Azienda del settore sanitario
L'integrazione e l'automazione di Trend Vision One migliorano sicurezza e affidabilità
Frank Bunton
Chief Information Security Officer
presso un'azienda sanitaria con 5.001-10.000 dipendenti
IN CHE MODO HA AIUTATO LA MIA ORGANIZZAZIONE?
Ogni componente che abbiamo acquistato da Trend Micro ha un proprio set di valori unico. Ma come CISO, l'entusiasmo più grande della mia giornata è quando arriva un'iniziativa Zero Day. È una di quelle cose per cui, per natura, non sei generalmente preparato e la reazione iniziale del team di sicurezza è stata: "Cosa faremo al riguardo?"
Quando è successo, ho suggerito di guardare il nostro Trend Micro IPS e vedere se ci sono vaccini correlati allo specifico Zero Day e se ce ne sono stati. Abbiamo abilitato questi vaccini e abbiamo potuto vedere, utilizzando l'appliance ExtraHop, che i problemi che stavamo riscontrando prima erano stati risolti. Questa particolare esperienza era un predittore di ciò che sarebbe stato possibile fare. Da allora, in quasi tutte le occasioni, abbiamo avuto una risposta attenuante nel nostro arsenale a qualsiasi tipo di attacco Zero Day prima che l'attacco si verificasse effettivamente.
E anche quando ci siamo trovati in una situazione come Log4j e non c'era nulla nel nostro arsenale da gestire, ci siamo chiamati Trend, e hanno detto: "Sì, lo stiamo consegnando in questo momento, ma dovrai installarlo manualmente". E stavo pensando: "Lo installerò capovolto se devo, ma il risultato finale è solo quello di arrivare qui". L'abbiamo implementata e il problema è stato risolto. Credo che possiedano quell'iniziativa VDI ed è davvero bello che siano così vicine. È qualcosa che mi ha davvero reso la vita molto più facile. Correre con i capelli in fiamme non è divertente.
In sostanza, ci ha permesso di avere un controllo sulle nostre iniziative e sulla pianificazione della sicurezza e di costruire la sicurezza nel lungo termine. Lavoriamo con loro da almeno dieci anni.
Le loro persone di supporto tecnico sono migliori della maggior parte. Nella mia carriera, ho visto tutto. Ma il supporto Trend è davvero buono. Sono il miglior fornitore che ho per il supporto.
COSA È PIÙ VALORE?
Il loro set di strumenti si integra bene con la nostra infrastruttura esistente. Si integra bene con il nostro SIEM AT&T AlienVault.
Un altro elemento che rende Trend unica, e ho potuto vedere dove avrebbero potuto avere un problema a dare il via a tutto, è che erano una delle aziende, all'inizio, che ha trascorso molto tempo a integrare i loro set di strumenti, e ne sono rimasto davvero colpito. Ciò significava che il sistema di gestione degli endpoint poteva raggiungere il sistema Trend Vision One™ – Deep Discovery™ sulla rete e rilevare qualcosa che percepiva come un oggetto sospetto. Potrebbe quindi eseguirne il sandbox e monitorarlo. Se quell'entità sospetta si fosse rivolta al comando e al controllo o avesse fatto qualcosa di malevolo, gli endpoint sarebbero stati avvisati e avrebbero iniziato a sbarazzarsi del problema.
Il problema affrontato, ed è uno dei problemi più importanti, è che devi davvero considerare l'automazione e esserne consapevole. Perché quando la roba colpisce il fan, non sei necessariamente abbastanza veloce, come essere umano, per fare tutto nel modo in cui deve essere fatto e documentare il processo.
Potresti non pensare a quell'ultimo pezzo così tanto quando inizi a fare ingegneria della sicurezza. Ma quando entri in una grande azienda sanitaria come la nostra, ci sono verifiche in corso in ogni momento. I revisori vorranno scegliere due o tre eventi che hai affrontato e dire: "Vogliamo vedere l'audit trail", ecc. Di conseguenza, l'integrazione dei diversi set di strumenti di Trend offre vantaggi.
Trend ha lavorato molto duramente per far sì che i loro set di strumenti, come IPS, Deep Discovery, Trend Micro™ – Deep Security™, ecc., parlassero tra loro e lavorassero insieme. E lo fanno ancora oggi.
Hanno reso il loro IPS un'applicazione piuttosto che un'appliance. Lo installi sull'endpoint, che è un server nel tuo datacenter, e lo configurerà effettivamente secondo uno standard minimo. Ciò significa che le applicazioni e la versione del sistema operativo in esecuzione, fino alla versione colonel, ottengono solo gli strumenti installati necessari per quella particolare istanza.
Riducono al minimo l'installazione perché non vogliono che tu cerchi bug e indicatori di compromissione che non sei in grado di sperimentare perché stai utilizzando un sistema operativo che non è vulnerabile a loro. Questo elimina molte spese generali quando si tratta di gestione dei server. Ricordano che si tratta di server che hanno un lavoro da fare. Non si tratta solo di desktop e se consumano molta CPU, è un problema perché siamo pronti a fare affari e a guadagnare. Non abbiamo mai avuto problemi con loro. È davvero affidabile, una volta configurato.
COSA HA BISOGNO DI MIGLIORAMENTO?
Quando si implementano questi strumenti di Trend, l'integrazione e la loro capacità di lavorare insieme sono tra le parti più difficili del puzzle. Ma quando si ottiene questa configurazione e si lavora, si è felici di averlo fatto.
Quando gestisci un reparto di sicurezza per diverse organizzazioni sanitarie e distribuisci la sicurezza nei loro ambienti, vogliono farlo oggi. E certamente non vogliono essere disturbati nel corso di alcune settimane. Siamo stati nella nostra migrazione a Cloud One per un paio di mesi e non è il nostro unico progetto. Abbiamo molte cose da fare qui e nelle nostre filiali, per le quali sono anche il CISO. È molto impegnato. Non abbiamo tempo per sederci e lavorare su progetti solo per avere le risorse per lavorarci.
Quando investiamo il tempo necessario per integrare risorse, appliance e applicazioni diverse, lo facciamo con l'idea di ottenere qualcosa che vale più di quello che ci mettiamo. In ogni caso, è quello che è successo a Trend.
Tuttavia, molte persone che conosco hanno adottato la loro tecnologia, ma non l'hanno integrata.
Lo strumento di gestione degli endpoint si trova sull'endpoint e lo gestisce, ma non è completamente integrato, ad esempio, con la sandbox. Sarebbe bello se potessero semplificare il processo di integrazione. Vorrei vedere una documentazione migliore.
Un altro punto è che, con Trend Vision One, ci sono stati problemi che abbiamo riscontrato con le tecnologie IPS ed EDR quando l'abbiamo ottenuto per la prima volta. Abbiamo avuto qualche difficoltà a capire come ballare. Una volta capito, eravamo a posto.
Il rimedio che hanno messo in atto è stato quello di aumentare il numero di presentazioni che hanno fatto sul software, presentazioni in cui hanno risposto alle domande. Partecipiamo ogni due o quattro settimane con Trend per esaminare le cose e non siamo solo noi. Ci sono da 70 a 100 persone in queste riunioni. Hanno capito che, sebbene sia corretto creare sistemi ragionevolmente complessi, a un certo punto è necessario trasmettere le conoscenze agli utenti finali. Non è sempre facile. La maggior parte delle aziende opera con la mentalità che: "Beh, lo comprendiamo, perché non lo comprendi?"
Il modo in cui progettano la loro tecnologia continua a funzionare e questo non è necessariamente sempre lo standard del settore. La loro roba funziona. È davvero buono e ben progettato".
DA QUANTO TEMPO UTILIZZO LA SOLUZIONE?
Abbiamo avviato l'integrazione di Trend Vision One tre o quattro anni fa.
COSA NE PENSO DELLA STABILITÀ DELLA SOLUZIONE?
L'attrezzatura di Trend è molto stabile e affidabile. In questo settore, deve quasi essere perché, se il sistema si arresta frequentemente, non hai tempo per disordinarlo. Negli anni in cui sono stati distribuiti i loro IPS, e questo è un prodotto complicato, potremmo aver avuto uno o due guasti. E come ricordo, era qualcosa in un alimentatore. Se il tuo guasto principale è qualcosa che riguarda un alimentatore una volta ogni dieci anni, sei in buona forma.
È la stessa cosa con tutta la loro tecnologia. Il modo in cui lo progettano, continua a funzionare e questo non è necessariamente sempre lo standard del settore. Ad esempio, ho finalmente dovuto abbandonare la soluzione IAM di IBM perché era così negativa. Si romperebbe. Non abbiamo questi problemi con Trend. La loro roba funziona. È davvero buono e ben progettato.
COSA NE PENSO DELLA SCALABILITÀ DELLA SOLUZIONE?
È ragionevolmente scalabile, ma ricorda che, mentre stai ridimensionando, alcuni componenti devono essere ridimensionati mentre altri devono solo essere riconfigurati. Non vuoi pagare per ciò di cui non hai bisogno, il che significa che non devi necessariamente raddoppiare tutto. Quando ti abbassi, devi pensarci un po'.
COME SONO IL SERVIZIO CLIENTI E IL SUPPORTO?
Le loro persone di supporto tecnico sono migliori della maggior parte. Nella mia carriera, ho visto tutto. Ma il supporto Trend è davvero buono. Sono il miglior fornitore che ho per il supporto.
Ogni volta che abbiamo avuto un problema con la loro attrezzatura, sono stati pronti, l'hanno affrontata e l'abbiamo risolta. E se non riescono a risolverlo, sostituiscono tutto ciò che devono sostituire.
Un altro aspetto di Trend che è davvero positivo è che ascoltano ciò che dici. Se ti viene in mente un caso d'uso che attualmente non hanno, lo aggiungeranno al loro repertorio e, un paio di aggiornamenti lungo la strada, c'è quello strumento di cui hai bisogno. È solo un'azienda ben guidata e ben gestita quando si tratta di quel lato delle cose.
Ad esempio, all'inizio, l'utilizzo della dashboard era un po' complicato. Ma la cosa bella che hanno fatto è stata tenere riunioni bisettimanali. Non solo passerebbero in rassegna i casi d'uso, ma alla fine chiedevano: "Cos'altro vorresti vedere? Come lo miglioreresti?" Una volta che la comunità CISO ne ha avuto la presa, si è avvicinata con le armi caricate e ha detto: "Vorrei vederlo e vorrei vederlo". E Trend ha iniziato a eliminare quelli che avevano senso. Ad oggi, si tratta di un gioco di palla completamente diverso da quello di allora. Aggiornano costantemente le loro piattaforme.
E non devono assolutamente fare grandi rilasci per mettere le cose nelle mani degli utenti. Costruiranno qualcosa e diranno: "Ehi, l'abbiamo incluso. Provalo e facci sapere cosa ne pensi." La maggior parte delle aziende direbbe: "Questa funzionalità sarà disponibile nella versione 5 e non fino a quella versione. La versione 5 è prevista per maggio, ma probabilmente non sarà disponibile fino a ottobre." Trend non è così e lo apprezziamo.
COME VALUTERESTI IL SERVIZIO CLIENTI E IL SUPPORTO?
Positivo
QUALE SOLUZIONE HO UTILIZZATO IN PRECEDENZA E PERCHÉ HO CAMBIATO?
Torniamo indietro di molto con Trend. Quando li ho incontrati per la prima volta, era un addetto alle vendite del resort Torrey Pines che incontrava persone. Un gruppo di CIO e CISO è stato riunito e preparato per alcuni giorni per incontrare vari venditori. È stato un evento di "conoscenza" e l'ho fatto ogni anno. Uno degli addetti alle vendite proveniva da Trend e non sapevo nulla di loro, ma sono rimasto colpito dalla sua presentazione. All'epoca pensavo a me stesso: "Tieni a mente questo. Pensaci un po'."
Circa un anno dopo, quando, all'epoca, utilizzavamo la suite di endpoint IBM, IBM decise di eliminarla. Aveva circa cinque set di strumenti diversi, uno dei quali era IBM BigFix, che è una soluzione di gestione delle patch che abbiamo ancora.
Hanno detto che se vuoi sostituirli con quelli che all'epoca venivano chiamati, Trend OfficeScan, puoi e lo abbiamo fatto noi. Quando siamo migrati a OfficeScan per sostituire l'endpoint, ci siamo resi conto che gli altri elementi IBM erano tutti in circolazione, tranne BigFix. Abbiamo quindi appena bloccato gli strumenti IBM per gli strumenti Trend, componente per componente. Questo è andato molto bene per noi perché il set di strumenti Trend era molto più completo degli strumenti IBM. E si integra bene con la nostra infrastruttura BigFix. Tutto ha funzionato insieme. Era un no-brainer. Trend ha creato sistemi di sicurezza molto migliori di quelli di IBM.
Una volta installato OfficeScan, abbiamo iniziato a parlare di acquisto di un IPS. Generalmente faccio una prova di concetto quando acquisterò qualcosa. Il sistema Trend Micro™ TippingPoint™ IPS è stato incluso nella valutazione. Quello che ho scoperto è che non è solo il prodotto migliore, ma ha il miglior supporto per il prodotto e questo fa davvero la differenza.
Usiamo Trend su quasi tutti i fronti su cui lavorano. Sono stati un partner straordinario per noi, davvero bravi.
Quando abbiamo dato il via al dipartimento di sicurezza qui, uno dei problemi che avevamo era che stavamo inseguendo il malware in alto e in basso. A quel tempo avevamo il software e l'antivirus McAfee per la gestione degli endpoint, ma non potevamo eseguirlo perché, se lo facessimo, alla fine avrebbe consumato tutta la CPU e avrebbe ribaltato il desktop.
Eravamo alla ricerca di un sostituto. Abbiamo dato un'occhiata alla tecnologia Trend Vision One e abbiamo scoperto che erano profondamente interessati a ciò che chiamano gestione della superficie di attacco. Integra lo strumento Trend EDR che avevamo e lo trasforma in qualcosa che può risalire indietro. Non solo è stato possibile rilevare che si era verificato un evento, che è quello che prima ottenevamo, ma ora ci ha fornito informazioni su ciò che ha portato a quell'evento. Quale sequenza di eventi si è verificata nelle nostre piattaforme che l'hanno portata a questo? Potremmo rintracciarlo a ritroso, e questo è il componente XDR. Hanno sostituito il componente EDR ed è qui che abbiamo iniziato a lavorare con Trend Vision One.
Da allora, abbiamo distribuito i componenti Deep Security e Deep Discovery, oltre al loro IPS TippingPoint e al loro endpoint. Abbiamo anche implementato la loro soluzione di sicurezza email.
Il set di strumenti Deep Security si trova nel tuo datacenter su ogni istanza server che desideri proteggere. I sistemi operativi supportati da Trend sono Windows, Linux, Solaris e AIX. E cosa implementiamo nella nostra organizzazione? Questi quattro sistemi operativi. Pensavo: "È come un messaggio di Dio stesso". Sono rimasto sconvolto da questo.
E in questo momento, stiamo migrando nel loro ambiente Cloud One. Questo porta a un livello superiore e ci consente di sfruttare le analisi esistenti nel cloud senza dover configurare tutta l'infrastruttura per supportarla. Tutto ciò che abbiamo rimane così com'è, on-premise, ma tutto ora viene segnalato al cloud e tali informazioni vengono migliorate e ulteriormente aggregate in dati più significativi, che poi rientrano nella nostra visione. Ecco di cosa si occupa l'approccio Cloud One.
Sono un'azienda piuttosto bella e sono davvero ben organizzate e ben gestite.
COM'È STATA LA CONFIGURAZIONE INIZIALE?
La distribuzione iniziale è sempre la più difficile perché non l'hai mai fatta prima. Incontrerai problemi che non conosci. Passando da OfficeScan ad Apex One, da Vision One a Cloud One, diventa più facile ogni volta che lo fai perché sai cosa succede.
A quel punto, hai già un gruppo consolidato di persone che ti supportano e che ti supportano da tempo. Conosci bene il lavoro con loro, sai cosa aspettarti e come andranno avanti le cose. E sai praticamente quale sarà l'intervallo di tempo. Questa parte è buona.
Vision One è on-premise. Abbiamo iniziato a costruire data center molto tempo fa e ho avuto l'onore e il privilegio di farlo. Abbiamo costruito la ridondanza a livello di datacenter, quindi ci sono due elementi. E poi pensi: "Beh, cosa succede se succede qualcosa al datacenter?" Quindi ne abbiamo costruita un'altra. E poi ci siamo resi conto che lo volevamo altrove perché abbiamo abbastanza terremoti nella California meridionale per sapere che nulla è sicuro qui. Di conseguenza, ne abbiamo costruito uno in Arizona e abbiamo imitato ciò che avevamo qui e poi abbiamo scomposto tutto insieme. Quindi possiamo fallire qui o nella struttura dell'Arizona. Abbiamo essenzialmente due cloud privati che gestiamo. Questo ci ha portato dove eravamo circa un anno fa.
E poi, improvvisamente, c'era l'idea di passare al cloud. Abbiamo iniziato a lavorare con Azure e AWS per spostare gli elementi nel cloud, ma ci sono stati anche alcuni problemi.
Ad esempio, se costruiamo una grande infrastruttura nel nostro datacenter, acquistiamo l'hardware e lo distribuiamo. Tutto questo hardware è CapEx ed è possibile stornarne il costo in un periodo di anni. Quando ti sposti nel cloud, non otterrai quella pausa e, se sfrutti l'infra di qualcun altro, ti addebiteranno quel servizio. Anche se non sono un esperto del cloud, abbiamo messo insieme alcune applicazioni basate sul cloud, ma, dal punto di vista finanziario, è davvero costoso. Non rimetti in tasca CapEx come fai quando metti insieme i tuoi datacenter.
La nostra direzione vuole ancora mettere più cose nel cloud, quindi continueremo a farlo e Cloud One ti consente di farlo con le funzionalità di sicurezza del carico di lavoro.
E IL TEAM DI IMPLEMENTAZIONE?
Abbiamo fatto tutto internamente. Ho trovato qualcuno che aveva già lavorato nella sicurezza, all'interno della nostra azienda, e lo ha portato nel mio team. Se riesci a trovare qualcuno che ha già fatto questo lavoro e lo capisce, non solo puoi farlo distribuire immediatamente, il che toglie quel pezzo dal tavolo, ma è in grado di iniziare a imparare altre cose perché conosce già l'infrastruttura che stai implementando molto bene. In ogni occasione ho dovuto prendere qualcuno che aveva già esperienza ed era bravo con quello che faceva, l'ho fatto. Aiuta a ottenere persone esperte.
QUAL È STATO IL NOSTRO ROI?
Ho sempre pensato che l'automazione e l'integrazione delle piattaforme fossero la chiave di tutto questo.
Il motivo per cui pensavo di non essere entrata in sicurezza quando sono uscita da scuola. Ho avuto la fortuna di avere un lavoro presso la divisione Systems Engineering di NCR. Ho costruito e progettato i microprocessori, quindi ho costruito il software del sistema operativo per i microprocessori. Sono stato esposto a molte cose che stanno succedendo nell'intestino della bestia. Anche se la bestia cambia da azienda a azienda, hai un'idea di ciò che sta realmente accadendo.
Ho quindi avviato la mia azienda e ho imparato che l'integrazione degli elementi è fondamentale per il tuo successo, così come l'automazione. Devi automatizzare le soluzioni perché non vuoi che un gruppo di persone cerchi di risolvere le cose se puoi automatizzare le cose e occuparti dei problemi.
Quando guardiamo i log degli IPS, ad esempio, bloccano centinaia di migliaia, e talvolta milioni, di pacchetti al giorno. Se consentissimo l'accesso a questi pacchetti, non so cosa accadrebbe, ma non credo che sarebbe positivo.
Inoltre, non ho un grande personale sotto di me. L'idea che, in qualità di Chief Information Security Officer, tu debba far lavorare un paio di centinaia di persone sulle cose non succederà. Quindi devi davvero impostare le cose e configurarle per l'automazione, e qualsiasi tipo di avviso deve indicare il problema piuttosto che dirti dove iniziare a cercare.
QUAL È LA MIA ESPERIENZA CON PREZZI, COSTI DI CONFIGURAZIONE E LICENZE?
Hanno un nuovo metodo di determinazione dei prezzi e non siamo ancora stati coinvolti, per il quale sono grato. È abbastanza difficile affrontare i soldi, ma con la loro nuova soluzione, e non sono pronto perché non l'ho ancora utilizzato, acquisti token o qualche tipo di punto e acquisti cose con loro. Non ci siamo andati. Siamo rimasti fedeli a ciò che avevamo.
Dal punto di vista dei prezzi, sono un ottimo negoziatore e lavoreranno con te. Alla prima conferenza Trend a cui ho partecipato, c'è stata una presentazione al loro team di vendita e gli è stato detto: "Non preoccuparti di guadagnare. Rendi felici i nostri clienti e il denaro arriverà". Sono bravi e molto meglio della maggior parte delle aziende. È sempre bello avere un buon partner.
QUALI ALTRE SOLUZIONI HO VALUTATO?
Abbiamo esaminato le nuove cose con cui IBM stava uscendo, che non erano così nuove, quindi non sono arrivate molto lontano nella nostra valutazione. Abbiamo anche esaminato McAfee e un'altra azienda che all'epoca era una startup, anche se non ricordo il suo nome.
Avevo tre o quattro fornitori in per i PoC e ho chiesto a ciascuno di loro di sostenere lo sforzo e di darmi circa un mese. Quando ho finito, non solo ho ottenuto il prodotto migliore, ma anche il miglior fornitore. Il supporto deve essere presente durante quel processo o non vincerà la giornata. Alcuni di loro erano gravi come: "Eccoci, facci sapere come funziona". E stavo pensando: "Beh, potrei avere qualche domanda da un momento all'altro. Spero che qualcuno sia al telefono per rispondere", ma non sempre ottieni quel lusso. Ma Trend è stato davvero bravo ed è per questo che mi sono bloccato con loro.
QUALE MODELLO DI DISTRIBUZIONE STAI UTILIZZANDO PER QUESTA SOLUZIONE?
On-premise
Unisciti a oltre 500.000 clienti a livello globale
Inizia oggi stesso con Trend