Typickým jevem dnešní doby je roztříštěná IT bezpečnostní architektura bez jednotné komunikace bezpečnostních systémů o hrozbách v reálném čase, která usnadňuje útočníkům kompromitaci infrastruktury a administrátorům znemožňuje rychlou reakci.
Jak lze v praxi propojit systémy i od různých dodavatelů, tak aby fungovaly téměř autonomně a zrychlily reakci administrátorů na neznámé hrozby? Jak sjednotit správu cloud a on-premise řešení? Správnou odpověď na tyto otázky Vám popíše v níže uvedeném rozhovoru hlavní architekt celého řešení Jan Skořepa z O2 ITS na základě úspěšně realizovaného projektu evropského významu pro 6.000 uživatelů.
Cíle projektu:
- Jednotná správa a politika pro on-premise i cloud,
- Jednotný systém pro důkladnou investigaci a automatizované reakce,
- Reakce na hrozby v reálném čase + pokročilá analýza,
- Otevřený systém s možností dalšího rozvoje podle typu nových hrozeb
Výchozí situace
Dokázal byste vypíchnout 3 problémy nebo potřeby, které Vás přiměly vůbec zajímat se o řešení McAfee?
Pro nás zájem o McAfee nebyla nová věc. Produkty McAfee používáme již několik let a jsme s nimi spokojeni. Problémem bylo v tu dobu použití již trochu starší technologie, respektive absence některých prvků. My jsme si již nějakou dobu byli dobře vědomi, že to, co máme nasazeno pro ochranu koncových zařízení, není dostatečné. Hledali jsme způsob, jak zabezpečení koncových zařízení posunout dál. Tím se dostáváme k prvnímu problému – nepřipravenosti řešit neznámé hrozby, které jsou dnes již běžné. Tohle řešení nám to dnes umožňuje. Druhý problém, který jsme museli řešit, jsou lidské zdroje. Analýza hrozeb, vyhodnocování reportů, reakce na ně nebyly automatizované. Stála za tím spousta manuální práce, která nás nutila dělat nežádoucí kompromisy. Tohle řešení nám přináší automatizaci značného množství procesů. Další problém, který se objevil vloni, byl Covid. Dochází k razantní změně pracovního prostředí, zaměstnanci se přesouvají na Home Office a my potřebujeme zajistit bezpečnost koncových zařízení, ať jsou kdekoliv – v kanceláři na stole, doma připojené pomocí VPN nebo na chatě pouze na domácí WIFI.
Proč jsme nakonec jako dodavatele tohoto řešení vybrali McAfee? My jsme testovali a zvažovali i jiné technologie. Nicméně společnost McAfee nás sama oslovila, proběhla prezentace jejich řešení v Praze a následovala pozvánka do jejich centra v Amsterdamu, kde s námi detailně probrali naši situaci a potřeby. Představili nám řešení, které nejen řešilo naše problémy, ale nabídlo nám další funkcionalitu. V tu chvíli si získali naši pozornost. Nástup Covidu vše pouze urychlil.
Co bylo finálním zlomem, že jste si řekli „jdeme do toho“?
Komplexnost celého řešení zahrnující i funkcionalitu v oblastech, které byly nad rámec původního záměru. Během vyjednávání nám McAfee navíc udělalo opravdu velice přívětivou nabídku.
Jaká byla Vaše očekávání z realizovaného projektu?
Zvýšit úroveň zabezpečení koncových zařízení. Automatizovat analýzu hrozeb a reakci na ně.
Které priority byly pro Vás při rozhodování o realizaci projektu zásadní?
Realizace v termínu a realizace on-site. Tzn. že technici McAfee Professional Services budou provádět konfiguraci s námi na místě.
Měli jste na řešení nějaké specifické požadavky?
Demonstraci celého řešení. Cílem bylo na konci konfiguračních prací provést demonstraci celého řešení, která byla zároveň ověřením celkové funkcionality. Tato demonstrace byla akceptačním kritériem celého projektu.
Podle čeho a proč jste vybrali jako dodavatele služeb společnost COMGUARD?
Pro nás byla důležitá realizace on-site a díky složité Covid situaci nebylo možné využít původně plánovanou spolupráci s výrobcem McAfee. Věděli jsme, že COMGUARD je distributor s přidanou hodnotou a má k dispozici certifikované specialisty na stejné úrovni jako výrobce. Hlavní nicméně bylo, že jsme spolu již spolupracovali a dokázali jsme se domluvit, s čím potřebujeme pomoci a hrubě si načrtnout projektový plán. COMGUARD navzdory šibeničnímu termínu a komplikované technologii dokázal garantovat termín splnění projektu. Garance splnění termínu byla pro nás zásadní.
Zvažovali jste i jiná alternativní řešení?
Ano, některá jsme i testovali, ale alternativním řešením chyběla komplexita stávajícího řešení.
.jpg)
Průběh implementace řešení
Jaké procesy, systémy a technologie zavedení řešení ovlivnilo?
Nedošlo k ovlivnění stávajících procesů nebo systémů. Celé řešení jsme designovali tak, aby negativně neovlivnilo stávající prostředí. Cílem bylo zvýšit úroveň zabezpečení, ne cokoliv měnit nebo upravovat stávající procesy.
Vyrovnávali jste se při zavádění řešení s nějakým speciálním problémem/situací?
Ano, ve své podstatě pomalu obden. Celé řešení je značně rozsáhlé a nové. Je třeba si uvědomit, že celé řešení je značně komplexní a nové, jeho realizace není v našem regionu běžná. Náročná byla konfigurace jednotlivých HW a SW prvků a nastavení výměny informací mezi nimi. Obrazně řečeno, navzdory výtečné pomoci McAfee Professional Services jsme si museli se specialisty ze společnosti COMGUARD občas obrazně vyhrnout rukávy a s maximálním úsilím tak dosáhnout úspěšného konce.
Co Vám subjektivně používání řešení přineslo?
Zvýšení ochrany koncových zařízení a zjednodušení práce lidem, kteří se o řešení starají. Za vynaložené náklady jsme získali řešení s obrovským přínosem a benefity pro náš IT bezpečnostní tým a tedy i pro celou naši společnost.
Výsledky a reálný přínos
Splňuje řešení očekávání, která jste měli na začátku? Rozhodně. Jsou některé možnosti, které nám stále chybí. O nich s McAfee dále diskutujeme a je skvělé, že nám McAfee vyšlo vstříc a jejich realizace je již zaplánována ve vývojové roadmapě McAfee.
Je nějaká věc, která Vás při zavedení řešení překvapila?
Snad jen to, jak je celé prostředí „živé“. Již během implementace přibývaly nové funkce a tento trend dále pokračuje. Rád bych zmínil McAfee Data Exchange Layer (DXL), komunikační kanál vytvořený pro předávání informací mezi bezpečnostními produkty umožňuje onu zmíněnou komplexnost řešení. DXL umožňuje okamžitou výměnu informací mezi různými technologiemi a prakticky libovolného množství koncových zařízení, a to v reálném čase. Jedná se o otevřenou platformu, která umožňuje zapojení jakéhokoliv výrobce a produktu.
Jak se změnila Vaše firma po implementaci řešení? Dá se nějak rozlišit období před a po?
Poté, co jsme řešení naimplementovali a přivedli do provozu, jsme díky novému řešení zpozorovali mírný nárůst threat eventů. Navýšení nebylo nikterak skokové, což dokládá fakt, že i původní řešení bylo již na vysoké úrovni. Nasazení nás však v zabezpečení koncových zařízení posunulo zase o trochu dál. Výrazným způsobem se také posunuli možnosti threat hunting a schopnost reakce na nalezené hrozby.
Dají se přínosy řešení konkrétně vyčíslit?
Vyčíslování bezpečnostních řešení je vždy komplikovaná záležitost. Zde bych si dovolil uvést příklad z našeho regionu – útok na nemocnici v Benešově. Pokud by se někomu podařilo zrealizovat podobný útok na naši společnost, dokázal by nám způsobit výpadek, utrpělo by tím dobré jméno naší společnosti a nedokázali bychom poskytovat služby naším zákazníkům. Škoda by se mohla vyšplhat až do stovek milionů.
Závěr a vize
Jaké máte s řešením další plány? Vidíte oblasti, ve kterých se chcete dál rozvíjet?
Produkt McAfee EDR se rozšiřuje do McAfee XDR, což reprezentuje vazbu na další McAfee produkty. To je rozhodně cesta, kterou chceme jít. Mimo to, máme v plánu ještě hlouběji automatizovat stávající řešení, a to konzultujeme přímo s McAfee.
Co byste doporučili ostatním v oboru, pokud ji také zvažují, ale ještě jsou nerozhodní?
Nečekat. Pracovní prostředí se mění a nikdo dnes není schopen říci, zda a kdy stávající situace pomine. A pokud pomine, zda se uživatelé vrátí do kanceláří za pracovní stůl. Koncové zařízení je nejzranitelnější bod infrastruktury a první cíl, na který se útočník zaměří. Doporučuji ho mít řádně provozované a monitorované bez ohledu na to, kde se s ním uživatel nachází a tím mu umožnit efektivně reagovat na případný útok a tuto informaci zároveň okamžitě předávat ostatním systémům infrastruktury.
