sentí que así era era que no entraba en seguridad cuando salí de la escuela. Tuve la suerte de conseguir un trabajo en la división de ingeniería de sistemas de NCR. Creé y diseñé microprocesadores y luego creé software de sistema operativo para los microprocesadores. Estuve expuesto a gran parte de lo que está pasando en los intestinos de la bestia. Aunque la bestia cambia de una empresa a otra, tienes una idea de lo que está pasando realmente.
Entonces empecé mi propia empresa y lo que aprendí fue que la integración de elementos es clave para su éxito, al igual que la automatización. Necesita automatizar soluciones porque no quiere un montón de personas que intenten arreglar las cosas si puede automatizar las cosas y ocuparse de los problemas.
Cuando observamos los registros de los IPS, por ejemplo, bloquean cientos de miles, y a veces millones, de paquetes al día. Si permitiéramos esos paquetes, no sé qué pasaría, pero no creo que sea bueno.
Además, no tengo un gran personal bajo mí. La idea de que, como director de seguridad de la información, conseguirá que un par de cientos de personas trabajen en las cosas no va a suceder. Así que realmente tiene que configurarlas para la automatización, y cualquier tipo de alerta tiene que señalar el problema en lugar de decirle dónde empezar a buscar.
¿CUÁL ES MI EXPERIENCIA CON LOS PRECIOS, EL COSTE DE CONFIGURACIÓN Y LAS LICENCIAS?
Tienen un nuevo método de fijación de precios y aún no nos han llevado a eso, por el que estoy agradecido. Es lo suficientemente difícil lidiar con los dólares, pero con su nueva solución, y no me interesa porque aún no lo he utilizado, compra tokens o algún tipo de puntos y compra cosas con ellos. No hemos ido allí. Nos quedamos con lo que teníamos.
Desde el punto de vista de los precios, son un muy buen negociador y trabajarán con usted. En la primera conferencia de Trend a la que asistí, hubo una presentación a su equipo de ventas y se les dijo: "No se preocupen por ganar dinero. Simplemente haga felices a nuestros clientes y el dinero vendrá". Son buenos en eso y mucho mejores que la mayoría de las empresas. Siempre es bueno tener un buen partner.
¿QUÉ OTRAS SOLUCIONES HE EVALUADO?
Analizamos las nuevas cosas con las que IBM estaba saliendo, que no eran tan nuevas, por lo que no llegaron muy lejos en nuestra evaluación. También observamos a McAfee y otra empresa que era una empresa emergente en ese momento, aunque no recuerdo su nombre.
Tenía tres o cuatro proveedores en para PoC, y les pedí a cada uno de ellos que apoyaran el esfuerzo y que me diera alrededor de un mes. Cuando ya he terminado, no solo conseguí el mejor producto, sino también el mejor proveedor. El soporte tiene que estar ahí durante ese proceso o no van a ganar el día. Algunos de ellos fueron tan malos como: "Aquí está, cuéntenos cómo le va". Y estaba pensando: "Bueno, es posible que tenga algunas preguntas de ahora en adelante. Espero que alguien esté al teléfono para responderlas", pero no siempre se consigue ese lujo. Pero Trend fue realmente bueno y por eso me quedé con ellos.
¿QUÉ MODELO DE IMPLEMENTACIÓN UTILIZA PARA ESTA SOLUCIÓN?
On premises
Únase a más de 500 000 clientes en todo el mundo
Póngase en marcha con Trend hoy mismo