Firma z branży opieki zdrowotnej
Trend Vision One nadaje danym znaczenia i pomaga kontrolować ataki na wczesnym etapie
Jasneet Singh
Inżynier ds. bezpieczeństwa chmury w firmie medycznej zatrudniającej 5 001–10 000 pracowników
JAKI JEST NASZ PODSTAWOWY PRZYPADEK UŻYCIA?
Wcześniej korzystaliśmy z Symantec, a wraz z pojawieniem się na rynku EDR szukaliśmy rozwiązania. Chcieliśmy mieć system obronny, aby w przypadku ataku na system, takiego jak zainfekowanie punktu końcowego lub aby atakujący lub znana technika ransomware przesunęła się w bok, nie musiałem udawać się do zespołu ds. zapór sieciowych. Nie muszę chodzić do innych zespołów, aby się dowiedzieć. Na tym samym etapie powinienem mieć wystarczająco dużo informacji, aby je opanować, jeśli to możliwe.
Trend Vision One skrócił średni czas reakcji na zagrożenia o 70% do 80%.
JAK POMOGŁO TO MOJEJ ORGANIZACJI?
Szukaliśmy systemu z jednym panelem. Rozpoczęto proces wdrażania klienta EDR na serwerach o nazwie Trend Micro™ Deep Security i Trend Micro Apex One™ w punktach końcowych, takich jak komputery stacjonarne i laptopy. Następnie połączyliśmy je z jednym panelem o nazwie XDR, znanym teraz pod nazwą Trend Vision One. Pomogło nam to prawidłowo znaleźć i naprawić sytuację. Widzieliśmy komunikację między punktami końcowymi i serwerami oraz wszystko, z czym rozmawiali. Moglibyśmy ją następnie jeszcze bardziej rozszerzyć i połączyć ze wszystkimi systemami za pomocą interfejsów API. Był to nasz początkowy wymóg i bardzo dobrze się sprawdził.
Gdy kupujesz rozległe lub drogie rozwiązania SIEM, takie jak Splunk lub coś innego, potrzebujesz analityki. Można napisać istotne zapytania w celu zapytania o dane. W ostatecznym rozrachunku wszystkie wprowadzane dane muszą być skorelowane. Trend Vision One zapewnia widoczność w tym sensie.
Połączyliśmy ją z chmurą, aby zobaczyć telemetrię z Azure i chmury. Następnie zainstalowaliśmy system wykrywania sieci. Może dostrzec i wykryć niewielki ruch z warstwy sieciowej. Następnie połączyliśmy je z usługą Active Directory, aby można było przypisać je do nich. Obecnie mamy wiele danych. W małym zespole pojawia się problem polegający na tym, jak radzić sobie z tak dużą ilością informacji i jak ustalać priorytety. Pomaga w ustalaniu priorytetów. System jest wystarczająco inteligentny, aby aktywnie skanować dzienniki i uruchamiać alerty przepływu pracy. Priorytetyzuje je w oparciu o krytyczność, taką jak wysoka, średnia, niska lub informacyjna. Gdy masz mały zespół, analitycy mogą zacząć przyglądać się nim i sprawdzać, co się dzieje, a co należy nadać priorytet.
Zbliżyliśmy się bardzo do rosyjskiego ataku, a Trend Vision One bardzo nam pomogła. Pomogło nam to kontrolować atak na początkowych etapach. Dostali się do środowiska i zdejmowali odwrotną powłokę. Widziałem ostrzeżenie. Trend Vision One Protection pokazał mi szczegółowo, co uruchomili, czego zapytali, jakie informacje zostały przechwycone i gdzie trafiły połączenia. Był to pośrednik pierwszego dostępu, który przeprowadził atak. Jeśli te informacje nie zostaną odebrane późnym piątkowym popołudniem, można sobie wyobrazić, co mogło się wydarzyć do poniedziałku. W ciągu kilku godzin informacje te trafiłyby do ciemnej sieci i zostałyby sprzedane do grupy ransomware. Średni czas reakcji został znacznie skrócony. Większość organizacji bardzo rzadko wykrywa takie ataki we własnym środowisku w ciągu pierwszych czterech godzin. Skróciło to średni czas reakcji o 70% do 80%.
Funkcje monitorowania w czasie rzeczywistym pomagają nam w ogólnej ochronie. Wszystko zostało skonfigurowane z naszym centralnym systemem poczty elektronicznej SOC, więc w momencie uruchomienia alertu i w zależności od jego krytyczności możemy nad nim pracować. Pracując w służbie zdrowia, często współpracujesz z dostawcami, którzy nadal nie są zbyt świadomi cyberbezpieczeństwa. Wciąż się uczą. Jeden z nich jest podłączony do pamięci USB i znaleźliśmy wczesny wskaźnik infekcji. Urządzenie zostało podłączone do jednego z systemów technicznych. Nie tylko to wykryło i zablokowało, ale także otrzymaliśmy alert wskazujący maszynę. Gdyby nie zostało wykryte i odebrane na tym samym etapie w ciągu kilku minut, mogłoby to ostatecznie mieć dość duży wpływ.
Piękno polega na tym, że nie muszę logować się do osobnej konsoli Apex One lub Deep Security. Konsola Trend Vision One zapewnia pełną widoczność i dane telemetryczne w czasie rzeczywistym. Konsola Trend Vision One natychmiast Cię powiadamia. Po prostu generuje alarm o krytycznym znaczeniu. Blokuje, ale następnie zapewnia zalecenia dotyczące łagodzenia skutków. Musimy odłączyć maszynę od sieci, zeskanować USB, edukować użytkownika i przekazać sprawę odpowiednim osobom. Posiadanie wszystkich tych informacji jest bardzo ważne. Możemy również wpływać na zachowanie użytkownika, aby nie robił tego ponownie.
Używamy go w punktach końcowych. Używamy go na naszych serwerach. Mamy system wykrywania sieci o nazwie NDR. Monitorujemy cały wewnętrzny ruch pochodzący z zapór sieciowych. Posiadamy Citrix NetScalers, więc monitorujemy również stronę sieci. Mamy również inny produkt o nazwie Conformity, który przeprowadza ocenę i kontrolę zgodności w chmurze dla wszystkich zewnętrznych zasobów chmury. Informuje, czy nie są zgodne z przepisami. Na przykład w przypadku projektu, który wszedł, coś może zostać przypadkowo ujawnione internetowi, na przykład konto pamięci masowej Azure. Wszystko to trafia do Trend Vision One, a my mamy jedną szybę.
Jest to pomocne dla wielu zespołów. Nie ogranicza się tylko do standardów SOC. Mamy zespoły od strony chmury, a czasami od punktu końcowego i serwera, które mogą wejść i zobaczyć alerty. Ułatwia to pracę, ponieważ wszyscy widzimy to samo z większą ilością informacji. Używamy go do obsługi serwerów i sieci punktów końcowych. Używamy go do monitorowania naszej chmury Azure. W ramach naszych licencji posiadamy również licencje Trend Micro™ Cloud App Security. Posiadamy zasady, które umożliwiają zaawansowane monitorowanie ochrony przed zagrożeniami i DLP w kanałach SaaS, takich jak witryny Exchange Online, Teams, OneDrive i SharePoint. Są to inne kanały, z których można udostępniać dane, które mogą dostać się do naszego środowiska lub które mogą wydostać się z naszego środowiska. Posiada zasady monitorowania DLP. Posiada zasady monitorowania wszelkich złośliwych plików lub wskaźników ataku ATP. Otrzymujemy również te alerty.
Dostępne są dwa pulpity nawigacyjne. Pulpity Executive zapewniają ogólny obraz całego systemu i tego, co dzieje się w naszym systemie w dowolnym momencie. Widzimy, ile luk mamy w zabezpieczeniach, co musimy zgłosić kierownictwu i jak będziemy postępować w takich sprawach. Następnie mamy pulpit operacyjny z alertami w czasie rzeczywistym lub alertami oczekującymi. Pokazuje nam, że mamy konto pasujące do jeziora danych .Net. Problemem jest na przykład to, że większość użytkowników ma to samo hasło, więc możesz mieć to samo hasło do konta służbowego i prywatnego. Mogą zostać zaatakowane w domu i w pracy. Dlatego używamy Executive Dashboards do raportowania i ogólnego zrozumienia tego, co dzieje się w środowisku oraz co musimy zgłaszać i ustalać priorytety. Pulpit operacyjny jest przeznaczony do codziennej pracy.
Bardzo ważne jest, abyśmy mogli przejść od Executive Dashboards do wykrywania XDR. Działamy w branży opieki zdrowotnej. Jesteśmy szpitalem. Zarząd nie tylko martwi się ransomware, ponieważ może się to zdarzyć każdemu. Nigdy nie możesz być wystarczająco bezpieczny. Niepokoi ich również utrata reputacji i koszty operacyjne odzysku, dlatego bardzo zależy im na widoczności. Pulpity Executive Dashboard dostarczają nam wystarczająco dobrych informacji, aby je filtrować. Na przykład nasz zespół wsparcia technicznego dla komputerów stacjonarnych ma ograniczoną liczbę osób. Jeśli chodzi o cyberbezpieczeństwo, chcemy ustalić priorytety poprawek pod kątem zagrożenia zero-day, ale czasami nie może się to zdarzyć, ponieważ zespoły mają inne priorytety. Nie chodzi o to, że nie chcą pomóc, ale nie mają zasobów. Dzięki pulpitom wykonawczym i raportom możemy eskalować sprawy do zarządu, mówiąc, że potrzebujemy pewnej uwagi. Możemy poprosić ich o sfinansowanie naszych zasobów, aby osiągnąć ten cel. Pomaga nam to dyktować wpływ i ustalać priorytety krytycznej luki w zabezpieczeniach cybernetycznych, abyśmy mogli uzyskać akceptację kierownictwa, aby nadać jej priorytet i rozwiązać problem, zanim wyjdzie on z użycia.
Korzystamy z funkcji Indeks ryzyka, aby mapować wyniki na tle innych organizacji w tym samym regionie geograficznym w porównaniu z innymi organizacjami. Czy jesteśmy lepsi czy gorsi od innych? Jeśli mamy obszary, w których jesteśmy gorzej niż inni, pomagają nam zrozumieć powód i sposób poprawy.
Jeśli chcemy przejść przez każde zdarzenie, dzięki naszej aktualnej licencji XDR może przechowywać dane nawet z sześciu miesięcy, czyli miliony lub tysiące alarmów. Inteligentne jest zapewnienie Workbench, który automatycznie ustala priorytety. Wykonuje to ciężką pracę, wyciągając ten wywiad i mówiąc, że są to najważniejsze elementy, którymi należy się zająć tak szybko, jak to możliwe. Nie lekceważę faktu, że czasami atakujący nawet nie wybierają tych o wysokim znaczeniu. Podejmują średnią, ale pomaga nam to pozbyć się ich. Nasz zespół jest mały i miałem dobre doświadczenie w szkoleniu kilku osób, przechodzeniu przez nie i pokazywaniu im, jak to zrobić. Kiedy ludzie zaczynają pracować, rozumieją przepływ pracy. To po prostu drugi nawyk. Jest bardzo intuicyjna. Możesz wejść do konsoli, dodawać nowe wskaźniki zagrożenia, dodawać nowe zapytania dotyczące zagrożeń, dodawać nowe kanały CTI i sprawdzać, czy nie występują nowe luki w zabezpieczeniach. Jest tak wiele rzeczy, że możesz się z tego wydostać. Musisz po prostu nadać priorytet temu, co Twoim zdaniem jest ważne w tym dniu.
Używamy Managed XDR jako drugiej usługi. Przydaje się to, że mamy ludzi pod telefonem. Na pewno ciągle sprawdzam moje wiadomości e-mail, ale jeśli mamy krytyczne ostrzeżenie, że nikt nie wziął w nich udziału z naszej strony, selekcjonują go. Bardzo dobrze go selekcjonują, a następnie oceniają. Mogą na przykład powiedzieć: „Wydaje się, że to łagodne lub negatywne, ale pojawił się alert i nikt nie był dostępny. Jeśli chcesz dodać dodatkową warstwę zabezpieczeń lub środków ostrożności, oto środki łagodzące”. Są bardzo responsywni. Byłem w stanie dostrzec duży atak, jaki dwa lata temu doświadczyliśmy w ciągu pierwszych czterech godzin, a do czasu, gdy dotarł do XDR, wszystko było ze sobą skorelowane. W ciągu pół godziny ich zespół reagowania doszedł do tego samego wniosku. Skontaktowali się z nami, kiedy miałem się z nimi skontaktować, więc byliśmy na tej samej stronie. To z pewnością dobre lub drugie rozwiązanie dla nas. Ponadto niektóre alerty mogą pochodzić z procesów roboczych. Mogą wydawać się złośliwe, ale nie są. Pracownicy serwisu Managed XDR wracają do nas po to, aby to potwierdzić. Mówimy im, że to znany plik. Nie muszą się tym martwić. Czasami możemy czegoś przegapić lub nie mieć pojęcia o kolejnym kroku. Następnie wymyślają zalecenia dotyczące tego, co musimy zrobić. To bardzo dobra usługa.
Używamy Attack Surface Discovery do monitorowania posiadanych przez nas urządzeń oraz zasobów internetowych, kont i aplikacji. API jest czymś, co wciąż sprawdzamy, ale za pomocą kilku kliknięć otrzymujemy przegląd. Widzimy, ile z nich jest instalowanych poprawek, a ilu jest eksponowanych na zewnątrz lub w Internecie. Mamy wiele poddomen powiązanych z główną witryną szpitalną dla różnych projektów i procesów roboczych. Widzimy, jak sobie radzą, które porty są otwarte i jakie znane są luki w zabezpieczeniach, ponieważ niektóre z nich nie są przez nas zarządzane. Są one zarządzane przez zewnętrznych dostawców, dzięki czemu możemy je kontrolować. To samo dotyczy naszych klientów. Jeśli mamy konta, które są w ciemnej sieci lub mamy konta z nadmiernymi uprawnieniami, które mogą być potencjalnie wykorzystane, możemy rozwiązać ten problem.
W przypadku aplikacji najbardziej podoba mi się lista aplikacji Cloud. Zasadniczo analizuje wszystkie aplikacje SaaS i porównuje je. Profiluje je w oparciu o resztę i daje nam raport. Mówi nam, że niektóre aplikacje, z których korzystają ludzie, mogą nie zostać oficjalnie przez nas ukarane. W przypadku nieusankcjonowanej aplikacji wykonuje profilowanie ryzyka za pomocą Trend Vision One, który pokazuje nam, jaki standard zgodności z przepisami zabezpieczeń został przez niego wprowadzony od dostawcy. Pozwalają nam szybko zrozumieć, jak złe lub dobre jest dalsze korzystanie z aplikacji.
W czasie pandemii COVID zakładałem Trend Vision One i otrzymałem alert informacyjny. Mąż pielęgniarki dał jej USB i podłączyła je. Pracowała poza zakładem, ale klientka Trend wciąż działała. Klienci zostali połączeni z konsolą SaaS lub Internetem, więc cały system telemetryczny był nadal zasilany. Musieli pomyśleć, że tak nie jest, ale wciąż pojawiają się wykrycia. Po podłączeniu do sieci pobrała platformę wykorzystywania Power Shell, którą udało jej się zmapować do grupy ATP z Chin, która często wykorzystuje tę technikę do eksfiltracji własności intelektualnej. Podoba mi się to, jak bardzo jest to widoczne. W przypadku kilku aplikacji czasami pojawia się alert, a nawet może przejść do ostatniego wykonanego polecenia. Może utworzyć wykres ataku i pokazać pełny profil wykonania. Pomaga rozwiązywać problemy i odfiltrowywać, czy coś jest fałszywie pozytywne, czy problemem. To, co najbardziej podoba mi się najbardziej, jest połączeniem wszystkich różnych systemów z Trend Vision One i jego zdolnością do indywidualizacji ataku. To bardzo dobre rozwiązanie, ponieważ czytanie dzienników i wizualizacja ataku to dwie różne perspektywy dla myśliwych zagrożeń. To naprawdę pomaga zrozumieć, co się dzieje.
W przypadku każdej takiej technologii w środowisku przedsiębiorstwa, jak również w przypadku większości systemów produkcyjnych, skrócenie czasu poświęconego na badanie fałszywych alarmów zależy od tego, jak szybko system zostanie dopracowany. Musisz o tym powiedzieć, które są wyjątkami i nie powiadamiać Cię o nich, a które powinny Cię powiadomić. To działanie równoważące bezpieczeństwo cybernetyczne. Na przykład loginy są używane przez atakujących, ale także przez personel administracyjny. Jeśli całkowicie je zwolnisz, możesz mieć złośliwe logowanie w swoim środowisku. Byłbyś tam całkowicie niewidomy, ponieważ nic nie zostałoby powiadomione. Jeśli chodzi o wyniki fałszywie dodatnie, system rejestruje wiele danych i nie jest to wina systemu, ponieważ widzi wiele danych. Czasami nie sklasyfikowaliśmy danych. W tej sytuacji stajemy się coraz lepsi. Oznaczamy i oznaczamy systemy. Dostosowujemy ją i zmniejszyła się ona trochę, ale wciąż mamy wiele do zrobienia. Dzieje się tak, ale to coś, co robimy za kulisami. Jeśli chodzi o codzienne poszukiwanie zagrożeń i ich widoczność, klasyfikuje je w Workbench i to właśnie sprawdzamy rano. Dowiadujemy się, co się dzieje i na czym musimy się skupić. Gdy widzimy, że powtarza się schemat dla fałszywych alarmów, a alerty Workbench są wysokie, a nie prawdziwie pozytywne, zastanawiamy się, jak wymienić te systemy na białe. Wiemy teraz, że jest to znany proces realizacji. Wiemy, że jest to znany ruch lub znany dostawca, który uruchamia tę aplikację, a gdy się otworzy, łączy się ona na przykład z tymi portami. To trochę działanie równoważące. Zmienia się dynamicznie.
CO JEST NAJBARDZIEJ WARTOŚCIOWE?
W naszych codziennych przypadkach korelacja i przypisywanie różnych alertów są cenne. Jest to rodzaj narzędzia SIEM, ale jest ono wystarczająco inteligentne, aby uruchamiać zapytania i celowo wykrywać ataki i ustalać dla Ciebie priorytety. W ostatecznym rozrachunku są to różne dane, które widzisz. Koreluje dane i nadaje im sens. Widzisz, że ktoś otrzymał wiadomość e-mail i kliknął łącze. To łącze pobrało na przykład złośliwe oprogramowanie do pamięci urządzenia. Stamtąd widać, że zaczęły się przemieszczać bocznie do Twojego środowiska. Podoba mi się to, ponieważ zapewnia widoczność, więc Workbench jest tym, czego używamy na co dzień.
Mają też coś, co nazywa się wirtualnymi poprawkami. Jeśli masz systemy wycofane z eksploatacji lub nieobsługiwane, nie możesz uaktualnić agenta, ale nadal możesz przeprowadzić aktualizację, jeśli otrzymasz podpis. To jest funkcja, którą lubię. Na przykład dziś, jeśli pojawi się nowe zagrożenie typu zero-day z luką w zabezpieczeniach łącza, w której atakujący wysyłają łącze, a łącze to, nawet jeśli zostanie otwarte w trybie podglądu, może w zasadzie uruchomić złośliwy kod, nie możemy go poprawić w ciągu czterech lub pięciu godzin. Jesteśmy organizacją średniej wielkości. Jesteśmy dość pokaźni i czasami zajmuje to dwa dni, a nawet tydzień. Wirtualne poprawki są dostępne, a XDR z tymi wszystkimi połączonymi informacjami — widzimy, że wirtualna poprawka działa. Jest tam. Wdrożyliśmy wszystkie środki łagodzące, ale wykrywamy również środowisko dla tego zagrożenia. Możemy dodatkowo napisać zapytania myśliwskie i usprawnić wykrywanie. Dlatego bardzo pomocne są wykrywanie Workbench i wirtualne poprawki.
Daje nam również pulpit nawigacyjny, na którym monitorujemy nasze zewnętrzne zakłady. Widzimy, które porty są otwarte i jakie znane luki są na nich skanowane. Zapewniamy widoczność i lepiej oznaczamy czas na reagowanie i działanie.
Interfejs użytkownika jest dość łatwy w użyciu. Czasami uczysz się, kiedy się nim bawisz i ustawiasz. Podoba mi się to, że możesz przejść z konsoli do różnych sekcji, jeśli wiesz, jak to zrobić, ale jeśli tego nie skorzystałeś, może to trochę potrwać. Dobrą rzeczą, jaką Trend Micro robi od dwóch lat, jest organizacja pewnego rodzaju CDF, które są scenariuszami opartymi na prawdziwych cyberprzestępcach. Pozwalają przyjść na te wydarzenia. Gamifikuje się, aby przyciągnąć ludzi. Jeśli chcesz się nauczyć, pokaże on identyfikator zdarzenia, które przyszło i dokąd się udać, aby go zobaczyć. Pokazuje, jak polować na podstawie tego wydarzenia i jak wyodrębnić wskaźniki naruszenia bezpieczeństwa z tego identyfikatora. Istnieje funkcja o nazwie Podejrzany obiekt. Pokazują one, jak je zablokować. Jeśli masz podejrzany obiekt powiązany z analizą zagrożeń, która trafia do Palo Alto, możesz nie tylko zablokować go w XDR lub Trend Vision One, ale od razu również przesłać go do zapory, więc zapora również blokuje go teraz. Istnieje kilka świetnych funkcji, ale musisz poświęcić czas, aby zrozumieć, jak można przełączać się między różnymi podrozdziałami. Jeśli ktoś jest nowy i zaczyna, to wciąż jest to dość proste. Interfejs UI jest bardzo zrozumiały. Jest wiele szczegółów. Do systemu dodano wiele danych telemetrycznych, które można zobaczyć i zrozumieć. To nie jest takie skomplikowane. Jeśli masz trochę doświadczenia w zakresie cyberbezpieczeństwa, powinieneś być w stanie je łatwo zdobyć.
Nieustannie ją aktualizują, co jest dobre i niezbyt dobre. Co kilka tygodni wprowadzane są aktualizacje. To bardzo dobre aktualizacje. Podoba mi się, że mają tak zwinny rozwój. Słuchają opinii klientów i stale inwestują w ten produkt. Nie dają Ci gotowego produktu. Świat się zmienia, a ataki się zmieniają. Jest on aktualizowany.
Korzystamy z funkcji Indeks ryzyka, aby mapować wyniki na tle innych organizacji w tym samym regionie geograficznym w porównaniu z innymi organizacjami. Czy jesteśmy lepsi czy gorsi od innych? Jeśli mamy obszary, w których jesteśmy gorzej niż inni, pomagają nam zrozumieć powód i sposób poprawy.
CO POTRZEBUJE POPRAWY?
Sprawozdawczość może być nieco lepsza. Pracują nad tym i jest coraz lepiej. Pracują nad tym produktem różne zespoły programistyczne. Jak każda większa organizacja, tak wiele osób pracuje i naprawia produkt, a także ma własne procedury i cykle rozwoju oraz rozumie kodeks. Jest o wiele lepszy, ale przed nami jeszcze długa droga. Ostatnio pojawiło się kilka kolejnych raportów. Lubię to, że słuchają informacji zwrotnych. Jeśli powiemy im, że potrzebujemy tego zgłoszenia, wracają i coś z tym zrobią. Nie gubi się w wiadomościach e-mail ani spotkaniach.
OD JAK DAWNA KORZYSTAM Z ROZWIĄZANIA?
Z Trend Vision One korzystamy od prawie trzech lat.
CO SĄDZĘ O STABILNOŚCI ROZWIĄZANIA?
Nie widziałem żadnych przestojów jako takich. Nie widziałem, aby konsola psuła się, nawet raz na trzy lata.
Odznacza się solidną obroną. Jest to obecnie system bardzo połączony. Większość czasu poświęcam na dostrajanie i pracę w Trend Vision One. Przez większość czasu był w 100% stabilny. Nie miałem żadnych problemów. Jest bardzo stabilny. Oceniłbym to 10 na 10 pod względem stabilności.
CO SĄDZĘ O SKALOWALNOŚCI ROZWIĄZANIA?
Nasza siedziba znajduje się na południowym zachodzie. To dość duża witryna. Po pandemii COVID mamy zdalne miejsca pracy. Jest to część naszego standardowego środowiska operacyjnego. Każdy nowy serwer lub każdy nowy komputer stacjonarny lub laptop musi mieć zainstalowanego klienta, ale jesteśmy również wieloma obiektami. Posiadamy zakłady w Central Queensland i North Queensland. Pojawiły się również te zakłady. Jest to kompleksowe rozwiązanie. Jest on używany we wszystkich trzech zakładach.
Trend Vision One jest obecnie używany przez wiele zespołów. Obecnie pracuje od 15 do 20 osób. Mamy zespół ds. sieci i bezpieczeństwa, a następnie główny zespół ds. cyberbezpieczeństwa. Mamy ludzi, którzy dbają o rozwiązanie Trend Micro Apex One i komputery stacjonarne, a także o serwery i chmurę. Wszyscy wiedzą, czego szukać i skąd pochodzi alert oraz co muszą zrobić. Odbyłem kilka wewnętrznych szkoleń dla ludzi.
JAK WYGLĄDA OBSŁUGA KLIENTA I WSPARCIE?
Obsługa klienta jest fantastyczna. Są one dość techniczne. Podoba mi się to, że są bardzo responsywni. Rejestrujesz pracę i w ciągu dwóch godzin ktoś z Tobą rozmawia lub kontaktuje się z Tobą za pośrednictwem poczty elektronicznej. Mamy u siebie kierownika ds. relacji lub opiekuna technicznego, który kontaktuje się z nami co dwa tygodnie. Rozwiązuje wszelkie problemy i zapewnia również kanały eskalacji. Ich zaangażowanie jako dostawcy i jako wsparcia było niesamowite.
JAK OCENIASZ OBSŁUGĘ KLIENTA I WSPARCIE?
Pozytywne
Z KTÓREGO ROZWIĄZANIA KORZYSTAŁEM WCZEŚNIEJ I DLACZEGO SIĘ ZMIENIŁEM?
Korzystaliśmy z Symantec. Kiedy trzy i pół roku temu przeprowadziliśmy badania, świat przechodził na EDR. Rozwiązanie EDR kompensuje różne technologie. Nie jest to wykrywanie statyczne oparte na sygnaturach, ponieważ można je łatwo pominąć.
Główne kwestie to koszty i wirtualne poprawki. Szukaliśmy rozwiązania, które może nam pomóc w tworzeniu wirtualnych poprawek. Jeśli masz pod ręką zero-day, niezależnie od tego, jak duży jest Twój zespół, czasami wprowadzenie poprawek nie jest możliwe. W szpitalu nie można zdejmować systemów. Musisz przejść przez kilka procesów, ale w tym czasie znajdujesz się w bezbronnym stanie. Szukaliśmy systemu, który mógłby zapewniać wirtualne poprawki, ma sygnatury wykrywania i wirtualnych poprawek, a także zapewnia przestrzeń oddechową, w której można się znaleźć i wprowadzić poprawki do systemu. Zaspokoi te potrzeby.
EDR/funkcja pełnego składowania również była mile widzianą zmianą. Nie mamy tylko programu antywirusowego ani EDR. Może to zrobić o wiele więcej. Może przeprowadzać kontrole integralności plików. Może wykonywać bazowe dane znanych pamięci podręcznych plików systemowych. Może to zrobić wszystkie te rzeczy.
JAK WYGLĄDAŁA PIERWSZA KONFIGURACJA?
Nasz model to model hybrydowy. Konsola Trend Vision One w usłudze SaaS. Jest w chmurze, ale mamy przekaźniki, które pobierają aktualizacje, więc agenci muszą być lokalni. Klienci EDR na serwerach i punktach końcowych, takich jak laptopy i komputery stacjonarne, muszą być dostępni lokalnie. Zarządzanie postawą w chmurze i bot PC są również oparte na SaaS. To tylko przez interfejs API. Poza klientami EDR większość innych integracji opiera się na SaaS.
Początkowe wdrożenie było nieco trudne, ponieważ mimo że Symantec był bardzo przestarzałym produktem, w maszynie nadal było coś. Musieliśmy popracować nad tym, aby się pozbyć. Ogólnie rzecz biorąc, wdrożenie było całkiem dobre. Największym wyzwaniem we wdrażaniu EDR jest zrozumienie, jak wygląda ruch sieciowy, codzienny przepływ pracy lub jak wygląda aplikacja. Większość EDR posiada tzw. skany w czasie rzeczywistym, więc jeśli coś próbuje uzyskać dostęp do pamięci, w której dane uwierzytelniające są przechowywane lub zapisać je w pliku chronionym przez system, a jeśli EDR o nich nie wie, od razu je zablokuje. Pomogli nam stworzyć te niesamowite podstawy, w których moglibyśmy umieścić znane aplikacje na białej liście i znany ruch. Było dobrze. Naprawa sytuacji zajęła trochę czasu. W miarę zmieniania się środowiska, dostosowujesz je do swoich potrzeb. Nie słyszałem o żadnych poważnych problemach ani dramatach, ale nie przeprowadziłem wdrożenia.
Nie wymaga żadnej konserwacji. Jedyną istotną zmianą, jaką ostatnio widziałem, jest przejście z wersji 1 do wersji 2, a nadchodzi wersja 3. To wszystko dzieje się za kulisami. Mieliśmy agentów w innym regionie geograficznym. Musieliśmy przeprowadzić migrację, która jest lokalna, ale zespół zaplecza zrobił resztę.
CO Z ZESPOŁEM WDROŻENIOWYM?
Mieliśmy dedykowany zespół projektowy, który współpracował z kierownikami projektów firmy Trend przy wdrażaniu.
JAKIE MAM DOŚWIADCZENIE W ZAKRESIE CEN, KOSZTÓW KONFIGURACJI I LICENCJI?
Nie mam do tego zbyt wiele wglądu. Zdecydowanie nie jest to tani produkt, ale według mojej wiedzy jest to możliwe dzięki dużym perukom w branży, takim jak CrowdStrike, SentinelOne i inni dostawcy EDR/XDR. Słyszałem i w końcu dowiedziałem się, że ich zespoły sprzedaży są bardzo elastyczne, podobnie jak coraz więcej zespołów sprzedaży.
Problem z wszelkimi operacjami bezpieczeństwa polega na tym, że trzeba kupić go w całym ekosystemie, aby zapewnić lepszą widoczność i więcej punktów danych. Może lepiej zrozumieć środowisko systemu.
Rozpoczęliśmy od wykrywania punktów końcowych i serwerów, a następnie otrzymaliśmy bezpłatne operacje zabezpieczeń, aby je wypróbować. Po dotarciu do niego dodaliśmy NDR, czyli reakcję na wykrywanie sieci, stronę chmury i wszystkie inne aspekty. Były one całkiem dobre pod względem cen i zrozumienia naszych potrzeb.
Ich zespół jest również bardzo dobry, co nie było widoczne u innych dostawców. Są proaktywni. Kontaktują się z Tobą w sprawie nowych wydarzeń w świecie cyberbezpieczeństwa, takich jak nowe ataki lub wykrycia, nowe zdarzenia lub nowe szkolenia. Kontaktują się z Tobą co kilka tygodni i siedzą z Tobą, aby zrozumieć, co mogą zrobić lepiej. To nieustanne zaangażowanie i usługi są dobre. Nie opieram jej tylko na kosztach. Nic nie jest tanie, ale chodzi o to, co otrzymujesz od dostawcy w usłudze. To nie jest jak sprzedać i zapomnieć, gdzie sprzedali ci produkt i nie mają z tobą nic wspólnego. Jest to nieustanne zaangażowanie, ponieważ działania związane z bezpieczeństwem stale się zmieniają. Zabierają Cię w tę podróż. Pokazują one, jakie nowe możliwości nadchodzą. Pytają o przykłady użycia i jak mogą nam pomóc. Pytają o to, co widzimy lub jakie wyzwania lub luki nadal mamy w środowisku, aby mogli Ci w tym pomóc. To było moje osobiste doświadczenie. To było fantastyczne.
JAKIE INNE ROZWIĄZANIA OCENIŁEM?
Mieliśmy innego dostawcę. Przetestowaliśmy obu klientów EDR, a w tym czasie operacje bezpieczeństwa były tylko wielkim słowem na rynku. Nie wiedzieliśmy, czym są operacje bezpieczeństwa i czy je zdobędziemy. Otrzymaliśmy ją bezpłatnie, aby wypróbować ją przez kilka miesięcy. Przeprowadziłem testy EDR tego rozwiązania i innego znanego na rynku dostawcy. Przeprowadziliśmy symulację ataku. Dokonaliśmy kilku ataków złośliwym kodem i oprogramowaniem ransomware. Bardzo dobrze było wziąć udział w większości ataków, podczas gdy druga to 50/50. Następnie opracowaliśmy raport oparty na faktach, które mieliśmy przed sobą.
W tamtym czasie powiedziano nam, że Palo Alto wymyślił coś o nazwie Cortex XDR. Kupili inną firmę, która miała klienta EDR, który znalazł się w swoim rozwiązaniu. Ich metodologia była nieco inna. Zapory wciąż były pierwszą linią obrony. Na przykład złośliwe oprogramowanie znajdujące się na maszynie próbuje połączyć się z serwerem poleceń i kontroli lub z złośliwą domeną poza środowiskiem na niektórych portach. Gdy Cortex XDR je zobaczy i osiągnie próg, zaczniesz widzieć alerty. Nie chciałem czekać, aż zainfekuje 25 maszyn, zanim Cortex XDR coś zrobi. To było za późno. Słyszałem, że przeszły długą drogę. Mogli uzyskać podobne informacje zwrotne od innych i wprowadzić pewne zmiany wewnętrzne. To świetna firma, ale nie spełniała wtedy naszych wymagań. Wykrycia podczas testów EDR nie były tak duże. Co najważniejsze, nie spełnił on jednego z kluczowych wymagań, których wtedy szukaliśmy. Chcieliśmy, aby wirtualne poprawki i wirtualne podpisy poprawek dla systemów operacyjnych, na których działa wsparcie. To właśnie było dla nas decydujące.
JAKIE INNE RADY MAM?
Oceniając to rozwiązanie, doradzam przeprowadzenie kontroli PoC i zrozumienie ich przepływu pracy i ruchu. Powinni mieć odpowiednie oczekiwania dotyczące produktu. Jest to system, z którym należy również inwestować w inne komponenty, ale gdy już je uruchomisz i będzie działać i dostroisz, zaczniesz widzieć ich wartość.
Obecnie działają dla nas jako partner wsparcia. Możemy na nich polegać i pracować, ponieważ zainwestowaliśmy w nie sporo pieniędzy. Produkt okazał się bardzo cenny dla naszego arsenału obronnego. Osobiście je śledzę. To nie tylko ja. Inicjatywa Zero-day firmy Trend wykorzystuje w Internecie około 60% luk w zabezpieczeniach. Jest to coś więcej niż jakikolwiek inny dostawca. Mają bardzo dobry zespół.
Oceniłbym Trend Vision One jako dziewięć na dziesięć. Raportowanie może wymagać trochę pracy, ale się poprawia. Pewnego dnia usłyszałem, że zaczynają dostarczać zautomatyzowane zapytania o poszukiwanie zagrożeń i bota AI w Trend Vision One. Funkcje te są nadal dostępne w podglądzie, ale szybko się zmieniają. Posiadają również funkcję zwaną kryminalistyczną, która umożliwia tworzenie przypadków kryminalistycznych i rejestrowanie połączeń bezpośrednio z portalu Trend Vision One. Są bardzo dobre zmiany. Jest ewoluująca i dynamiczna.
Dołącz do 500 tys. klientów na całym świecie
Zacznij korzystać z rozwiązań Trend już dziś