Azienda del settore sanitario
Trend Vision One rende i dati significativi e aiuta a controllare tempestivamente un attacco
Jasneet Singh
Ingegnere della sicurezza del cloud presso un'azienda sanitaria con 5.001-10.000 dipendenti
QUAL È IL NOSTRO CASO D'USO PRINCIPALE?
In passato usavamo Symantec e con l'arrivo di EDR sul mercato eravamo alla ricerca di una soluzione. Volevamo un sistema di difesa in modo che se c'è un attacco al sistema, come un endpoint infetto o l'aggressore o una tecnica nota per il ransomware si muovesse lateralmente, non ho bisogno di andare al team del firewall. Non ho bisogno di andare ad altri team per scoprirlo. Dovrei avere informazioni sufficienti in quella stessa fase per contenerle, se possibile.
Trend Vision One ha ridotto il tempo medio di risposta alle minacce dal 70% all'80%.
IN CHE MODO HA AIUTATO LA MIA ORGANIZZAZIONE?
Eravamo alla ricerca di un sistema con un unico pannello di controllo. Il percorso è iniziato con la distribuzione del client EDR sui server, che si chiama Trend Micro™ Deep Security, e Trend Micro Apex One™ sugli endpoint, come desktop e laptop. Li abbiamo quindi collegati a un unico pannello di controllo, chiamato XDR, ora noto come Trend Vision One. Ci ha aiutato a cacciare e correggere correttamente. Abbiamo potuto vedere la comunicazione tra gli endpoint e i server e tutto ciò con cui stavano parlando. Potremmo quindi espanderlo ulteriormente e collegarlo a tutti i sistemi attraverso le API. Questo era il requisito iniziale che avevamo e ha funzionato molto bene in questo senso.
Quando acquisti soluzioni SIEM estese o costose, come Splunk o altro, ciò che accade è che hai bisogno di analisi. È possibile scrivere query significative per interrogare i dati. Alla fine della giornata, tutti i dati in entrata devono essere correlati. Trend Vision One offre visibilità in questo senso.
L'abbiamo collegata al cloud, così abbiamo potuto vedere la telemetria da Azure e dal cloud. Abbiamo quindi installato la risposta di rilevamento della rete. Potrebbe vedere e rilevare un piccolo movimento dal livello di rete. L'abbiamo quindi collegata ad Active Directory, in modo da poter ottenere l'attribuzione. Attualmente abbiamo molti dati in arrivo. Con un piccolo team, il problema che si presenta è come gestire così tante informazioni e come dare priorità. Aiuta a dare priorità. Il sistema è abbastanza intelligente da eseguire la scansione proattiva dei registri e attivare gli avvisi del flusso di lavoro. Essa assegna loro la priorità in base alla criticità, come alta, media, bassa o informativa. Quando hai un piccolo team, i tuoi analisti possono iniziare a esaminarli e vedere cosa sta succedendo e cosa devono dare priorità in una fase.
Ci siamo avvicinati molto a un attore russo delle minacce e Trend Vision One ci ha aiutato enormemente. Ci ha aiutato a controllare l'attacco nelle fasi iniziali. Sono entrati nell'ambiente e hanno ottenuto il reverse shell. Ho visto l'avviso. Trend Vision One Protection mi ha mostrato in dettaglio cosa hanno eseguito, cosa hanno chiesto, quali informazioni sono state acquisite e dove stavano uscendo le connessioni. Era un broker di accesso iniziale che aveva fatto l'attacco. Se queste informazioni non sono state raccolte nel tardo venerdì pomeriggio, puoi immaginare cosa sarebbe potuto accadere entro lunedì. Nel giro di poche ore, tali informazioni sarebbero andate alla rete oscura e sarebbero state vendute a una gang di ransomware. Il tempo medio di risposta è stato ridotto in modo significativo. È molto raro che la maggior parte delle organizzazioni rilevi tali attacchi nel proprio ambiente entro le prime quattro ore. Ha ridotto il tempo medio di risposta dal 70% all'80%.
Le sue funzionalità di monitoraggio in tempo reale aiutano molto nel nostro stato di sicurezza generale. Abbiamo tutto configurato per il nostro sistema email SOC centrale, quindi al momento in cui viene attivato un avviso e a seconda della sua criticità, possiamo lavorarci. Quando lavori nel settore sanitario, spesso lavori con fornitori che non sono ancora molto attenti alla cybersecurity. Stanno ancora imparando. Uno di loro ha collegato un'unità USB e abbiamo trovato un primo indicatore di compromissione. Il dispositivo è stato collegato a uno dei sistemi tecnici. Non solo lo ha rilevato e bloccato, ma abbiamo anche ricevuto l'avviso che puntava alla macchina. Se non fosse stato rilevato e rilevato in quella stessa fase nel giro di pochi minuti, avrebbe potuto avere un impatto piuttosto grande alla fine.
Il bello è che non ho bisogno di accedere alla console separata di Apex One o Deep Security. Ho tutta la visibilità e la telemetria che mi vengono fornite in tempo reale nella console Trend Vision One. La console Trend Vision One ti avvisa immediatamente. Lampeggia solo un avviso critico. Blocca, ma poi fornisce raccomandazioni di mitigazione. Dobbiamo rimuovere la macchina dalla rete, scansionare l'USB, istruire l'utente e passare alle persone giuste. Avere tutte queste informazioni a portata di mano è molto cruciale. Possiamo influenzare anche il comportamento degli utenti in modo che non lo facciano di nuovo.
Lo usiamo sugli endpoint. Lo usiamo sui nostri server. Abbiamo una risposta di rilevamento della rete, chiamata NDR. Stiamo monitorando tutto il traffico interno proveniente dai firewall. Abbiamo Citrix NetScaler, quindi stiamo monitorando anche il lato della rete. Abbiamo anche un altro prodotto chiamato Conformity che esegue una valutazione del cloud e un controllo della conformità per tutte le risorse cloud esposte esternamente. Ti dice se non sono conformi. Ad esempio, con il progetto che è entrato, qualcosa potrebbe essere esposto accidentalmente, come un account di archiviazione Azure, a Internet. Tutto si basa su Trend Vision One e abbiamo un unico pannello di controllo.
È utile per più team. Non si limita solo al SOC. Abbiamo team dal lato del cloud e a volte dall'endpoint e dal lato del server che possono entrare e possono vedere gli avvisi. Semplifica il lavoro perché tutti noi vediamo la stessa cosa con maggiori informazioni. Quindi, lo usiamo per i nostri server endpoint e la nostra rete. Lo stiamo utilizzando per monitorare il nostro cloud Azure. Nell'ambito delle nostre licenze, abbiamo anche una cosa chiamata licenze Trend Micro™ Cloud App Security. Disponiamo di policy che eseguono il monitoraggio avanzato della protezione dalle minacce e il monitoraggio DLP sui canali SaaS, come Exchange Online, Teams, OneDrive e i siti SharePoint. Questi sono altri canali da cui i dati possono essere condivisi, i dati possono entrare nel nostro ambiente o i dati possono uscire dal nostro ambiente. Dispone di politiche per monitorare la DLP. Dispone di politiche per monitorare eventuali file dannosi o indicatori di un attacco ATP. Riceviamo anche questi avvisi.
Ci sono due dashboard. I Dashboard Esecutivi offrono una visione complessiva dell'intero sistema e di ciò che sta accadendo nel nostro sistema in qualsiasi momento. Possiamo vedere quante vulnerabilità in sospeso abbiamo, cosa dobbiamo segnalare alla dirigenza e come procederemo per cose del genere. Poi abbiamo il dashboard operativo con avvisi in tempo reale o in sospeso. Ci mostra che abbiamo un account che corrisponde a un data lake .Net. Un problema, ad esempio, è che la maggior parte degli utenti conserva la stessa password, in modo che tu possa avere la stessa password per il tuo account di lavoro e per il tuo account personale. Possono essere compromessi anche a casa e al lavoro. Quindi, usiamo i dashboard esecutivi per la reportistica e la comprensione complessiva di ciò che sta accadendo nell'ambiente e di ciò che dobbiamo segnalare e dare priorità. Il dashboard operativo è destinato al lavoro quotidiano.
È molto importante essere in grado di approfondire i rilevamenti XDR dai dashboard esecutivi. Siamo nel settore sanitario. Siamo un ospedale. Il consiglio di amministrazione non è solo preoccupato per il ransomware perché può accadere a chiunque. Non puoi mai essere abbastanza sicuro. Sono anche preoccupati per i danni alla nostra reputazione e per il costo operativo del recupero, quindi sono molto desiderosi di avere visibilità. I Dashboard Esecutivi ci forniscono informazioni sufficienti per filtrarle. Ad esempio, il nostro team di supporto desktop ha un numero limitato di persone. Per la cybersecurity, vogliamo dare priorità alle patch per una minaccia zero-day, ma a volte non può accadere perché i team hanno altre priorità. Il problema non è che non vogliono aiutare, ma non hanno risorse. Con Executive Dashboards e reporting, possiamo inoltrare le cose al consiglio di amministrazione dicendo che abbiamo bisogno di un po' di attenzione. Possiamo chiedere loro di finanziarci con più risorse per raggiungere questo obiettivo. Ci aiuta a dettare l'impatto e a dare priorità a una vulnerabilità critica della cybersecurity, in modo da poter ottenere il consenso della dirigenza per assegnargli la priorità e affrontarla prima che vada fuori mano.
Utilizziamo la funzione Indice di rischio per mappare le prestazioni rispetto ad altre organizzazioni nella stessa regione geografica, al fine di vedere come stiamo procedendo in termini di rischi rispetto ad altre organizzazioni. Siamo migliori o peggiori di altri? Se abbiamo alcune aree in cui siamo peggiori di altre, ci aiutano a capire il motivo e come migliorare.
Se vogliamo affrontare ogni singolo evento, con le nostre attuali licenze, XDR può contenere fino a sei mesi di dati, che potrebbero essere milioni o migliaia di avvisi. Una cosa intelligente che hanno fatto è fornire il Workbench, che dà automaticamente priorità. Svolge il duro lavoro per te traendo quella informazione e dicendo che queste sono quelle altamente critiche che devi affrontare il prima possibile. Non sto scontando il fatto che, a volte, gli aggressori non si rivolgono nemmeno a quelli altamente critici. Ne optano per uno medio, ma ci aiuta a liberarli. Il nostro team è piccolo e ho avuto una buona esperienza nella formazione di alcune persone, mostrando loro come farlo. Una volta che le persone iniziano a lavorare, comprendono il flusso di lavoro. Diventa solo una seconda abitudine. È molto intuitivo. Puoi entrare nella console, aggiungere nuovi indicatori di compromissione, aggiungere nuove query di ricerca delle minacce, aggiungere nuovi feed CTI e verificare la presenza di nuove vulnerabilità. C'è così tanto che puoi trarne vantaggio. Devi solo dare la priorità a ciò che pensi sia importante per quel giorno.
Utilizziamo Managed XDR come secondo servizio. Il modo in cui ci viene utile è che abbiamo persone in chiamata. Certo, continuo a controllare le mie email, ma se abbiamo un avviso critico che nessuno ha partecipato da parte nostra, lo valutano. Lo valutano molto bene e poi lo valutano. Ad esempio, potrebbero dire: "Sembra benigno o negativo, ma è arrivato un avviso e nessuno era disponibile. Se vuoi aggiungere un ulteriore livello di sicurezza o attenzione, ecco la mitigazione." Sono molto reattivi. Sono riuscito a vedere il grande attacco che avevamo due anni fa nelle prime quattro ore, e quando è arrivato all'XDR, tutto era correlato. In mezz'ora, il team di risposta è giunto alla stessa conclusione. Ci hanno contattato quando stavo per contattarli, quindi eravamo sulla stessa lunghezza d'onda. Sono sicuramente un buon backup o una seconda soluzione per noi. Inoltre, alcuni degli avvisi possono emergere dai flussi di lavoro. Possono sembrare malevoli, ma non lo sono. Il personale del servizio Managed XDR torna da noi solo per riconfermarlo. Diciamo loro che si tratta di un file noto. Non devono preoccuparsene. A volte, potremmo perdere qualcosa o non avere idea del passo successivo. Quindi hanno ricevuto una raccomandazione su ciò che dobbiamo fare. È un ottimo servizio.
Stiamo utilizzando Attack Surface Discovery per monitorare i dispositivi di cui disponiamo e le risorse, gli account e le applicazioni rivolte a Internet. L'API è qualcosa che stiamo ancora esaminando, ma con pochi clic otteniamo una panoramica. Possiamo vedere quanti sono i patch e quanti sono esposti all'esterno o alle risorse rivolte a Internet. Abbiamo molti sottodomini collegati al sito ospedaliero primario per diversi progetti e flussi di lavoro. Possiamo vedere come stanno andando, quali porte sono aperte e quali vulnerabilità note ci sono perché alcune di esse non sono gestite da noi. Sono gestiti da fornitori ospitati esternamente, in modo da poterli tenere sotto controllo. Lo stesso vale per i nostri account. Se abbiamo account che si trovano sulla rete buia, o abbiamo account con privilegi eccessivi che possono potenzialmente essere sfruttati, possiamo affrontarli.
Per le applicazioni, la funzionalità che mi piace di più si chiama Cloud App List. In pratica, esamina tutte le applicazioni SaaS e le confronta. Li profila in base al resto e ci fornisce un report. Ci dice che alcune app che le persone utilizzano potrebbero non essere ufficialmente sanzionate da noi. Per un'app non autorizzata, eseguono una profilazione del rischio attraverso Trend Vision One, che ci mostra quale standard di conformità di sicurezza ha superato dal fornitore. Ci danno una rapida comprensione di quanto sia cattivo o buono continuare a utilizzare un'applicazione.
Durante il periodo COVID, stavo configurando Trend Vision One e ho ricevuto un avviso informativo. Il marito di un'infermiera le ha dato una chiavetta USB e l'ha collegata. Era in un ambiente fuori sede, ma il client Trend era ancora in esecuzione. I client erano connessi alla console SaaS o a Internet, quindi tutta la telemetria era ancora alimentata. Avrebbero dovuto pensare che non fosse così, ma i rilevamenti erano ancora in arrivo. Quando l'ha collegato, ha scaricato un framework di sfruttamento della shell di potenza, che è stato in grado di mappare a un gruppo ATP cinese che utilizza comunemente questa tecnica per l'esfiltrazione della proprietà intellettuale. Mi piace quanta visibilità offre. Per un paio di applicazioni qui, a volte arriva un avviso e può anche eseguire il drill-down fino all'ultimo comando eseguito. Può creare un grafico degli attacchi e mostrare il profilo di esecuzione completo. Ti aiuta a risolvere i problemi e a filtrare se qualcosa è un falso positivo o un problema a portata di mano. L'intera interconnettività dei diversi sistemi in Trend Vision One e la sua capacità di aiutare a personalizzare un attacco sono le cose che mi piacciono di più. È molto utile perché la lettura dei registri e la visualizzazione di un attacco sono due prospettive diverse per un cacciatore di minacce. Ti aiuta davvero a capire cosa sta succedendo.
Con ogni tecnologia di questo tipo in un ambiente aziendale, nonché con la maggior parte dei sistemi di produzione, la riduzione della quantità di tempo che dedichiamo all'indagine sugli allarmi falsi positivi dipende dalla velocità con cui si ottimizza il sistema. Devi dire quali sono le eccezioni e quali non ti avvisano e quali dovrebbero avvisarti. Si tratta di un atto di equilibrio nella cybersecurity. Ad esempio, gli accessi vengono utilizzati dagli aggressori ma anche dal personale amministrativo. Se li metti completamente in esenzione, puoi avere un login dannoso in esecuzione nel tuo ambiente. Saresti completamente cieco perché nulla verrebbe avvisato. In termini di falsi positivi, il sistema acquisisce molti dati e non è colpa del sistema perché vede molti dati. A volte, non abbiamo classificato i dati. Stiamo migliorando. Stiamo etichettando e taggando i sistemi. Lo stiamo perfezionando e questo è diminuito un po', ma abbiamo ancora molto lavoro da fare. Succede, ma è qualcosa che facciamo dietro le quinte. In termini di ricerca e visibilità delle minacce quotidiane, le categorizziamo in Workbench, ed è quello che guardiamo la prima cosa al mattino. Sappiamo cosa sta succedendo e su cosa dobbiamo concentrarci. Una volta che vediamo che c'è un modello che si ripete per alcuni falsi positivi e gli avvisi Workbench sono alti e non veri positivi, vediamo come inserire nella whitelist tali sistemi. Ora sappiamo che si tratta di un processo di esecuzione noto. Sappiamo che si tratta di un traffico noto o di un fornitore noto che esegue questa applicazione e, quando si apre, si connette a queste porte, ad esempio. Si tratta di un atto di equilibrio. Cambia dinamicamente.
COSA È PIÙ VALORE?
Per i nostri casi d'uso quotidiani, la correlazione e l'attribuzione di diversi avvisi sono preziose. Si tratta di una sorta di SIEM, ma è abbastanza intelligente da eseguire le query e rilevare e assegnare priorità agli attacchi per te. In fin dei conti, si tratta di dati diversi. Correla i dati per te e li rende significativi. Puoi vedere che qualcuno ha ricevuto un'email e ha fatto clic su un link. Quel collegamento scaricato, ad esempio, malware nella memoria della macchina. Da lì, puoi vedere che hanno iniziato a spostarsi lateralmente verso il tuo ambiente. Mi piace molto perché offre visibilità, quindi Workbench è ciò che usiamo ogni giorno.
Hanno anche una cosa chiamata patch virtuale. Se si dispone di sistemi a fine vita o sistemi fuori supporto, non è possibile aggiornare l'agente, ma è comunque possibile eseguire l'aggiornamento se si ottiene la firma. Questa è la funzionalità che mi piace. Ad esempio, oggi, se una nuova minaccia zero-day è fuori con una vulnerabilità di collegamento in cui gli aggressori inviano un collegamento e tale collegamento, anche se aperto in modalità di anteprima, può fondamentalmente eseguire un codice dannoso, non possiamo eseguire la patch entro quattro o cinque ore. Siamo un'organizzazione di medie dimensioni. Siamo abbastanza grandi e a volte ci vogliono due giorni o persino una settimana. Con le patch virtuali presenti e XDR con tutte queste informazioni connesse, possiamo vedere che la patch virtuale funziona. È lì. Abbiamo implementato tutta la mitigazione, ma poi rileva anche l'ambiente per quella minaccia. Possiamo scrivere ulteriormente le query di ricerca e migliorare i rilevamenti. Quindi, i rilevamenti Workbench e le patch virtuali sono molto utili.
Ci offre anche una dashboard esecutiva in cui monitoriamo i nostri siti esterni. Possiamo vedere quali porte sono aperte e quali vulnerabilità note vengono scansionate su di esse. Otteniamo visibilità e un tempo medio migliore per rispondere e agire.
L'interfaccia utente è piuttosto facile da usare. A volte, lo impari mentre giochi e lo imposti. Una cosa che mi piace, che è molto buona, è che puoi passare dall'interno della console a sezioni diverse se sai come farlo, ma se non l'hai utilizzato, potrebbe essere necessario un po' di apprendimento. Una buona cosa che Trend Micro ha fatto negli ultimi due anni è organizzare una sorta di CDF, che sono scenari basati su veri attori delle minacce. Ti portano a venire a questi eventi. È ludicizzato in modo che possano attrarre le persone. Se vuoi imparare, mostrerà l'ID evento che è arrivato e dove andare e vedrà l'ID evento. Mostrano come cercare in base a quell'evento e come estrarre gli indicatori di compromissione da quell'ID. C'è una funzione chiamata Suspicious Object. Ti mostrano come bloccarne uno. Se hai un oggetto sospetto collegato a un feed di informazioni sulle minacce che va a Palo Alto, non solo puoi bloccarlo in XDR o Trend Vision One, ma subito, viene anche inviato al tuo firewall, quindi anche il tuo firewall lo blocca ora. Ci sono alcune fantastiche funzionalità, ma è necessario dedicare del tempo a capire come passare da una sottosezione all'altra. Se qualcuno è nuovo e inizia, è ancora abbastanza semplice. L'interfaccia UI è molto autoesplicativa. Ci sono molti dettagli. A essa è stata aggiunta molta telemetria per consentirvi di vedere e comprendere. Non è così complicato. Se hai un po' di background sulla cybersecurity, dovresti essere in grado di riprenderlo abbastanza direttamente.
Lo aggiornano costantemente, il che è una cosa buona e non così buona. Ogni qualche settimana viene effettuato un aggiornamento. Sono ottimi aggiornamenti. Mi piace molto che abbiano uno sviluppo così agile. Ascoltano il feedback dei loro clienti e investono costantemente nel prodotto. Non ti offrono un prodotto pronto all'uso. Il mondo sta cambiando e gli attacchi stanno cambiando. È aggiornato.
Utilizziamo la funzione Indice di rischio per mappare le prestazioni rispetto ad altre organizzazioni nella stessa regione geografica, al fine di vedere come stiamo procedendo in termini di rischi rispetto ad altre organizzazioni. Siamo migliori o peggiori di altri? Se abbiamo alcune aree in cui siamo peggiori di altre, ci aiutano a capire il motivo e come migliorare.
COSA HA BISOGNO DI MIGLIORAMENTO?
La segnalazione potrebbe essere un po' migliore. Ci stanno lavorando e sta migliorando. Hanno diversi team di sviluppo che lavorano su questo prodotto. Come ogni organizzazione più grande, hanno così tante persone che lavorano e riparano il prodotto e hanno le proprie routine e cicli di sviluppo e la propria comprensione del codice. È migliorato molto, ma ha molta strada da fare. Recentemente, ci sono stati altri report. Quello che mi piace è che ascoltino il feedback. Se diciamo loro che abbiamo bisogno di questa segnalazione, tornano indietro e fanno qualcosa al riguardo. Non si perde nelle email o nelle riunioni.
DA QUANTO TEMPO UTILIZZO LA SOLUZIONE?
Utilizziamo Trend Vision One da quasi tre anni.
COSA NE PENSO DELLA STABILITÀ DELLA SOLUZIONE?
Non ho visto tempi di inattività come tali. Non ho visto la console scendere, nemmeno una volta ogni tre anni.
È posto in una difesa solida. È un sistema molto interconnesso. Trascorro la maggior parte del mio tempo a perfezionare e lavorare in Trend Vision One. È stato stabile al 100% per me la maggior parte delle volte. Non ho avuto problemi. È molto stabile. Lo valuterei dieci su dieci per la stabilità.
COSA NE PENSO DELLA SCALABILITÀ DELLA SOLUZIONE?
Abbiamo sede nel sud-ovest degli Stati Uniti. È un sito piuttosto grande. Dopo il COVID, abbiamo luoghi di lavoro remoti. Fa parte del nostro ambiente operativo standard. Qualsiasi nuovo server o qualsiasi nuovo desktop o laptop deve avere il client installato, ma siamo anche multisito. Abbiamo sedi nel Queensland centrale e nel Queensland settentrionale. Anche questi siti sono arrivati. È una soluzione completa. Viene utilizzato su tutti e tre i siti.
Trend Vision One è attualmente utilizzato da più team. Al momento ci sono da 15 a 20 persone. Abbiamo il team Network and Security e poi il team informatico principale. Abbiamo persone che si occupano di Trend Micro Apex One e dei desktop, e anche persone che si occupano di server e cloud. Tutti sanno cosa cercare e sanno da dove proviene l'avviso e cosa devono fare. Ho fornito formazione interna alcune volte per le persone.
COME SONO IL SERVIZIO CLIENTI E IL SUPPORTO?
L'esperienza di assistenza clienti è stata fantastica. Sono abbastanza tecnici. Quello che mi piace è che sono molto reattivi. Registra un processo e, entro due ore, qualcuno è in contatto con te o ti contatta tramite email. Abbiamo un responsabile delle relazioni o un account manager tecnico che effettua chiamate bisettimanali con noi. Risolve eventuali problemi e fornisce anche canali di escalation. Il loro coinvolgimento come fornitore e come supporto è stato incredibile.
COME VALUTERESTI IL SERVIZIO CLIENTI E IL SUPPORTO?
Positivo
QUALE SOLUZIONE HO UTILIZZATO IN PRECEDENZA E PERCHÉ HO CAMBIATO?
Stavamo utilizzando Symantec. Quando abbiamo svolto la ricerca tre anni e mezzo fa, il mondo si stava spostando verso le EDR. Una soluzione EDR compensa diverse tecnologie. Non si tratta di un rilevamento statico basato su firme perché può essere facilmente bypassato.
Le considerazioni principali erano i costi e le patch virtuali. Eravamo alla ricerca di una soluzione che ci aiutasse con le patch virtuali. Quando hai a disposizione un zero-day, indipendentemente dalla dimensione del tuo team, a volte non è possibile applicare patch. Quando si è un ospedale, non è possibile eliminare i sistemi. Devi passare attraverso un paio di processi, ma durante quel periodo ti trovi in uno stato vulnerabile. Eravamo alla ricerca di un sistema in grado di fornire patch virtuali, con rilevamento e firme di patch virtuali e che offrisse lo spazio di respirazione dove è possibile andare e applicare patch a un sistema. Soddisfa questa esigenza.
Anche la funzionalità EDR/full-stack è stata un cambiamento di benvenuto. Non abbiamo solo un antivirus o un EDR. Può fare molto di più. Può eseguire controlli di integrità dei file. Può eseguire una base delle cache dei file di sistema note. Può fare tutte queste cose.
COM'È STATA LA CONFIGURAZIONE INIZIALE?
Il nostro modello è ibrido. La console Trend Vision One è su SaaS. È sul cloud, ma abbiamo dei relè che ricevono gli aggiornamenti, quindi gli agenti devono essere locali. I client EDR su server ed endpoint, come laptop e desktop, devono essere on-premise. Anche la gestione dello stato del cloud e il bot per PC sono basati su SaaS. È solo attraverso un'API. Oltre ai client EDR, la maggior parte delle altre integrazioni sono basate praticamente su SaaS.
La distribuzione iniziale era un po' complicata perché anche se Symantec era un prodotto molto obsoleto, c'era ancora qualcosa sulla macchina. Abbiamo dovuto lavorare di più per liberarci di questo e metterlo in pratica. Nel complesso, l'implementazione è stata piuttosto buona. La sfida più grande nell'implementazione di un EDR è comprendere come si presentano il traffico di rete, il flusso di lavoro quotidiano o le applicazioni. La maggior parte degli EDR dispone di una cosiddetta scansione in tempo reale, quindi se qualcosa tenta di accedere alla memoria in cui sono memorizzate le credenziali o di scrivere in un file protetto dal sistema e se un EDR non ne è a conoscenza, lo bloccherà immediatamente. Ci hanno aiutato a creare quelle incredibili basi in cui potevamo inserire nella whitelist le applicazioni note e il traffico noto. È stato buono. Ci è voluto un po' di tempo per farlo nel modo giusto. Man mano che l'ambiente cambia, continui a regolarlo. Non ho sentito parlare di problemi importanti o di drammi, ma non ho fatto la distribuzione.
Non richiede alcuna manutenzione come tale. L'unica modifica importante che ho visto di recente è che sono passati dalla versione 1 alla versione 2 e la versione 3 è in arrivo. Tutto questo accade dietro le quinte. Avevamo alcuni agenti in un'altra regione geografica. Abbiamo dovuto trasferirli, il che è on-premise, ma il team di backend ha fatto il resto.
E IL TEAM DI IMPLEMENTAZIONE?
Avevamo un team di progetto dedicato che lavorava con i project manager di Trend per l'implementazione.
QUAL È LA MIA ESPERIENZA CON PREZZI, COSTI DI CONFIGURAZIONE E LICENZE?
Non ho molta visibilità. Sicuramente non è un prodotto economico, ma per quanto ne so, è là fuori con le grandi aziende del settore, come CrowdStrike, SentinelOne e altri fornitori EDR/XDR. Avevo sentito, e alla fine ho scoperto, che i loro team di vendita sono molto flessibili, come lo sono altri team di vendita.
Il problema di qualsiasi operazione di sicurezza è che è necessario acquistare nell'intero ecosistema in modo che possa fornire maggiore visibilità e più punti dati. Può comprendere un po' di più l'ambiente del sistema.
Abbiamo iniziato con il rilevamento degli endpoint e dei server, quindi le operazioni di sicurezza ci sono state fornite gratuitamente in quel momento per provarlo. Una volta entrati in gioco, abbiamo aggiunto NDR, che è la risposta di rilevamento della rete, il lato cloud e tutte le altre cose. Erano piuttosto bravi in termini di prezzi e comprensione delle nostre esigenze.
Anche il loro team è molto bravo, il che è qualcosa che non ho visto con altri fornitori. Sono proattivi. Ti contattano con nuove cose che accadono nel mondo della cybersecurity, come nuovi attacchi o rilevamenti, nuovi eventi o nuovi corsi di formazione. Ti contattano ogni poche settimane e si si siedono con te per capire cosa possono fare meglio. Questo impegno e questo servizio costanti sono buoni. Non lo basiamo solo sul costo. Niente è economico, ma si tratta di ciò che si ottiene da un fornitore del servizio. Non è come vendere e dimenticare, dove ti hanno venduto il prodotto e non hanno nulla a che fare con te. Si tratta di un impegno costante perché le operazioni di sicurezza sono in continua evoluzione. Ti portano in quel viaggio. Ti mostrano quali sono le nuove funzionalità in arrivo. Chiedono informazioni sui casi d'uso e su come possono aiutarci. Chiedono cosa stiamo vedendo o quali sfide o lacune abbiamo ancora nell'ambiente in modo che possano aiutarlo. Questa è stata la mia esperienza personale. È stato assolutamente fantastico.
QUALI ALTRE SOLUZIONI HO VALUTATO?
Avevamo un altro fornitore. Abbiamo testato entrambi i clienti EDR e, in quel momento, le operazioni di sicurezza erano solo una grande parola chiave sul mercato. Non sapevamo quali fossero le operazioni di sicurezza e se le avremmo ottenute. Ci è stato offerto come omaggio da provare per alcuni mesi. Ho eseguito test EDR di questa soluzione e di un altro fornitore molto noto sul mercato. Abbiamo fatto una simulazione di attacco. Abbiamo eseguito un paio di attacchi con codice dannoso e ransomware. È stato davvero positivo rilevare la maggior parte degli attacchi, mentre l'altro era 50/50. Abbiamo quindi creato un report basato sui fatti che avevamo davanti a noi.
All'epoca, ci è stato detto che Palo Alto stava inventando qualcosa chiamato Cortex XDR. Hanno acquistato un'altra azienda, che aveva un cliente EDR che si è schiantato nella loro soluzione. La loro metodologia era un po' diversa. I firewall erano ancora la prima linea di difesa. Ad esempio, il malware che si trova su una macchina sta tentando di connettersi a un server di comando e controllo o a un dominio dannoso al di fuori dell'ambiente su alcune porte. Una volta che Cortex XDR lo vede e raggiunge la soglia, inizierai a vedere gli avvisi. Non volevo aspettare che si infettassero 25 macchine prima che Cortex XDR iniziasse a fare qualcosa. Era troppo tardi. Ho sentito dire che hanno fatto molta strada. Potrebbero aver ricevuto feedback simili da altri e aver apportato alcune modifiche internamente. Sono un' azienda brillante, ma in quel momento non soddisfacevano i nostri requisiti. I rilevamenti durante il test EDR non sono stati così grandi. Cosa ancora più importante, non soddisfaceva uno dei requisiti chiave che stavamo cercando all'epoca. Volevamo patch virtuali e firme di patch virtuali per i sistemi operativi di fine supporto. Questo è stato il fattore decisivo per noi.
QUALI ALTRI CONSIGLI HO?
A coloro che stanno valutando questa soluzione, consiglierei di fare un PoC e di comprendere il loro flusso di lavoro e il loro traffico. Dovrebbero avere le giuste aspettative per entrare nel prodotto. Si tratta di un sistema con cui è necessario investire anche in altri componenti, ma una volta che lo si mette in funzione e funziona e si regola, si inizierà a vederne il valore.
Ora agiscono come partner di supporto per noi. Possiamo fare affidamento su di loro e lavorare con loro perché abbiamo investito una giusta quantità di denaro con loro. Il prodotto si è dimostrato molto prezioso per il nostro arsenale della difesa. Li seguo personalmente. Non sono solo io. È su Internet che l'iniziativa zero-day di Trend raccoglie ancora circa il 60% delle vulnerabilità. È più di qualsiasi altro fornitore. Hanno un team molto bravo.
Valuterei Trend Vision One un nove su dieci. Il reporting potrebbe utilizzare un po' di lavoro, ma sta migliorando. L'altro giorno, ho sentito che stanno iniziando a fornire query automatizzate di ricerca delle minacce e un bot IA su Trend Vision One. Queste funzionalità sono ancora in anteprima, ma stanno cambiando rapidamente. Hanno anche una cosa chiamata forense, quindi puoi creare casi forensi e registrare le chiamate direttamente dal portale Trend Vision One. Ci sono alcuni ottimi cambiamenti che hanno apportato. È in evoluzione e dinamica.
Unisciti a oltre 500.000 clienti a livello globale
Inizia oggi stesso con Trend