Firma z branży opieki zdrowotnej
Integracja i automatyzacja Trend Vision One zwiększają bezpieczeństwo i niezawodność
Frank Bunton
dyrektor ds. bezpieczeństwa informacji
w firmie opieki zdrowotnej zatrudniającej 5001–10 000 pracowników
JAK POMOGŁO TO MOJEJ ORGANIZACJI?
Każdy element, który zakupiliśmy od Trend Micro, ma swój własny, unikalny zestaw wartości. Jednak jako dyrektor ds. bezpieczeństwa informacji najbardziej ekscytuje mnie sytuacja, w której powstała inicjatywa Zero Day. To jedna z tych rzeczy, na którą z natury nie jesteś przygotowany, a pierwsza reakcja zespołu ds. bezpieczeństwa brzmiała: „Co z tym zrobimy?”
Kiedy to się stało, zasugerowałem, że przyjrzymy się naszemu systemowi IPS firmy Trend Micro i sprawdzimy, czy istnieją jakieś szczepionki związane z konkretnym Zero Day. Umożliwiliśmy stosowanie tych szczepionek i widzieliśmy, że problemy, które widzieliśmy wcześniej, zostały rozwiązane. To szczególne doświadczenie było predyktorem tego, co ma nadejść. Od tamtej pory niemal zawsze mieliśmy do czynienia z łagodzącą reakcją w naszym arsenale na każdy rodzaj ataku Zero Day, zanim rzeczywiście do niego dojdzie.
A nawet gdy dotarliśmy do sytuacji, takiej jak Log4j, w naszym arsenale nic nie było do rozwiązania, nazwaliśmy Trend i powiedzieli: „Tak, dostarczamy ją teraz, ale trzeba będzie ją zainstalować ręcznie”. Zastanawiałam się, „Jeśli będzie to konieczne, zainstaluję go do góry nogami, ale w ostatecznym rozrachunku to po prostu to tutaj”. Wdrożyliśmy go i rozwiązaliśmy problem. Wierzę, że są właścicielami tej inicjatywy VDI i naprawdę dobrze, że są tak blisko niej. To naprawdę znacznie ułatwiło mi życie. Bieganie z zapalonymi włosami nie jest dobrą zabawą.
Zasadniczo pozwoliło nam to zająć się naszymi inicjatywami i planowaniem w zakresie bezpieczeństwa, a także budować zabezpieczenia w dłuższej perspektywie. Współpracujemy z nimi od co najmniej dziesięciu lat.
Ludzie wsparcia technicznego są lepsi niż większość. W mojej karierze widziałem to wszystko. Ale wsparcie Trend jest naprawdę dobre. To najlepszy dostawca, jakiego mam do wsparcia.
CO JEST NAJBARDZIEJ WARTOŚCIOWE?
Ich zestaw narzędzi dobrze integruje się z naszą istniejącą infrastrukturą. Doskonale integruje się z naszym systemem SIEM AT&T AlienVault.
Kolejną cechą, która sprawia, że Trend jest wyjątkowy — i widziałem, gdzie mogli mieć problem z tym wszystkim — jest to, że wcześniej byli jedną z firm, która poświęciła dużo czasu na integrację swoich zestawów narzędzi i byłam pod dużym wrażeniem. Oznaczało to, że system zarządzania punktami końcowymi może dotrzeć do systemu Trend Vision One™ — Deep Discovery™ w sieci i wybrać coś, co jest postrzegane jako podejrzany obiekt. Następnie może ją piaskować i monitorować. Gdyby podejrzana jednostka zwróciła się o kontrolę lub zrobiła coś nikczemnego, punkty końcowe zostałyby poinformowane i zaczęłyby pozbyć się problemu.
Problemem jest to, że tak naprawdę musisz brać pod uwagę automatyzację i być jej świadomym. Ponieważ gdy coś trafi do fana, nie musisz być wystarczająco szybki jako człowiek, aby zrobić wszystko tak, jak trzeba — i udokumentować proces.
Być może nie pomyślisz tak bardzo o tym ostatnim elemencie, gdy zaczniesz wykonywać inżynierię bezpieczeństwa. Ale kiedy dostajesz się do dużej firmy z branży opieki zdrowotnej, takiej jak nasza, cały czas odbywają się audyty. Audytorzy będą chcieli wybrać dwa lub trzy zdarzenia, z którymi masz do czynienia i powiedzieć: „Chcemy zobaczyć ścieżkę audytu” itp. W rezultacie integracja różnych zestawów narzędzi firmy Trend przynosi pewne korzyści.
Firma Trend bardzo ciężko pracowała nad tym, aby ich zestawy narzędzi, takie jak IPS, Deep Discovery, Trend Micro™ – Deep Security™ i inne, mogły ze sobą rozmawiać i współpracować. I nadal to robią.
Uczynili z IPS aplikację, a nie urządzenie. Instalujesz go w punkcie końcowym, który jest serwerem w centrum danych, i tak naprawdę skonfigurujesz go w minimalnym standardzie. Oznacza to, że aplikacje i wersja systemu operacyjnego, z których korzystasz, aż do wersji colonel, otrzymują tylko te narzędzia, które są potrzebne do danego przypadku.
Minimalizują one instalację, ponieważ nie chcą, abyś szukał błędów i wskaźników infekcji, których nie możesz doświadczyć, ponieważ używasz systemu operacyjnego, który nie jest dla nich podatny. Pozwala to pozbyć się wielu kosztów związanych z zarządzaniem serwerami. Należy pamiętać, że są to serwery, które mają zadanie do wykonania. To nie tylko komputery stacjonarne, a jeśli jedzą dużo jednostek CPU, to jest to dla nas złe, ponieważ nie możemy prowadzić interesów i zarabiać pieniędzy. Nigdy nie mieliśmy z nimi problemu. To naprawdę niezawodne, gdy już je przygotujesz.
CO POTRZEBUJE POPRAWY?
Podczas wdrażania tych narzędzi firmy Trend integracja i ich wspólne działanie to jedne z trudniejszych elementów układanki. Ale kiedy już to zrobisz, cieszysz się, że to zrobiłeś.
Gdy zarządzasz działem bezpieczeństwa wielu organizacji opieki zdrowotnej i wdrażasz zabezpieczenia w ich środowiskach, chcą, aby stało się to już dziś. Z pewnością nie chcą się tym przejmować w ciągu kilku tygodni. Od kilku miesięcy jesteśmy w trakcie migracji Cloud One i nie jest to nasz jedyny projekt. Mamy wiele do czynienia tutaj i w naszych jednostkach zależnych, w związku z czym jestem również dyrektorem ds. bezpieczeństwa informacji. Jest bardzo zajęty. Nie mamy czasu, aby usiąść i pracować nad projektami tylko po to, aby mieć zasoby do pracy nad nimi.
Kiedy poświęcamy czas na integrację różnych zasobów, urządzeń i aplikacji, robimy to, mając na uwadze, że wydobędziemy z nich coś, co jest warte więcej niż to, co w to włożymy. W każdym przypadku właśnie to stało się z Trend.
Mimo to wielu ludzi, których znam, przyjęło już swoją technologię, ale jej nie zintegrowało.
Narzędzie do zarządzania punktami końcowymi znajduje się na punkcie końcowym i zarządza nim, ale nie jest w pełni zintegrowane na przykład z piaskownicyą. Byłoby więc miło, gdyby uprościli proces integracji. Chcę mieć lepszą dokumentację.
Kolejną kwestią jest to, że w przypadku Trend Vision One wystąpiły problemy z technologiami IPS i EDR, gdy po raz pierwszy je otrzymaliśmy. Mieliśmy pewne trudności z ustaleniem, jak tańczyć. Gdy już to rozstrzygnęliśmy, wszystko było w porządku.
Wprowadzono w tym celu środki zaradcze, aby zwiększyć liczbę prezentacji, które przeprowadzili w oprogramowaniu, prezentacji, na które odpowiedzieli. Uczestniczymy w Trend co około dwa do czterech tygodni, aby omawiać różne kwestie, a nie tylko my. Na tych spotkaniach pracuje od 70 do 100 osób. Doszli do wniosku, że chociaż można budować dość złożone systemy, w pewnym momencie trzeba przekazać wiedzę użytkownikom końcowym. Nie zawsze jest to łatwe. Większość firm działa zgodnie z zasadą „Cóż, rozumiemy to, dlaczego tego nie rozumiesz?”
To, jak projektują swoją technologię, po prostu działa i nie zawsze jest to standard w branży. Ich praca po prostu działa. To naprawdę dobre i dobrze zaprojektowane”.
OD JAK DAWNA KORZYSTAM Z ROZWIĄZANIA?
Rozpoczęliśmy integrację Trend Vision One trzy lub cztery lata temu.
CO SĄDZĘ O STABILNOŚCI ROZWIĄZANIA?
Sprzęt Trend jest bardzo stabilny i niezawodny. W tym biznesie prawie musi to być dlatego, że jeśli system często się zepsuje, po prostu nie masz czasu na bałagan. W latach wdrażania IPS, które jest skomplikowanym produktem, mogły wystąpić jedną lub dwie awarie. Jak pamiętam, było to coś w zasilaczu. Jeśli Twoja główna awaria jest związana z zasilaczem raz na dziesięć lat, jesteś w dobrym stanie.
To samo dotyczy wszystkich technologii. To, jak je projektują, po prostu kontynuują pracę i nie zawsze jest to standard w branży. Na przykład musiałem porzucić rozwiązanie IAM firmy IBM, ponieważ było tak złe. Po prostu się zepsuła. Nie mamy takich problemów z Trend. Ich praca po prostu działa. Jest naprawdę dobra i dobrze zaprojektowana.
CO SĄDZĘ O SKALOWALNOŚCI ROZWIĄZANIA?
Jest to dość skalowalne, ale pamiętaj, że podczas skalowania niektóre komponenty muszą być skalowane, podczas gdy inne wymagają jedynie ponownej konfiguracji. Nie chcesz płacić za to, czego nie potrzebujesz, co oznacza, że niekoniecznie musisz podwoić wszystko. Kiedy się rozszerzasz, musisz się nad tym zastanowić.
JAK WYGLĄDA OBSŁUGA KLIENTA I WSPARCIE?
Ludzie wsparcia technicznego są lepsi niż większość. W swojej karierze widziałem wszystko. Ale wsparcie Trend jest naprawdę dobre. To najlepszy dostawca, jakiego mam do wsparcia.
Za każdym razem, gdy mieliśmy problem z ich sprzętem, zostali o tym poinformowani i rozwiązali go. A jeśli nie mogą tego naprawić, zastępują wszystko, co muszą wymienić.
Kolejnym aspektem Trend jest to, że słuchają tego, co mówisz. Jeśli wymyślisz przypadek użycia, którego obecnie nie mają, dodadzą go do swojego repertuaru, a w przypadku kilku aktualizacji w trakcie drogi będziesz potrzebować tego narzędzia. Jeśli chodzi o tę stronę, to jest to tylko dobrze zorientowana i dobrze zarządzana firma.
Na przykład na początku korzystanie z pulpitu było trochę trudne. Ale fajną rzeczą było organizowanie co dwa tygodnie spotkań. Nie tylko przeanalizowali przypadki użycia, ale na koniec zapytali: „Co jeszcze chcielibyście zobaczyć? Jak byś to poprawił?” Gdy społeczność CISO już to opanowała, przyszli z załadowaną bronią i powiedzieli: „Chciałbym to zobaczyć i chciałbym to zobaczyć”. Firma Trend zaczęła też eliminować te, które miały sens. Od dziś jest to zupełnie inna gra balowa niż kiedyś. Stale modernizują swoje platformy.
I nie muszą wykonywać dużych wersji, aby dostać się do rąk użytkowników. Zbudują coś i powiedzą: „Hej, dołączyliśmy to. Wypróbuj ją i daj nam znać, co myślisz”. Większość firm powiedziałaby: „Ta funkcja będzie dostępna w wersji 5, a nie do czasu jej wydania. Wydanie 5 zostanie zaplanowane na maj, ale prawdopodobnie nie będzie gotowe do października”. Trend nie jest taki i doceniamy to.
JAK OCENIASZ OBSŁUGĘ KLIENTA I WSPARCIE?
Pozytywne
Z KTÓREGO ROZWIĄZANIA KORZYSTAŁEM WCZEŚNIEJ I DLACZEGO SIĘ ZMIENIŁEM?
Wracamy do firmy Trend bardzo dobrze. Kiedy po raz pierwszy się z nimi spotkałem, był to sprzedawca w kurorcie Torrey Pines, który spotykał się z poszczególnymi osobami. Kilka dyrektorów ds. informatyki i dyrektorów ds. bezpieczeństwa informacji spotkało się z różnymi sprzedawcami na kilka dni. Było to wydarzenie „poznać Cię” i robiłam to co roku. Jeden z sprzedawców pochodził z Trend i nic o nich nie wiedziałem, ale byłam pod wrażeniem jego prezentacji. Myślałam wtedy o sobie: „Pamiętaj o tym. Pomyśl o tym trochę”.
Mniej więcej rok później, kiedy korzystaliśmy z pakietu punktów końcowych IBM, IBM postanowiła go usunąć. Miało ono około pięciu różnych zestawów narzędzi, z których jednym był IBM BigFix, który jest nadal naszym rozwiązaniem do zarządzania poprawkami.
Powiedzieli, że jeśli chcesz zastąpić je tak zwanym, w tym czasie rozwiązaniem Trend OfficeScan, możesz to zrobić. Kiedy przeszliśmy do OfficeScan, aby zastąpić element punktu końcowego, zdaliśmy sobie sprawę, że wszystkie pozostałe elementy IBM były w powietrzu z wyjątkiem BigFix. Właśnie zablokowaliśmy narzędzia IBM dla narzędzi Trend, komponent po komponencie. Było to dla nas bardzo dobre, ponieważ zestaw narzędzi firmy Trend był o wiele bardziej kompleksowy niż narzędzia firmy IBM. Dobrze zintegrowała się z naszą infrastrukturą BigFix. Wszystko po prostu zadziałało razem. To był nic złego. Firma Trend zbudowała znacznie lepsze systemy zabezpieczeń niż IBM.
Po wdrożeniu rozwiązania OfficeScan zaczęliśmy rozmawiać o zakupie IPS. Zwykle mam zamiar coś kupić. System Trend Micro™ TippingPoint™ IPS został uwzględniony w ewaluacji. Odkryłem, że jest to nie tylko najlepszy produkt, ale także najlepsze wsparcie i naprawdę ma znaczenie.
Używamy Trend na niemal każdym frontzie, na którym pracują. Byli dla nas wspaniałym partnerem.
Kiedy po raz pierwszy rozpoczęliśmy pracę w dziale bezpieczeństwa, jednym z problemów było to, że ścigaliśmy złośliwe oprogramowanie w górę i w dół. W tym czasie mieliśmy oprogramowanie do zarządzania punktami końcowymi i oprogramowanie antywirusowe McAfee, ale nie mogliśmy go uruchomić, ponieważ jeśli tak, ostatecznie zjemy cały procesor i przejmiemy komputer.
Szukaliśmy na to zastępcy. Przyjrzeliśmy się technologii Trend Vision One i odkryliśmy, że jest ona bardzo zainteresowana tym, co nazywa się zarządzaniem powierzchnią ataku. Integruje narzędzie EDR firmy Trend, które mieliśmy, i przekształca je w coś, co można prześledzić do tyłu. Nie tylko udało nam się wykryć, że miało miejsce zdarzenie, które kiedyś dostaliśmy, ale także przekazać nam informacje na temat tego, co doprowadziło do tego zdarzenia. Jaką sekwencję zdarzeń doprowadziło do tego nasze platformy? Moglibyśmy to prześledzić wstecz, a to jest składnik XDR. Zastąpili komponent EDR i właśnie wtedy weszliśmy do firmy z Trend Vision One.
Od tego czasu wdrożyliśmy komponenty Deep Security i Deep Discovery, a także IPS TippingPoint i ich punkty końcowe. Wdrożyliśmy również ich rozwiązanie do ochrony poczty elektronicznej.
Zestaw narzędzi Deep Security znajduje się w centrum danych na każdej instancji serwera, którą chcesz chronić. Systemy operacyjne Trend obsługują systemy Windows, Linux, Solaris i AIX. A co wdrażamy w naszej organizacji? Te cztery systemy operacyjne. Myślałem: „To jak wiadomość od samego Boga”. Zostałem przez to cofnięty.
Obecnie migrujemy do ich środowiska Cloud One. Dzięki temu możemy korzystać z narzędzi analitycznych istniejących w chmurze bez konieczności konfigurowania całej infrastruktury. Wszystko, co mamy, pozostaje takie, jakie mamy, na miejscu, ale wszystko jest teraz raportowane do chmury, a informacje te są ulepszane i dodatkowo agregowane w bardziej znaczące dane, które następnie wracają do naszego celu. Na tym właśnie polega podejście Cloud One.
To naprawdę fajna firma, która jest dobrze zorganizowana i dobrze zarządzana.
JAK WYGLĄDAŁA PIERWSZA KONFIGURACJA?
Pierwsze wdrożenie jest zawsze najtrudniejsze, ponieważ nigdy wcześniej tego nie robiłeś. Pojawią się problemy, których nie znasz. Przejście z OfficeScan do Apex One, z Vision One do Cloud One staje się łatwiejsze za każdym razem, ponieważ wiesz, co się wydarzy.
Do tego czasu masz już ugruntowaną grupę osób, które Cię wspierają i które wspierają od pewnego czasu. Wiesz, czego się spodziewać i jak wszystko pójdzie w przyszłość. W zasadzie wiesz, jaki będzie czas. Ta część jest dobra.
Vision One jest na miejscu. Dawno temu zaczęliśmy budować centra danych, a ja miałem zaszczyt i przywilej to robić. Na poziomie centrum danych zbudowaliśmy nadmiarowość, więc są dwa wszystkie elementy. A potem myślisz: „Co się stanie, jeśli coś stanie z centrum danych?” Dlatego zbudowaliśmy kolejny. Potem zdaliśmy sobie sprawę, że potrzebujemy jej gdzieś indziej, ponieważ w południowej Kalifornii mamy wystarczająco dużo trzęsień ziemi, aby wiedzieć, że nic tu nie jest bezpieczne. W rezultacie zbudowaliśmy jeden model w Arizonie i naśladowaliśmy to, co tu mamy, a następnie zamieszaliśmy to wszystko razem. Możemy więc ponieść porażkę tutaj lub w obiekcie w Arizonie. Zasadniczo zarządzamy dwiema chmurami prywatnymi. To doprowadziło nas do miejsca, w którym byliśmy około rok temu.
I nagle pojawił się pomysł przejścia do chmury. Rozpoczęliśmy współpracę z platformami Azure i AWS w celu przeniesienia produktów do chmury, ale pojawiły się też problemy z tym związane.
Na przykład, jeśli zbudujemy duży element infrastruktury w naszym centrum danych, kupujemy sprzęt, a następnie go wdrażamy. Cały ten sprzęt to nakłady inwestycyjne, które można odpisać na przestrzeni lat. Przenosząc się do chmury, nie otrzymujesz takiej przerwy, a jeśli korzystasz z czyjejś infrastruktury, ktoś obciąży cię tą usługą. Chociaż nie jestem ekspertem w dziedzinie chmury, stworzyliśmy aplikacje oparte na chmurze, ale z finansowego punktu widzenia jest to bardzo kosztowne. Nie masz tych nakładów inwestycyjnych z powrotem do kieszeni, tak jak Ty, gdy kładziesz własne centra danych.
Nasze kierownictwo nadal chce umieścić więcej plików w chmurze, więc będziemy to nadal robić, a Cloud One umożliwia to za pomocą funkcji zabezpieczeń obciążenia pracą.
CO Z ZESPOŁEM WDROŻENIOWYM?
Wszystko to zrobiliśmy w firmie. Znalazłem kogoś, kto pracował już w dziale bezpieczeństwa w naszej firmie i zaprowadził go do mojego zespołu. Jeśli uda Ci się znaleźć kogoś, kto już wykonał tę pracę i ją rozumie, nie tylko możesz go natychmiast wdrożyć, co zniesie ten element ze stołu, ale także zacząć uczyć się innych rzeczy, ponieważ znają już infrastrukturę, którą naprawdę dobrze wdrażasz. Za każdym razem, gdy musiałam zdobyć kogoś, kto miał już doświadczenie i był dobry w tym, co robili, zrobiłam to. Pomaga zdobyć doświadczonych ludzi.
CO BYŁO NASZYM ROI?
Zawsze czułem, że kluczem do tego będzie automatyzacja i integracja platform.
Powodem, dla którego czułem się w ten sposób, było to, że po wyjściu ze szkoły nie poszedłem do ochrony. Miałem szczęście pracować w dziale inżynierii systemów NCR. Zbudowałem i zaprojektowałem mikroprocesory, a następnie oprogramowanie systemu operacyjnego dla mikroprocesorów. Byłem narażony na wiele zdarzeń w jelitach bestii. Mimo że bestia zmienia się z firmy na firmę, masz pojęcie o tym, co tak naprawdę się dzieje.
Następnie założyłem własną firmę i dowiedziałem się, że integracja elementów jest kluczem do sukcesu, podobnie jak automatyzacja. Musisz zautomatyzować rozwiązania, ponieważ nie chcesz, aby grupa ludzi próbowała naprawić rzeczy, jeśli możesz zautomatyzować rzeczy i zająć się problemami.
Na przykład dzienniki z IPS blokują setki tysięcy, a czasami miliony pakietów dziennie. Gdybyśmy wpuścili te pakiety, nie wiem, co by się stało, ale nie sądzę, żeby to było dobre.
Nie mam pod sobą też dużego personelu. Koncepcja, że jako dyrektor ds. bezpieczeństwa informacji, zatrudnisz kilkaset ludzi do pracy nad sprawami, nie będzie się wydarzyć. Więc naprawdę musisz skonfigurować je i skonfigurować do automatyzacji, a każdy rodzaj alertów musi wskazywać na problem, zamiast mówić, gdzie zacząć szukać.
JAKIE MAM DOŚWIADCZENIE W ZAKRESIE CEN, KOSZTÓW KONFIGURACJI I LICENCJI?
Mają nową metodę ustalania cen i jeszcze nas nie wciągnęły, za co jestem wdzięczny. Wystarczająco trudno radzić sobie z dolarami, ale z ich nowym rozwiązaniem — a ja nie korzystam z niego — kupujesz tokeny lub jakieś punkty i kupujesz z nimi rzeczy. Nie poszliśmy tam. Pozostaliśmy z tym, co mieliśmy.
Z punktu widzenia cen są naprawdę dobrymi negocjatorami i będą z Tobą współpracować. Podczas pierwszej konferencji Trend odbyłem prezentację dla ich zespołu sprzedaży i powiedziano im: „Nie martw się o zarabianie pieniędzy. Po prostu uszczęśliw naszych klientów, a pieniądze przyjdą”. Są w tym dobrzy i dużo lepsi od większości firm. Zawsze dobrze jest mieć dobrego partnera.
JAKIE INNE ROZWIĄZANIA OCENIŁEM?
Przyjrzeliśmy się nowym rzeczom, które IBM wymyślił, a to nie było takie nowe, więc nie zaszło zbyt daleko w naszej ocenie. Przyjrzeliśmy się również McAfee i innej firmie, która w tamtym czasie była startupem, chociaż nie pamiętam jej nazwy.
Miałem trzech lub czterech dostawców usług PoC i poprosiłem każdego z nich o wsparcie wysiłków i danie mi około miesiąca. Zanim skończyłam, nie tylko dostałam najlepszy produkt, ale także najlepszego dostawcę. Wsparcie musi być dostępne podczas tego procesu, w przeciwnym razie nie wygrywają tego dnia. Niektórzy z nich byli tak gorsi, jak: „Oto daj nam znać, jak sobie radzi”. Zastanawiałem się: „Cóż, od czasu do czasu mogę mieć kilka pytań. Mam nadzieję, że ktoś dzwoni, aby na nie odpowiedzieć”. Ale nie zawsze masz taki luksus. Ale Trend był naprawdę dobry i dlatego się z nimi trzymałam.
KTÓREGO MODELU WDROŻENIA UŻYWASZ DO TEGO ROZWIĄZANIA?
Lokalnie
Dołącz do 500 tys. klientów na całym świecie
Zacznij korzystać z rozwiązań Trend już dziś