Katolickie liceum Iona
Pewnie chroni swoje punkty końcowe dzięki Trend Micro
John T.
Specjalista techniczny w Iona Catholic Secondary School
JAKI JEST NASZ PODSTAWOWY PRZYPADEK UŻYCIA?
Używamy rozwiązania Trend Micro Apex One™ do ochrony punktów końcowych. Używamy wersji SaaS rozwiązania Trend Micro Apex One.
Podoba mi się sposób, w jaki produkty Trend integrują się ze sobą. Wszystkie serwery Trend Micro Apex One są powiązane z centralą, która jest teraz zintegrowana z konsolą Trend Vision One™. Lokalne rozwiązania są również zintegrowane z platformą Azure.
JAK POMOGŁO TO MOJEJ ORGANIZACJI?
Mam pewność, że Apex One jest w stanie chronić punkty końcowe przed zagrożeniami takimi jak złośliwe oprogramowanie, ransomware i złośliwe skrypty.
Apex One oferuje predykcyjne uczenie maszynowe i monitorowanie zachowań, które są niezbędne do ochrony punktów końcowych. Nasze skanowanie plików skanuje również pamięć pod kątem złośliwego oprogramowania. Monitorowanie zachowań jest szczególnie skuteczne w wykrywaniu ataków ransomware, ponieważ może sprawdzać nietypowe metody szyfrowania.
Podoba mi się sposób, w jaki produkty Trend integrują się ze sobą. Wszystkie serwery Apex One są powiązane z centralą, która jest teraz zintegrowana z konsolą Vision One. Lokalne rozwiązania są również zintegrowane z platformą Azure.
Korzystamy z jednego pulpitu nawigacyjnego za pośrednictwem Apex Central, aby przeglądać wykrycia, poszukiwanie zagrożeń i dochodzenia. Widoczność w jednej konsoli jest ważna. Kiedy otwieramy pulpit nawigacyjny, informuje nas o tym, co znalazł. Obecnie patrzę na przykład na wersję SaaS. Po przejściu do ApexOne widzę wszystkich agentów, którzy są obecnie połączeni. Ładowanie wszystkich agentów zajmuje kilka chwil. W miesiącach letnich jesteśmy obecnie w trakcie przestoju. Jesteśmy zarządem szkoły, więc na miejscu jest mniej pracowników, a nie wszystkie szkoły są otwarte. Zatrudniamy 12 000 pracowników i 80 000 studentów. Jednak nie wszyscy uczniowie są teraz w Internecie tak samo jak w roku szkolnym. W przyszły piątek w biurze będzie więcej pracowników. Gdy szkoła rozpocznie się po długim wrześniowym weekendzie w Kanadzie, wszyscy będą znowu online. Obecnie na pulpicie znajduje się tylko 9140 agentów. W zeszłym tygodniu zaprezentowano 6400 agentów. Mam skonfigurowany system do usuwania nieaktywnych środków, aby system nie musiał stale skanować wielu systemów, które nawet tam nie są. Widziałem już do 17 000 punktów końcowych w naszym systemie.
Vision One monitoruje teraz moje zabezpieczenia obciążeń Cloud One i My Cloud Central. Oznacza to, że Vision One zbiera dane z obu systemów i zapewnia mi kompleksowy przegląd stanu bezpieczeństwa. Kiedy otworzę Vision One, będę w stanie zobaczyć wgląd w całą moją organizację. Skonfigurowałem Vision One do wysyłania danych do naszego serwera Syslog i odbierania danych z naszego serwera Qualys. Serwer Qualys skanuje moje serwery pod kątem luk w zabezpieczeniach i raportuje z powrotem do Vision One. Skonfigurowałem również bramę usługową i bramę centrum danych zabezpieczeń obciążeń. Brama centrum danych zabezpieczeń obciążeń przesyła dane z serwerów VMware ESX do Vision One. Dzięki temu Vision One może zobaczyć w czasie rzeczywistym status naszych maszyn wirtualnych, w tym które są zasilane, które obsługują Deep Security Agent, a które nadal działają na moim lokalnym serwerze Deep Security. Vision One zapewnia mi przegląd ryzyka, przegląd narażenia i przegląd ataku. Informacje te obejmują szczegółowe informacje na temat dostępu do danych uwierzytelniających, ruchu bocznego, wpływu na gromadzenie danych i podejrzanych reguł przekazywania wiadomości e-mail.
Nasz system Azure dla Office 365 i lokalny Azure Active Directory są również połączone z Vision One. Oznacza to, że Vision One może zobaczyć wszystkie loginy do naszego systemu Azure i lokalnego AD. W naszych lokalnych kontrolerach katalogów działają agenci, więc dane te są również przesyłane do Vision One. Vision One może również zobaczyć nasze kontrolery domen Azure i naszą DMZ. Otrzymuję wiadomości e-mail z powiadomieniem, gdy zdarzy się coś poważnego. Odkąd zaczęliśmy korzystać z Vision One, nie otrzymałem żadnych z tych wiadomości. Otrzymuję jednak wiadomości e-mail dotyczące punktów końcowych, w których poddano kwarantannę plików. Plik w punkcie końcowym był zbyt duży, aby przejść na kwarantannę głównego serwera, więc Vision One dał mi tylko mały komunikat o błędzie. Obecnie pulpit ochrony punktów końcowych pokazuje, że z 19 678 punktów końcowych agenci zostali rozmieszczeni w 13 675 punktach końcowych. Dotyczy to również komputerów Mac. Pulpit pokazuje jeden punkt końcowy systemu Linux, który jest moją bramą serwisową. Istnieje 882 punkty końcowe systemu Mac OS, czyli mniej niż zwykle liczba 1100, ponieważ nie wszystkie z nich są włączone. Istnieje 12 792 punktów końcowych Windows. Pulpit nawigacyjny pokazuje również, że 6003 punkty końcowe nie mają zabezpieczeń. Te punkty końcowe prawdopodobnie obejmują sprzęt sieciowy, niektóre serwery Linux, które nie korzystają z oprogramowania Trend Micro, oraz zastrzeżone systemy operacyjne używane przez nasz zespół sieciowy i inne grupy IT. Istnieją również punkty końcowe wymienione w naszym Active Directory, ale są one wyłączone lub nie mają żadnych aktywnych systemów. Aktualizacje są stosowane co godzinę. Jeśli exploit zostanie usunięty, a punkt końcowy nie zostanie zaktualizowany, zostanie on zaktualizowany w następnym cyklu. Najczęstszym powodem, dla którego punkt końcowy nie otrzymuje aktualizacji, jest problem z siecią lub wyłączany punkt końcowy. Gdy punkt końcowy przejdzie do trybu online, jest skonfigurowany tak, aby automatycznie pobierał aktualizacje zabezpieczeń z serwera lub bezpośrednio z serwera Trend Servers przez Internet, jeśli serwer jest niedostępny. Pierwszą rzeczą, jaką robi punkt końcowy w trybie online, jest aktualizacja poprawek zabezpieczeń, podpisów i modułów skanujących. Po wykryciu punkt końcowy najpierw usuwa plik i poddaje go kwarantannie. Następnie blokuje działanie tego, co plik próbował zrobić. Wirtualne poprawki, monitorowanie zachowań i predykcyjne uczenie maszynowe w punkcie końcowym powstrzymują wszelkie nietypowe działania. Może to nawet obejmować działanie, które ma się wydarzyć. Członkowie naszego działu teleinformatycznego skarżą się, że nie mogli zainstalować oprogramowania, ponieważ ochrona antywirusowa je blokowała. W niektórych przypadkach w naszej organizacji mamy grupy odpowiedzialne za utrzymanie własnych serwerów. W trakcie aktualizacji mogą nas zaplanować, abyśmy tymczasowo wyłączyli ochronę antywirusową, aby mogli ukończyć aktualizację. Nawet jeśli złośliwe oprogramowanie nie zostanie wykryte przez internetowy system oceny reputacji i pobrane przez użytkownika, może być nadal wykryte przez system wykrywania złośliwego oprogramowania oparty na sygnaturach. Jeśli nie zostanie wykryty przez żaden z tych systemów, może zostać zablokowany, jeśli spróbuje skontaktować się z urządzeniem nadrzędnym. Te adresy główne to często typowe adresy w Internecie, które są używane przez boty do komunikacji z serwerem obsługiwanym przez hakera. Jeśli bot nie może skontaktować się ze swoim urządzeniem nadrzędnym, nie będzie mógł funkcjonować. Jeśli zauważymy, że wiele botów jest blokowanych, zbadamy system, aby zobaczyć, co powoduje problem. W wielu przypadkach okazuje się, że jest to autentyczna czynność, która jest blokowana przez system. Na przykład możemy mieć niestandardowe skrypty działające na niektórych serwerach, które wyglądają podejrzanie w systemie. Możemy ręcznie wymienić te skrypty na białej liście, aby nie zostały zablokowane. Ogólnie system został zaprojektowany z myślą o nadmiernej ochronie. Lepiej jest zablokować coś, co jest uzasadnione, niż przepuścić złośliwe oprogramowanie. Zawsze możemy naprawić fałszywie pozytywne, ale znacznie trudniej jest naprawić naruszenie bezpieczeństwa.
Zaczęłam korzystać z Apex One w sierpniu 2020 r. Dowiedziałem się, jak przenosić agentów, instalować oprogramowanie i pobierać ich na serwer. Nauczyłem się również z dokumentacji, bazy wiedzy, forów i innych użytkowników. Okazało się, że Apex One jest trudniejszy do opanowania niż PaperCut, ponieważ terminologia i pojęcia są inne. PaperCut to drukowanie i monitorowanie, podczas gdy Apex One to cyberbezpieczeństwo. Istnieje również wiele uwag, które należy rozważyć w przypadku Apex One. Ustawienia skanowania były dla mnie szczególnie trudne. Trend Micro posiada przydatne dokumenty dotyczące najlepszych praktyk, których używałem, aby dowiedzieć się, jakie są normalne ustawienia serwerów i stacji roboczych. Na przykład serwery nie muszą być skanowane pod kątem exploitów dokumentów biurowych, ponieważ zazwyczaj nie mają zainstalowanego pakietu Office. Dowiedziałem się również, że ważne jest zachowanie równowagi między bezpieczeństwem a wydajnością. Nie chcemy skanować serwerów tak mocno, że spowalnia to ich działanie, ale nie chcemy również pomijać ważnych kontroli bezpieczeństwa. W styczniu 2021 r. zmieniliśmy politykę dotyczącą ustawień bezpieczeństwa. Teraz informujemy użytkowników, że jeśli wystąpią jakiekolwiek problemy, naprawimy je. Wolimy mieć mały problem, który możemy szybko naprawić, niż przywrócić serwer z kopii zapasowej, co może potrwać dni.
ApexOne zapewnia wirtualne poprawki, znane również jako ochrona przed lukami w zabezpieczeniach, aby chronić je przed lukami w zabezpieczeniach, zanim zostaną wykorzystane. Deep Security i Workload Security nazywają tę funkcję zapobieganiem włamaniom, ale to jest w zasadzie to samo.
CO JEST NAJBARDZIEJ WARTOŚCIOWE?
Funkcja Workload Security jest teraz dostępna pod nazwą Activity Monitor dla każdego punktu końcowego. Jest to bezpłatna wersja produktu Endpoint Basecamp, która jest automatycznie instalowana z każdym agentem Apex One. Nawet jeśli nie posiadamy licencji na obóz Endpoint Basecamp, nadal będzie instalowany. Na serwerach musiałem usunąć obóz Endpoint Basecamp, a następnie dezaktywować i ponownie aktywować agenta zabezpieczeń obciążenia, aby monitor aktywności działał prawidłowo. Cieszę się jednak, że możemy bezpłatnie monitorować nasze serwery, mimo że nie mamy ich do naszych stacji roboczych.
Kolumna wersji programu agenta na ekranie agenta — nigdy nie mogliśmy sortować. To bardzo przydatne, by już teraz móc to posortować. Możemy przejść do jednego końca skali, aby zobaczyć wersję najniższego agenta, a następnie przejść do drugiego, aby zobaczyć, ile z nich zostało zaktualizowanych do najnowszego agenta.
CO POTRZEBUJE POPRAWY?
Nowe podpisywanie kodu Azure firmy Microsoft powoduje wiele problemów z Apex One. Obecnie działamy w dwóch systemach: lokalnie i SaaS, a wielu agentów nie będzie uaktualniać oprogramowania poza wersją B11564, ponieważ te nowsze wersje wymagają zgodności z Azure Code Signing na punkcie końcowym. Jeśli nie jesteśmy na bieżąco z aktualizacjami systemu Windows, nie mamy takiej zgodności. Niezależnie od wersji systemu Windows, którą uruchamiamy, musimy zastosować poprawki na komputerach, jeśli system operacyjny nie jest uszkodzony, aby zapewnić zgodność z przepisami. Następnie możemy uaktualnić do najnowszej wersji odpowiedniego agenta. Ten proces dotyczy również rozwiązania Deep Security i Workload Security.
Mam dwa serwery produkcyjne: jeden dla Windows, a drugi dla Mac. Serwery te są dostępne zarówno w wersji lokalnej, jak i SaaS. Ponadto mam serwer testowy zlokalizowany lokalnie. Istotną różnicą w wersji SaaS jest brak serwera testowego, na którym mogę zainstalować nową wersję. Oznacza to, że nie mogę pozwolić agentom na aktualizację, a następnie przeprowadzenie testów. Natomiast w wersji produkcyjnej SaaS Apex One mam wielu agentów, którzy przechodzą i trafiają do sieci. Ważne jest, aby agenci zaktualizowali oprogramowanie do nowszej wersji. Wśród tych agentów jest pięć lub sześć różnych wersji, nie licząc tych naprawdę starych, które nie zostały jeszcze zaktualizowane z powodu niezgodności ACS. Nie mogę opuścić fazy testowania na dłuższy czas, ponieważ nadal mam przestarzałych agentów, którzy wymagają aktualizacji. Agenci ci nie mogą pozostać wiszący, gdy czekam na przetestowanie najnowszej wersji, która właśnie została wydana. Co kilka miesięcy w środowisku SaaS pojawiają się nowe wersje. Kiedy w przeszłości korzystałem wyłącznie z wersji lokalnej, przeglądałem biuletyny bezpieczeństwa wersji SaaS, aby zidentyfikować wszelkie problemy. Obawiam się o potencjalne przyszłe sytuacje z tym związane, głównie dlatego, że większość naszych agentów działa obecnie w wersji chmurowej. Jeśli problem zostanie wykryty, cofnięcie się po tych czynnikach byłoby wyzwaniem. Aby przywrócić je do innej wersji, konieczne byłoby dokładne wykonanie operacji.
Lokalna wersja Apex One posiada funkcję aktualizacji, która umożliwia ręczną aktualizację wielu serwerów. Na przykład, jeśli właśnie włączę politykę, mogę zmusić agentów do szybkiego pobrania polityki i rozpoczęcia procedury aktualizacji lub aktualizacji ustawień. Ta funkcja nie jest jednak dostępna w wersji SaaS. Wynika to z faktu, że system nie może komunikować się z agentem za pośrednictwem zapory. Wersja SaaS ma funkcję automatycznej aktualizacji i wpis źródła aktualizacji w podmenu agentów aktualizacji, ale nie ma możliwości wymuszenia aktualizacji agentów. Jest to problem, ponieważ nie możemy automatycznie zaktualizować agentów. Musimy ręcznie zalogować się do maszyn i wydać im polecenie aktualizacji. Obecnie nie mamy wyboru, ale musimy czekać, aż agenci sami znajdą aktualizacje.
Jestem przekonany, że Trend Micro Apex One jest w stanie chronić punkty końcowe przed zagrożeniami takimi jak złośliwe oprogramowanie, ransomware i złośliwe skrypty.
OD JAK DAWNA KORZYSTAM Z ROZWIĄZANIA?
Używam Trend Micro Apex One od trzech lat.
JAK WYGLĄDA OBSŁUGA KLIENTA I WSPARCIE?
Mam wersję korporacyjną, więc zazwyczaj mogę porozmawiać z kimś na Filipinach nawet po godzinach pracy. Robię to tylko wtedy, gdy nie mogę się doczekać następnego dnia. Jeśli to zaczekam, do tego czasu dam radę. Jeśli jednak coś się zepsuje i trzeba to natychmiast naprawić, skontaktuję się z zespołem z Filipin. Są tam dobrzy ludzie, a wsparcie jest naprawdę dobre. Myślę, że wsparcie Trend jest prawdopodobnie najlepsze ze wszystkich dostawców, z którymi pracuję.
Mam kilka otwartych zgłoszeń i jeden z nich dotyczy programistów. Wracają do mnie z pytaniami, które przekazali przedstawicielowi serwisu, z którym współpracuję. Deweloperzy chcą wiedzieć, dlaczego widzę coś, czego ich zdaniem nie powinienem widzieć. Generuję raport, który powinien pokazywać wszystkie punkty końcowe na naszym serwerze zabezpieczeń obciążenia, które nie mają włączonej funkcji samozabezpieczenia agentów. Jest to część raportu Vision One. Jednym z punktów końcowych, które identyfikuje raport, jest nasza brama usługowa. System działa w systemie Ubuntu Linux i ma zainstalowanego agenta Deep Security, ale funkcja samozabezpieczenia agenta nie jest domyślnie włączona. Istnieje sposób, aby to umożliwić, ale zazwyczaj nie jest to wykonywane dla systemów Linux. Ochrona przed nieautoryzowaną konfiguracją ustawień usług dla agentów Trend Deep Security. Oznacza to, że nie możemy zmienić ani zatrzymać usługi bez uprzedniego wyłączenia samozabezpieczenia agenta.
JAK OCENIASZ OBSŁUGĘ KLIENTA I WSPARCIE?
Pozytywne
JAKIE INNE RADY MAM?
Oceniłbym Trend Micro Apex One na dziesięć.
Moje obawy pojawiają się, gdy punkt końcowy nie ma Apex One, ponieważ nie monitorujemy go aktywnie. Choć posiadamy skaner, to właśnie dlatego zamierzam utrzymać funkcjonalność systemu lokalnego. Planuję odejść od głębokiego systemu zabezpieczeń i przenieść zespół aplikacji do wersji w chmurze, chociaż ten proces przejścia jest obecnie w toku. Muszę zachować lokalny Apex One głównie do celów skanowania oceny. Obejmuje to skanowanie wszystkich elementów wymienionych w naszym aktywnym katalogu wraz z podsieciami sieci VPN w celu identyfikacji niechronionych punktów końcowych. Podczas ostatniego skanowania zidentyfikowałem dziewięć takich punktów końcowych i zacząłem instalować na nich agenta. Czasami zdarzają się sytuacje, w których agent nie będzie instalował, ale żaden komunikat o błędzie nie wskazuje na problem z połączeniem lub istniejącą instalację. Niektóre z nich pokazują, że nie ma zainstalowanego agenta, nawet jeśli tak się dzieje, co może się zdarzyć, gdy punkt końcowy uruchomi się podczas skanowania oceny, a agent nie został jeszcze załadowany. Rozwiązanie tego problemu jest stosunkowo szybkie, chociaż zdarzają się przypadki, w których urządzenia niezgodne z systemem ACS wyzwolą komunikat informujący, że nie można załadować agenta. Urządzenia te są oznaczane i pracuję nad zapewnieniem zgodności z przepisami ACS, aby zapewnić odpowiednią ochronę agentów.
Na uwagę zasługuje fakt, że Apex One nie zaczęliśmy go szeroko wykorzystywać do trzeciego kwartału 2021 r., kiedy rozpoczęto skanowanie luk w zabezpieczeniach. Chociaż mieliśmy serwer Apex Central, nie stosowaliśmy na nim żadnych zasad. Aby umożliwić ochronę przed lukami w zabezpieczeniach, musieliśmy wdrożyć zasady ochrony punktów końcowych w Apex Central. Ochrona przed lukami w zabezpieczeniach obejmuje wirtualne poprawki, podczas których regularne skanowanie sprawdza podatność naszego systemu operacyjnego na znane exploity. Obejmuje to również monitorowanie aplikacji pod kątem luk w zabezpieczeniach i ochronę przed tymi lukami, dopóki nie będzie można ich naprawić. Proces ten jest w dużej mierze zautomatyzowany, ponieważ zasady zapobiegania zagrożeniom cybernetycznym są wprowadzane do czasu wprowadzenia poprawek do systemu, po czym są one automatycznie usuwane. Natomiast po stronie Deep Security muszę przeprowadzić ten proces ręcznie. Cotygodniowe automatyczne skanowanie odbywa się, a następnie wysyłany jest raport pocztą e-mail. Ten raport pomaga w identyfikacji brakujących zasad lub koniecznych korekt reguł na podstawie wyników skanowania. Musimy stale monitorować systemy, aby upewnić się, że są w porządku. Mam powiadomienia e-mail z Trend Micro Apex One i Central Systems. Mam w skrzynce odbiorczej foldery do ochrony obciążeń, głębokiego bezpieczeństwa i Trend Micro. Sprawdzam te foldery, nawet gdy nie jestem online, aby upewnić się, że nie ma żadnych poważnych alarmów. W pewnym sensie daje mi to spokój ducha. Dopóki agenci działają prawidłowo i jest wystarczająco dużo pamięci i miejsca na dysku, wszystko jest w porządku. Nadal jednak muszę ręcznie sprawdzić dziennik zdarzeń systemu Apex One, aby sprawdzić, czy w którymkolwiek z punktów końcowych Apex One brakuje pamięci lub miejsca na dysku. Korzystamy również z SCCM. Skrypt ujęty w harmonogramie pozwala mi utworzyć raport ze wszystkich punktów końcowych z mniej niż 1 gigabajtem miejsca na dysku. Umieściłem ten raport w folderze dostępnym dla wszystkich naszych techników i liderów zespołów. W ten sposób mogą okresowo sprawdzać raport, aby sprawdzić, czy jakieś punkty końcowe muszą zostać ponownie odtworzone lub czy z dysku nie zostały usunięte jakieś śmieci.
KTÓREGO MODELU WDROŻENIA UŻYWASZ DO TEGO ROZWIĄZANIA?
Hybrid Cloud
W PRZYPADKU CHMURY PUBLICZNEJ, PRYWATNEJ LUB HYBRYDOWEJ, Z KTÓREJ CHMURY KORZYSTASZ?
Microsoft Azure
Dołącz do 500 tys. klientów na całym świecie
Zacznij korzystać z rozwiązań Trend już dziś