Société de soins de santé
L’intégration et l’automatisation de Trend Vision One améliorent la sécurité et la fiabilité
Frank Bunton
Directeur de la sécurité des systèmes d’information
dans une entreprise de soins de santé comptant entre 5 001 et 10 000 employés
COMMENT CELA A-T-IL AIDÉ MON ORGANISATION ?
Chaque composant que nous avons acheté auprès de Trend Micro possède son propre ensemble de valeurs. Mais en tant que DSSI, le plus excitant de ma journée est l’arrivée d’une initiative Zero Day. C’est l’une de ces choses auxquelles, par nature, vous n’êtes généralement pas préparé, et la réaction initiale de l’équipe de sécurité était : « Qu’allons-nous faire à ce sujet ? »
Lorsque cela s'est produit, j'ai suggéré que nous examinions notre Trend Micro IPS et que nous voyions s'il y avait des vaccins liés au Zero Day particulier, et il y en avait. Nous avons activé ces vaccins et avons pu voir, à l'aide de l'appareil ExtraHop, que les problèmes que nous voyions auparavant avaient été corrigés. Cette expérience particulière était un facteur prédictif de ce qui allait arriver. Depuis lors, à presque toutes les occasions, nous avons eu une réponse atténuante dans notre arsenal à tout type d’attaque Zero Day avant que l’attaque ne se produise réellement.
Et même lorsque nous sommes entrés dans une situation comme Log4j et qu'il n'y avait rien dans notre arsenal pour y faire face, nous avons appelé Trend, et ils ont dit : « Oui, nous le livrons maintenant, mais vous devrez l'installer manuellement. » Et je me disais : « Je vais l'installer à l'envers si je le dois, mais le résultat est juste de le faire ici. » Nous l'avons déployé et avons résolu les problèmes. Je crois qu'ils sont propriétaires de cette initiative VDI et c'est vraiment bien qu'ils soient si proches. C'est quelque chose qui m'a vraiment facilité la vie. Courir avec vos cheveux en feu n’est pas amusant.
En substance, cela nous a permis de prendre en main nos initiatives et notre planification de sécurité, et de construire la sécurité sur le long terme. Nous travaillons avec eux depuis au moins dix ans.
Leurs équipes de support technique sont meilleures que la plupart. Dans ma carrière, j'ai tout vu. Mais le support Trend est vraiment bon. C'est le meilleur fournisseur que j'ai pour l'assistance.
QU’EST-CE QUI EST LE PLUS VALABLE ?
Leur ensemble d'outils s'intègre bien à notre infrastructure existante. Il s'intègre bien à notre SIEM AT&T AlienVault.
Un autre élément qui rend Trend un peu unique, et je pouvais voir où ils auraient pu avoir un problème pour lancer tout cela, est qu'ils étaient l'une des entreprises, très tôt, qui ont passé beaucoup de temps à intégrer leurs ensembles d'outils, et j'ai été vraiment impressionné par cela. Cela signifiait que le système de gestion des endpoints pouvait contacter le système Trend Vision Oneş – Deep Discoveryð sur le réseau et détecter quelque chose qu'il considérait comme un objet suspect. Il pourrait ensuite le mettre en sandbox et le surveiller. Si cette entité suspecte demandait le contrôle et la commande, ou faisait quelque chose de fâcheux, les endpoints seraient alertés et commenceraient à se débarrasser du problème.
Le problème que cette solution aborde, et c'est l'un des plus importants, est que vous devez vraiment envisager l'automatisation et en être conscient. Parce que lorsque les choses frappent le ventilateur, vous n'êtes pas nécessairement assez rapide, en tant qu'être humain, pour tout faire comme il faut, et documenter le processus.
Vous ne pensez peut-être pas autant à ce dernier élément lorsque vous commencez à faire de l'ingénierie de sécurité. Mais lorsque vous entrez dans une grande entreprise de soins de santé comme la nôtre, des audits sont en cours en permanence. Les auditeurs voudront choisir deux ou trois événements que vous avez traités et dire : « Nous voulons voir la piste d’audit », etc. Par conséquent, l'intégration des ensembles d'outils disparates de Trend présente des avantages.
Trend a travaillé très dur pour créer ses ensembles d'outils, comme IPS, Deep Discovery, Trend Microð – Deep Securityð, etc., pour communiquer et travailler ensemble. Et ils le font toujours aujourd'hui.
Ils ont fait de leur IPS une application plutôt qu'une appliance. Vous l'installez sur le endpoint, qui est un serveur de votre data center, et il le configurera selon une norme minimale. Cela signifie que les applications et la version du système d'exploitation que vous exécutez, jusqu'à la version en colonel, n'installez que les outils nécessaires pour cette instance particulière.
Ils minimisent l'installation, car ils ne veulent pas que vous recherchiez des bugs et des indicateurs de compromission que vous n'êtes pas en mesure d'expérimenter, car vous utilisez un système d'exploitation qui ne leur est pas vulnérable. Cela élimine beaucoup de frais généraux en matière de gestion des serveurs. Ils gardent à l'esprit qu'il s'agit de serveurs qui ont un travail à faire. Ce ne sont pas seulement des ordinateurs de bureau, et s'ils consomment beaucoup de CPU, c'est mauvais pour nous, car nous sommes prêts à faire des affaires et à gagner de l'argent. Nous n'avons jamais eu de problème avec eux. C'est vraiment fiable, une fois que vous l'avez configuré.
QU’EST-CE QUI DOIT ÊTRE AMÉLIORÉ ?
Lorsque vous déployez ces outils de Trend, l'intégration et leur collaboration font partie des pièces les plus difficiles du puzzle. Mais lorsque vous avez configuré et travaillé, vous êtes content de l'avoir fait.
Lorsque vous gérez un service de sécurité pour un certain nombre d'organisations de soins de santé et déployez la sécurité dans leurs environnements, ils veulent que cela se fasse aujourd'hui. Et ils ne veulent certainement pas s'en inquiéter au cours de quelques semaines. Nous sommes dans notre migration vers Cloud One depuis quelques mois maintenant et ce n’est pas notre seul projet. Nous avons beaucoup de choses à faire ici et dans nos filiales, pour lesquelles je suis également le DSSI. C'est très occupé. Nous n'avons pas le temps de nous asseoir et de travailler sur des projets uniquement dans le but d'avoir les ressources pour y travailler.
Lorsque nous investissons du temps pour intégrer des ressources, des appliances et des applications disparates, nous le faisons avec l'idée que nous allons en tirer quelque chose qui vaut plus que ce que nous y mettons. Dans tous les cas, c'est ce qui s'est passé avec Trend.
Pourtant, beaucoup de personnes que je connais ont adopté leur technologie, mais ne l'ont pas intégrée.
L'outil de gestion des endpoints repose sur le endpoint et le gère, mais il n'est pas entièrement intégré au sandbox, par exemple. Ce serait donc bien s'ils pouvaient simplifier le processus d'intégration. Et j’aimerais voir une meilleure documentation.
Un autre point est que, avec Trend Vision One, nous avons rencontré des problèmes avec les technologies IPS et EDR lors de notre première acquisition. Nous avons eu quelques difficultés à comprendre comment faire danser. Une fois que nous avons compris, nous étions d’accord.
La solution qu'ils ont mise en place pour cela était d'augmenter le nombre de présentations qu'ils ont faites sur le logiciel, les présentations où ils ont répondu aux questions. Nous y assistons toutes les deux à quatre semaines environ avec Trend pour passer en revue les choses, et ce n'est pas seulement nous. Il y a 70 à 100 personnes dans ces réunions. Ils ont compris que, bien qu'il soit acceptable de créer des systèmes raisonnablement complexes, à un moment donné, vous devez transmettre les connaissances aux utilisateurs finaux. Ce n'est pas toujours facile à faire. La plupart des entreprises opèrent dans l’état d’esprit suivant : « Eh bien, nous le comprenons, pourquoi ne le comprenez-vous pas ? »
La façon dont ils conçoivent leur technologie ne cesse de fonctionner et ce n'est pas nécessairement la norme dans le secteur. Leurs choses fonctionnent juste. C'est vraiment bon et bien conçu. »
DEPUIS COMBIEN DE TEMPS AI-JE UTILISÉ LA SOLUTION ?
Nous avons commencé l'intégration de Trend Vision One il y a trois ou quatre ans.
QUE PENSE-T-ON DE LA STABILITÉ DE LA SOLUTION ?
L'équipement de Trend est très stable et fiable. Dans ce secteur, il faut presque le faire parce que, si votre système tombe fréquemment en panne, vous n'avez tout simplement pas le temps de vous en occuper. Au cours des années où leur IPS a été déployé, et c'est un produit compliqué, nous avons peut-être connu une ou deux défaillances. Et comme je me souviens, c'était quelque chose dans une alimentation. Si votre panne principale est liée à une alimentation une fois tous les dix ans, vous êtes en bon état.
C'est la même chose avec toute leur technologie. La façon dont ils le conçoivent ne cesse de fonctionner et ce n'est pas nécessairement la norme dans le secteur. Par exemple, j'ai finalement dû abandonner la solution IAM d'IBM, car elle était si mauvaise. Cela ne ferait que casser. Nous n'avons pas ces problèmes avec Trend. Leurs choses fonctionnent juste. C'est vraiment bon et bien conçu.
QUE PENSE-T-ON DE L'ÉVOLUTIVITÉ DE LA SOLUTION ?
Il est raisonnablement évolutif, mais n'oubliez pas que, lorsque vous vous étendez, certains composants doivent être mis à l'échelle, tandis que d'autres doivent simplement être reconfigurés. Vous ne voulez pas payer ce dont vous n'avez pas besoin, ce qui signifie que vous n'avez pas nécessairement à tout doubler. Lorsque vous vous évadez, vous devez y réfléchir.
COMMENT SE DÉROULENT LE SERVICE CLIENT ET L'ASSISTANCE ?
Leur personnel d'assistance technique est meilleur que la plupart. Au cours de ma carrière, j’ai tout vu. Mais le support Trend est vraiment bon. C'est le meilleur fournisseur que j'ai pour l'assistance.
Chaque fois que nous avons eu un problème avec leur équipement, ils ont été rapides et ont pris le dessus et l'ont fait réparer. Et s'ils ne peuvent pas le réparer, ils remplacent tout ce qu'ils doivent remplacer.
Un autre aspect de Trend qui est vraiment bon est qu'ils écoutent ce que vous dites. Si vous trouvez un cas d’utilisation qu’ils n’ont pas actuellement, ils l’ajouteront à leur répertoire et, quelques mises à jour en cours de route, il y a cet outil dont vous avez besoin. Il s'agit simplement d'une entreprise bien dirigée et bien gérée en ce qui concerne ce côté des choses.
Par exemple, au début, l’utilisation du tableau de bord était un peu difficile. Mais ce qu'ils ont fait, c'est d'organiser des réunions bihebdomadaires. Ils passeraient non seulement en revue les cas d’utilisation, mais ils se demandaient à la fin : « Qu’aimeriez-vous voir d’autre ? Comment amélioreriez-vous cela ? » Une fois que la communauté des DSSI a pris cela en main, ils venaient avec leurs armes chargées et disaient : « J'aimerais voir cela et j'aimerais voir cela. » Trend a commencé à éliminer ceux qui avaient du sens. À ce jour, il s'agit d'un jeu de balle complètement différent de ce qu'il était à l'époque. Ils mettent constamment à niveau leurs plateformes.
Et ils n'ont pas absolument besoin de faire de grandes versions pour mettre les choses entre les mains des utilisateurs. Ils vont construire quelque chose et dire : « Hé, nous avons inclus cela. Essayez-le et dites-nous ce que vous en pensez. » La plupart des entreprises diraient : « Cette fonctionnalité sera disponible dans la version 5 et pas avant cette version. La version 5 est prévue pour mai, mais elle ne sortira probablement pas avant octobre. » Trend n'est pas comme ça et nous apprécions cela.
COMMENT ÉVALUERIEZ-VOUS LE SERVICE ET L'ASSISTANCE À LA CLIENTÈLE ?
Positif
QUELLE SOLUTION AI-JE UTILISÉE PRÉCÉDEMMENT ET POURQUOI AI-JE CHANGÉ DE SOLUTION ?
Nous revenons en arrière avec Trend. Lorsque je les ai rencontrés pour la première fois, c’était un commercial du complexe Torrey Pines qui rencontrait des personnes. Un groupe de DSI et de DSSI y ont été réunis et mis en place pendant quelques jours pour rencontrer divers commerciaux. C’était un événement de « connaissance » et je l’ai fait chaque année. L'un des commerciaux venait de Trend et je ne savais rien à leur sujet, mais j'ai été impressionné par sa présentation. Je me suis dit : « Gardez celui-ci à l'esprit. Pensez-y un peu. »
Environ un an plus tard, lorsque, à l’époque, nous utilisions la suite d’endpoint IBM, IBM a décidé de la supprimer. Il possédait environ cinq ensembles d'outils différents, dont l'un était IBM BigFix, une solution de gestion des correctifs que nous avons toujours.
Ils ont dit que si vous voulez les remplacer par ce qui était appelé, à l'époque, Trend OfficeScan, vous pouvez, et nous l'avons fait. Lorsque nous avons migré vers OfficeScan pour remplacer la pièce d’endpoint, nous avons réalisé que les autres pièces IBM étaient toutes en vol, à l’exception de BigFix. Nous venons de bloquer les outils IBM pour les outils Trend, composant par composant. Cela a vraiment bien fonctionné pour nous, car la gamme d'outils Trend était beaucoup plus complète que les outils IBM. Et il s'est bien intégré à notre infrastructure BigFix. Tout a fonctionné ensemble. C'était sans hésitation. Trend a conçu des systèmes de sécurité bien meilleurs qu'IBM.
Une fois OfficeScan en place, nous avons commencé à parler de l’achat d’un IPS. En général, je fais une preuve de concept lorsque je vais acheter quelque chose. Le système IPS Trend Micro raccord-pointe a été inclus dans l'évaluation. Ce que j'ai découvert, c'est que ce n'est pas seulement le meilleur produit, mais qu'il offre le meilleur support produit et cela fait vraiment la différence.
Nous utilisons Trend sur presque tous les fronts sur lesquels ils travaillent. Ils ont été un partenaire formidable pour nous, très bien.
Lorsque nous avons lancé le service de sécurité ici, l'un des problèmes que nous avions était que nous poursuivions les malware de haut en bas. Nous disposions du logiciel de gestion des endpoints et de l’antivirus McAfee à l’époque, mais nous ne pouvions pas l’exécuter, car si nous le faisions, cela finirait par épuiser tout le CPU et basculer sur le bureau.
Nous recherchions un remplacement pour cela. Nous avons examiné la technologie Trend Vision One et nous avons découvert qu'ils étaient profondément intéressés par ce qu'ils appellent la gestion de la surface d'attaque. Il intègre l'outil Trend EDR que nous avions et l'a transformé en quelque chose qui peut remonter. Il a non seulement pu détecter qu’un événement s’était produit, ce que nous avions l’habitude d’obtenir, mais nous a également donné des informations sur ce qui a conduit à cet événement. Quelle séquence d’événements s’est produite sur nos plateformes qui y a conduit ? Nous pourrions le retracer en arrière, et c'est le composant XDR. Ils ont remplacé le composant EDR et c'est à ce moment-là que nous avons fait affaire avec Trend Vision One.
Depuis, nous avons déployé les composants Deep Security et Deep Discovery, en plus de leur IPS TippingPoint et de leur endpoint. Nous avons également mis en place leur solution de sécurité des emails.
Le jeu d'outils Deep Security se trouve dans votre data center sur chaque instance de serveur que vous souhaitez protéger. Les systèmes d'exploitation pris en charge par Trend sont Windows, Linux, Solaris et AIX. Et que déployons-nous dans notre organisation ? Ces quatre systèmes d'exploitation. Je me suis dit : « C’est comme un message de Dieu lui-même. » J’ai été renversé par cela.
Et en ce moment, nous migrons vers leur environnement Cloud One. Cela nous permet de passer au niveau supérieur et de tirer parti des analyses qui existent dans le cloud sans avoir à configurer toute l’infrastructure pour la prendre en charge. Tout ce que nous avons reste tel quel, sur site, mais tout dépend désormais du cloud, et ces informations sont améliorées et agrégées en données plus significatives, qui reviennent ensuite dans notre vision. C’est l’objectif de l’approche Cloud One.
C'est une entreprise plutôt cool et elle est vraiment bien organisée et bien gérée.
COMMENT LA CONFIGURATION INITIALE A-T-ELLE ÉTÉ EFFECTUÉE ?
Le déploiement initial est toujours le plus difficile, car vous ne l'avez jamais fait auparavant. Vous allez rencontrer des problèmes que vous ne connaissez pas. Lorsque vous passez d’OfficeScan à Apex One, en passant à Vision One à Cloud One, cela devient plus facile à chaque fois que vous le faites, car vous savez ce qui va arriver.
D'ici là, vous avez déjà un groupe établi de personnes qui vous soutiennent et qui vous soutiennent depuis un certain temps. Vous savez travailler avec eux, vous savez à quoi vous attendre et comment les choses vont avancer. Et vous savez à peu près quel sera le délai. Cette partie est bonne.
Vision One est sur site. Nous avons commencé à construire des data centers il y a longtemps et j'ai eu l'honneur et le privilège de le faire. Nous avons conçu la redondance au niveau du data center, il y a donc deux de tout. Et puis vous vous demandez : « Eh bien, que se passe-t-il si quelque chose arrive au data center ? » Nous en avons donc créé un autre. Et nous avons réalisé que nous voulions le faire ailleurs, car nous avons suffisamment de tremblements de terre en Californie du Sud pour savoir que rien n'est sûr ici. Par conséquent, nous en avons construit un en Arizona et nous avons imité ce que nous avions ici, puis nous avons tout honteux ensemble. Nous pouvons donc basculer ici ou vers l'usine de l'Arizona. Nous gérons essentiellement deux clouds privés. Cela nous a conduits là où nous étions il y a environ un an.
Et puis, soudain, il y avait l’idée de passer au cloud. Nous avons commencé à travailler avec Azure et AWS pour déplacer des éléments dans le cloud, mais il y avait également des problèmes avec cela.
Par exemple, si nous construisons une grande infrastructure dans notre data center, nous achetons le matériel, puis nous le déployons. Tout ce matériel est CapEx et vous pouvez annuler le coût de la plupart d'entre eux sur une période de plusieurs années. Lorsque vous passez au cloud, vous n'obtenez pas cette pause, et si vous profitez de l'infra de quelqu'un d'autre, il vous facturera ce service. Bien que je ne sois pas un expert du cloud, nous avons créé des applications basées sur le cloud, mais, d’un point de vue financier, cela est vraiment coûteux. Vous ne récupérez pas ces dépenses d'investissement dans votre poche comme vous le faites lorsque vous mettez en place vos propres data centers.
Notre direction veut toujours mettre plus de choses dans le cloud, donc nous continuerons à le faire, et Cloud One vous permet de le faire avec les fonctionnalités de sécurité des charges de travail.
QU'EN EST-IL DE L'ÉQUIPE DE MISE EN ŒUVRE ?
Nous avons tout fait en interne. J'ai trouvé quelqu'un qui avait déjà travaillé dans la sécurité, au sein de notre entreprise, et l'ai amené dans mon équipe. Si vous pouvez trouver quelqu'un qui a déjà fait ce travail et le comprend, vous pouvez non seulement lui demander de le déployer immédiatement, ce qui retire cette partie de la table, mais il est également en mesure de commencer à apprendre d'autres choses parce qu'il connaît déjà l'infrastructure que vous déployez vraiment bien. À chaque fois que j'ai dû attraper quelqu'un qui avait déjà de l'expérience et qui était doué pour ce qu'il a fait, je l'ai fait. Cela permet d'obtenir des personnes expérimentées.
QUEL A ÉTÉ NOTRE ROI ?
J'ai toujours eu l'impression que l'automatisation et l'intégration des plateformes allaient être la clé.
La raison pour laquelle j’ai senti cela était que je n’allais pas à la sécurité lorsque je suis sorti de l’école. J’ai eu la chance d’obtenir un emploi dans la division d’ingénierie des systèmes de NCR. J'ai conçu et conçu des microprocesseurs, puis j'ai conçu un logiciel de système d'exploitation pour les microprocesseurs. J'ai été exposé à une grande partie de ce qui se passait dans les intestins de la bête. Bien que la bête change d'une entreprise à l'autre, vous avez une idée de ce qui se passe réellement.
J'ai ensuite créé ma propre entreprise et j'ai appris que l'intégration d'éléments est essentielle à votre réussite, tout comme l'automatisation. Vous devez automatiser les solutions, car vous ne voulez pas que beaucoup de personnes essaient de réparer les choses si vous pouvez automatiser les choses et traiter les problèmes.
Lorsque nous examinons les journaux des IPS, par exemple, ils bloquent des centaines de milliers, et parfois des millions, de paquets par jour. Si nous autorisions ces paquets, je ne sais pas ce qui se passerait, mais je ne pense pas que ce serait bien.
De plus, je n'ai pas de personnel important sous moi. L'idée qu'en tant que responsable de la sécurité de l'information, vous allez demander à quelques centaines de personnes de travailler sur les choses ne va tout simplement pas se produire. Vous devez donc vraiment configurer les choses et les configurer pour l'automatisation, et tout type d'alerte doit indiquer le problème plutôt que de vous dire où commencer à chercher.
QUELLE EST MON EXPÉRIENCE EN MATIÈRE DE TARIFICATION, DE COÛT DE CONFIGURATION ET DE LICENCE ?
Ils ont une nouvelle méthode de tarification et nous n'avons pas encore été attirés par cela, ce qui me plaît. C'est assez difficile de gérer les dollars, mais avec leur nouvelle solution, et je ne suis pas là parce que je ne l'ai pas encore utilisée, vous achetez des jetons ou des points et vous achetez des choses avec eux. Nous ne sommes pas allés là-bas. Nous sommes restés fidèles à ce que nous avions.
Du point de vue de la tarification, ils sont un très bon négociateur et ils travailleront avec vous. Lors de la première conférence Trend à laquelle j'ai assisté, une présentation a été faite à leur équipe de vente et on leur a dit : « Ne vous inquiétez pas de gagner de l'argent. Faites simplement plaisir à nos clients, et l'argent viendra. » Ils sont bons et bien meilleurs que la plupart des entreprises. C'est toujours bien d'avoir un bon partenaire.
QUELLES AUTRES SOLUTIONS AI-JE ÉVALUÉES ?
Nous avons examiné les nouvelles choses avec lesquelles IBM sortait, ce qui n'était pas si nouveau, et ils n'ont donc pas beaucoup avancé dans notre évaluation. Nous avons également examiné McAfee et une autre société qui était une start-up à l’époque, bien que je ne me souvienne pas de son nom.
J’avais trois ou quatre fournisseurs en point de vente, et j’ai demandé à chacun d’entre eux de soutenir l’effort et de me donner environ un mois. Lorsque j’ai terminé, j’ai non seulement obtenu le meilleur produit, mais aussi le meilleur fournisseur. L’assistance doit être là pendant ce processus, sinon ils ne gagneront pas la journée. Certains d’entre eux étaient aussi mauvais que : « Voici, dites-nous comment cela se passe. » Et je me disais : « Eh bien, j’ai peut-être quelques questions entre maintenant et ensuite. J'espère que quelqu'un est au téléphone pour y répondre », mais vous n'avez pas toujours ce luxe. Mais Trend était vraiment bon et c'est pour cela que j'ai continué à les suivre.
QUEL MODÈLE DE DÉPLOIEMENT UTILISEZ-VOUS POUR CETTE SOLUTION ?
Sur site
Rejoignez plus de 500 000 clients dans le monde entier
Faites vos premiers pas avec Trend aujourd'hui