Société de soins de santé
Trend Vision One donne un sens aux données et aide à contrôler rapidement les attaques
Jasneet Singh
Ingénieur en sécurité cloud dans une entreprise de soins de santé comptant entre 5 001 et 10 000 employés
QUEL EST NOTRE PRINCIPAL CAS D'UTILISATION ?
Nous utilisions Symantec auparavant, et avec l'arrivée des EDR sur le marché, nous recherchions une solution. Nous voulions un système de défense afin que, en cas d'attaque sur le système, comme un endpoint, soit infecté ou que l'attaquant ou une technique connue pour les ransomware se déplace latéralement, je n'ai pas besoin d'aller voir l'équipe de pare-feu. Je n'ai pas besoin de consulter d'autres équipes pour le savoir. Je devrais avoir suffisamment d'informations à ce stade pour les contenir si possible.
Trend Vision One a réduit notre temps moyen de réponse aux menaces de 70 % à 80 %.
COMMENT CELA A-T-IL AIDÉ MON ORGANISATION ?
Nous recherchions un système avec une seule vitre. Le parcours a commencé par déployer le client EDR sur les serveurs, qui s'appelle Trend Microð Deep Security, et Trend Micro Apex Oneð sur les endpoints, tels que les ordinateurs de bureau et portables. Nous les avons ensuite connectés à un seul volet, qui s'appelait XDR, désormais connu sous le nom de Trend Vision One. Cela nous a aidés à chasser et réparer correctement. Nous pouvions voir la communication entre les endpoints et les serveurs et tout ce à quoi ils parlaient. Nous pourrions ensuite l'étendre et la connecter à tous les systèmes via des API. C’était l’exigence initiale que nous avions, et elle fonctionnait très bien dans ce sens.
Lorsque vous achetez des solutions SIEM étendues ou coûteuses, telles que Splunk ou autre, il se passe que vous ayez besoin d'analyses. Vous pouvez écrire des requêtes pertinentes pour interroger les données. En fin de compte, toutes les données entrantes doivent être corrélées. Trend Vision One offre une visibilité dans ce sens.
Nous l’avons connecté au cloud, afin de pouvoir voir la télémétrie d’Azure et du cloud. Nous avons ensuite installé la réponse de détection réseau. Il peut voir et détecter un petit mouvement de la couche réseau. Nous l'avons ensuite connecté à Active Directory, nous pourrions donc avoir une attribution en cours. Nous avons actuellement beaucoup de données à venir. Avec une petite équipe, le problème qui se pose est de savoir comment gérer autant d’informations et comment hiérarchiser. Cela facilite la hiérarchisation. Le système est suffisamment intelligent pour analyser de manière proactive les journaux et déclencher des alertes de flux de travail. Il les hiérarchise en fonction de la criticité, telle que élevée, moyenne, faible ou informationnelle. Lorsque vous avez une petite équipe, vos analystes peuvent commencer à les examiner et voir ce qui se passe et ce qu’ils doivent hiérarchiser à un stade.
Nous avons été très proches d'un acteur de menace russe et Trend Vision One a énormément aidé. Cela nous a aidés à contrôler l'attaque dans les premières étapes. Ils sont entrés dans l'environnement et ont obtenu la coque inversée. J'ai vu l'alerte. Trend Vision One Protection m'a montré en détail ce qu'ils ont exécuté, ce qu'ils ont demandé, quelles informations ont été capturées et où les connexions allaient. C'était un courtier d'accès initial qui avait fait l'attaque. Si ces informations n'ont pas été recueillies à la fin du vendredi après-midi, vous pouvez imaginer ce qui aurait pu se passer d'ici lundi. En quelques heures, ces informations auraient été transmises au dark net et auraient été vendues à un gang de ransomware. Le délai moyen de réponse a été considérablement réduit. Il est très rare que la plupart des organisations détectent ces attaques dans leur propre environnement au cours des quatre premières heures. Cela a réduit le temps moyen de réponse de 70 % à 80 %.
Ses capacités de surveillance en temps réel aident beaucoup dans notre posture de sécurité globale. Nous avons tout configuré sur notre système de messagerie SOC central, donc dès qu'une alerte est déclenchée et selon sa criticité, nous pouvons y travailler. Lorsque vous travaillez dans le secteur de la santé, vous travaillez souvent avec des fournisseurs qui ne sont toujours pas très conscients de la cybersécurité. Ils apprennent toujours. L'un d'entre eux a branché une clé USB, et nous avons trouvé un indicateur précoce de compromission. L'appareil a été connecté à l'un des systèmes techniques. Il a non seulement détecté et bloqué cela, mais nous avons également reçu l'alerte pointant vers la machine. S'il n'avait pas été détecté et récupéré à ce stade en quelques minutes, il aurait pu avoir un impact assez important.
La beauté est que je n'ai pas besoin d'aller me connecter à la console séparée d'Apex One ou de Deep Security. J'ai obtenu toute la visibilité et la télémétrie nécessaires en temps réel dans la console Trend Vision One. La console Trend Vision One vous alerte immédiatement. Il fait simplement clignoter une alerte critique. Il bloque, mais fournit ensuite des recommandations d’atténuation. Nous devons retirer la machine du réseau, scanner la clé USB, former l’utilisateur et faire remonter les informations aux bonnes personnes. Il est très crucial de disposer de toutes ces informations. Nous pouvons également influencer le comportement des utilisateurs afin qu’ils ne le fassent plus.
Nous l’utilisons sur les endpoints. Nous l'utilisons sur nos serveurs. Nous avons une réponse de détection réseau, appelée NDR. Nous surveillons tout le trafic interne provenant des pare-feu. Nous avons Citrix NetScaler, nous surveillons donc également le côté réseau. Nous avons également un autre produit appelé Conformity qui effectue une évaluation du cloud et une vérification de la conformité pour tous les actifs cloud exposés en externe. Il vous indique s'ils ne sont pas en conformité. Par exemple, avec le projet qui est entré en jeu, quelque chose peut être exposé accidentellement, comme un compte de stockage Azure, à Internet. Tout cela alimente Trend Vision One, et nous avons un seul volet.
Il est utile pour plusieurs équipes. Il ne se limite pas au SOC. Nous avons des équipes du côté cloud et parfois du côté endpoint et du côté serveur qui peuvent entrer, et elles peuvent voir les alertes. Cela facilite le travail, car nous voyons tous la même chose avec plus d’informations. Nous l'utilisons donc pour nos serveurs et notre réseau d'endpoint. Nous l’utilisons pour surveiller notre cloud Azure. Nous avons également des licences appelées Trend Micro elles-mêmes Cloud App Security dans le cadre de nos licences. Nous avons des politiques qui effectuent une surveillance avancée de la protection contre les menaces et une surveillance DLP sur les canaux SaaS, tels qu’Exchange Online, Teams, OneDrive et les sites SharePoint. Il s’agit d’autres canaux à partir desquels les données peuvent être partagées, les données peuvent entrer dans notre environnement ou les données peuvent sortir de notre environnement. Il dispose de politiques pour surveiller la DLP. Il dispose de politiques pour surveiller les fichiers malveillants ou les indicateurs d'une attaque ATP. Nous recevons également ces alertes.
Il existe deux tableaux de bord. Les tableaux de bord exécutifs donnent une vue d'ensemble de l'ensemble du système et de ce qui se passe sur notre système à tout moment. Nous pouvons voir le nombre de vulnérabilités en suspens que nous avons, ce que nous devons signaler à la direction et comment nous allons progresser pour ce genre de choses. Nous disposons ensuite du tableau de bord opérationnel avec des alertes en temps réel ou en attente. Cela nous montre que nous avons un compte qui correspond à un lac de données .Net. Un problème, par exemple, est que la plupart des utilisateurs conservent le même mot de passe, de sorte que vous pourriez avoir le même mot de passe de compte pour votre compte professionnel et pour votre compte personnel. Ils peuvent également être compromis à la maison et au travail. Nous utilisons donc les tableaux de bord exécutifs pour établir des rapports et comprendre ce qui se passe dans l’environnement et ce que nous devons signaler et hiérarchiser. Le tableau de bord opérationnel est destiné au travail quotidien.
Il est très important que nous soyons en mesure d'explorer les détections XDR à partir des Tableaux de bord exécutifs. Nous sommes dans le secteur de la santé. Nous sommes un hôpital. Le conseil ne s'inquiète pas seulement des ransomware, car cela peut arriver à n'importe qui. Vous ne pouvez jamais être suffisamment en sécurité. Ils sont également préoccupés par les dommages à notre réputation et le coût opérationnel de la récupération. Ils sont donc très désireux d’avoir de la visibilité. Les tableaux de bord exécutifs nous fournissent suffisamment d'informations pour filtrer cela. Par exemple, notre équipe d'assistance bureau a un nombre limité de personnes. Pour la cybersécurité, nous voulons hiérarchiser les correctifs pour une menace zero-day, mais parfois, cela ne peut pas se produire, car les équipes ont d’autres priorités. Le problème n’est pas qu’ils ne veulent pas aider, mais qu’ils n’ont pas de ressources. Grâce aux tableaux de bord exécutifs et aux rapports, nous pouvons faire remonter les informations au conseil d'administration en disant que nous avons besoin d'attention. Nous pouvons leur demander de nous financer avec plus de ressources pour faire passer cela. Il nous aide à dicter l’impact et à hiérarchiser une vulnérabilité critique en matière de cybersécurité afin que nous puissions obtenir l’adhésion de la direction pour la hiérarchiser et la traiter avant qu’elle ne devienne incontrôlable.
Nous utilisons la fonction Indice de risque pour établir une correspondance avec d’autres organisations dans la même région géographique afin de voir comment nous nous portons en termes de risques par rapport à d’autres organisations. Sommes-nous meilleurs ou pires que les autres ? Si nous avons certains domaines dans lesquels nous sommes pires que d’autres, ils nous aident à comprendre la raison et la manière de nous améliorer.
Si nous voulons traverser chaque événement, avec notre licence actuelle, XDR peut contenir jusqu'à six mois de données, ce qui peut être des millions ou des milliers d'alertes. Une chose intelligente qu'ils ont faite est de fournir Workbench, qui hiérarchise automatiquement. Il fait le travail acharné pour vous en tirant ces informations et en disant qu’il s’agit de celles très critiques que vous devez traiter dès que possible. Je n'ignore pas le fait que parfois, les attaquants ne recherchent même pas des attaquants très critiques. Ils vont vers un moyen, mais cela nous aide à les éviter. Notre équipe est petite, et j’ai eu une bonne expérience dans la formation de quelques personnes, en les guidant et en leur montrant comment le faire. Une fois que les gens commencent à travailler, ils comprennent le flux de travail. Cela devient une deuxième habitude. Il est très intuitif. Vous pouvez accéder à la console, ajouter de nouveaux indicateurs de compromission, ajouter de nouvelles requêtes de chasse aux menaces, ajouter de nouveaux flux CTI et rechercher de nouvelles vulnérabilités. Il y a tellement de choses que vous pouvez en tirer. Il vous suffit de hiérarchiser ce qui vous semble important pour cette journée.
Nous utilisons Managed XDR comme deuxième service. La manière dont cela s'avère pratique est que nous avons des personnes de garde. Je continue à consulter mes e-mails, mais si nous avons une alerte critique indiquant que personne n’a assisté de notre côté, ils le trient. Ils le trient très bien, puis l'évaluent. Par exemple, ils peuvent dire : « Cela semble être bénin ou négatif, mais une alerte est arrivée, et personne n’était disponible. Si vous souhaitez ajouter une couche supplémentaire de sécurité ou de prudence, voici l'atténuation. » Ils sont très réactifs. J’ai pu voir la grande attaque que nous avions il y a deux ans dans les quatre premières heures, et au moment où elle est arrivée au XDR, tout était corrélé. En une demi-heure, leur équipe d'intervention est parvenue à la même conclusion. Ils nous ont contactés lorsque j’étais sur le point de les contacter, nous étions donc sur la même longueur d’onde. Il s'agit sans aucun doute d'une bonne sauvegarde ou d'une deuxième solution pour nous. De plus, certaines alertes peuvent provenir de flux de travail. Ils peuvent sembler malveillants, mais ce n’est pas le cas. Les employés du service Managed XDR reviennent vers nous juste pour reconfirmer cela. Nous leur disons qu'il s'agit d'un fichier connu. Ils n'ont pas à s'en préoccuper. Parfois, nous pouvons manquer quelque chose ou ne pas avoir de idée de l’étape suivante. Ils proposent ensuite une recommandation sur ce que nous devons faire. C'est un très bon service.
Nous utilisons Attack Surface Discovery pour surveiller les appareils que nous avons et les actifs, comptes et applications orientés Internet. L’API est encore une question que nous recherchons, mais en quelques clics, nous obtenons un aperçu. Nous pouvons voir combien de correctifs sont appliqués et combien sont exposés à des actifs externes ou orientés Internet. Nous avons beaucoup de sous-domaines liés au site principal de l’hôpital pour différents projets et flux de travail. Nous pouvons voir comment ils se portent, quels ports sont ouverts et quelles vulnérabilités connues sont présentes, car nous ne gérons pas certaines d’entre elles. Ils sont gérés par des fournisseurs hébergés en externe, afin que nous puissions les contrôler. Il en va de même pour nos comptes. Si nous avons des comptes qui sont sur le dark net, ou si nous avons des comptes avec des privilèges excessifs qui peuvent potentiellement être exploités, nous pouvons y remédier.
Pour les applications, la fonctionnalité que j’aime le plus est appelée Cloud App List. Il examine toutes les applications SaaS et les compare. Il les profile en fonction du reste et nous fournit un rapport. Cela nous indique que certaines applications que les gens utilisent peuvent ne pas être officiellement sanctionnées par nous. Pour une application non approuvée, ils effectuent un profilage des risques via Trend Vision One, qui nous montre quelle norme de conformité de sécurité a été adoptée par le fournisseur. Ils nous permettent de comprendre rapidement à quel point il est mauvais ou bon de continuer à utiliser une application.
Pendant la pandémie de COVID, j'ai configuré Trend Vision One et j'ai reçu une alerte informative. Le mari d'une infirmière lui a donné une clé USB et elle l'a branchée. Elle se trouvait dans un environnement hors site, mais le client Trend fonctionnait toujours. Les clients étaient connectés à la console SaaS ou à Internet, de sorte que toute la télémétrie était toujours alimentée. Ils auraient dû penser que ce n’était pas le cas, mais des détections étaient toujours en cours. Lorsqu'elle l'a branchée, elle a téléchargé un cadre d'exploitation Power Shell, qu'ils ont pu mapper à un groupe ATP de Chine qui utilise généralement cette technique pour l'exfiltration de propriété intellectuelle. J'aime beaucoup la visibilité qu'il offre. Pour quelques applications ici, une alerte arrive parfois, et elle peut même explorer jusqu’à la dernière commande qui a été exécutée. Il peut créer un graphique d'attaque et vous montrer le profil d'exécution complet. Il vous aide à dépanner et à filtrer si quelque chose est un faux positif ou un problème en cours. Cette interconnectivité totale de différents systèmes dans Trend Vision One, et sa capacité à aider à individualiser une attaque, est ce que j'aime le plus. C'est très bien, car la lecture des journaux et la visualisation d'une attaque sont deux perspectives différentes pour un chasseur de menaces. Cela vous aide vraiment à comprendre ce qui se passe.
Avec toutes ces technologies dans un environnement d'entreprise, ainsi qu'avec la plupart des systèmes de production, la réduction du temps que nous passons à enquêter sur les alertes de faux positifs dépend de la vitesse à laquelle vous affinez le système. Vous devez lui indiquer quelles sont les exceptions et ne pas vous en alerter, et lesquelles doivent vous alerter. Il s'agit d'un acte d'équilibre dans la cybersécurité. Par exemple, les connexions sont utilisées par les attaquants, mais également par votre personnel administratif. Si vous les mettez totalement en exemption, vous pouvez avoir une connexion malveillante s'exécutant dans votre environnement. Vous y resteriez complètement aveugle, car rien ne serait alerté. En termes de faux positifs, le système capture beaucoup de données, et ce n’est pas la faute du système, car il voit beaucoup de données. Parfois, nous n’avons pas classé les données. Nous nous améliorons. Nous étiquetons et étiquetons les systèmes. Nous l’affinons, et cela a beaucoup diminué, mais nous avons encore beaucoup de travail à faire. C'est possible, mais c'est quelque chose que nous faisons en coulisses. En termes de recherche et de visibilité des menaces au quotidien, il les catégorise dans Workbench, et c'est ce que nous examinons en premier lieu le matin. Nous apprenons à savoir ce qui se passe et sur quoi nous devons nous concentrer. Une fois que nous avons vu qu'il y a un schéma qui se répète pour certains faux positifs et que les alertes Workbench sont élevées et ne sont pas vraiment positives, nous voyons ensuite comment mettre ces systèmes sur liste blanche. Nous savons maintenant qu'il s'agit d'un processus d'exécution connu. Nous savons qu'il s'agit d'un trafic connu ou d'un fournisseur connu qui exécute cette application, et lorsqu'elle s'ouvre, elle se connecte à ces ports, par exemple. C'est un peu un acte d'équilibre. Elle change de manière dynamique.
QU’EST-CE QUI EST LE PLUS VALABLE ?
Pour nos cas d’utilisation quotidiens, la corrélation et l’attribution de différentes alertes sont précieuses. Il s'agit en quelque sorte d'un SIEM, mais il est suffisamment intelligent pour exécuter les requêtes et détecter et hiérarchiser intentionnellement les attaques pour vous. En fin de compte, ce sont des données différentes que vous voyez. Il met en corrélation les données pour vous et les rend significatives. Vous pouvez voir que quelqu’un a reçu un e-mail et cliqué sur un lien. Ce lien a téléchargé, par exemple, un malware dans la mémoire de la machine. À partir de là, vous pouvez voir qu’ils ont commencé à se déplacer latéralement vers votre environnement. Je l'aime beaucoup, car il donne de la visibilité, c'est pourquoi Workbench est ce que nous utilisons chaque jour.
Ils ont également quelque chose appelé patching virtuel. Si vous avez des systèmes en fin de vie ou qui ne sont pas pris en charge, vous ne pouvez pas mettre à niveau l'agent, mais vous pouvez toujours effectuer la mise à jour si vous obtenez la signature. C'est la fonction que j'aime. Par exemple, aujourd'hui, si une nouvelle menace zero-day est éliminée avec une vulnérabilité de lien où les attaquants vous envoient un lien, et que ce lien, même s'il est ouvert en mode aperçu, peut essentiellement exécuter un code malveillant, nous ne pouvons tout simplement pas corriger dans les quatre ou cinq heures. Nous sommes une organisation de taille moyenne. Nous sommes assez grands, et parfois, cela prend deux jours, voire une semaine. Les correctifs virtuels étant présents et XDR avec toutes ces informations connectées, nous pouvons voir que le patch virtuel fonctionne. C’est là. Nous avons toutes les mesures d'atténuation en place, mais il détecte également l'environnement pour cette menace. Nous pouvons écrire davantage les requêtes de chasse et améliorer les détections. Les détections Workbench et les correctifs virtuels sont donc très utiles.
Il nous fournit également un tableau de bord exécutif où nous surveillons nos sites externes. Nous pouvons voir quels ports sont ouverts et quelles vulnérabilités connues sont analysées dessus. Nous obtenons une visibilité et un meilleur temps moyen pour réagir et agir.
L'interface utilisateur est assez facile à utiliser. Parfois, vous l'apprendez pendant que vous jouez avec et que vous l'installez. Une chose que j'aime, ce qui est très bien, c'est que vous pouvez passer de la console à différentes sections si vous savez comment y parvenir, mais si vous ne l'avez pas utilisée, cela peut prendre un peu d'apprentissage. Une bonne chose que Trend Micro fait depuis deux ans est d'organiser une sorte de CDF, qui sont des scénarios basés sur des acteurs de menaces réels. Ils vous amènent à venir à ces événements. Il est gamifié pour qu'ils puissent attirer les gens. Si vous souhaitez apprendre, ils afficheraient l'ID d'événement qui est entré et où aller pour voir cet ID d'événement. Ils vous montrent comment chasser en fonction de cet événement et comment extraire les indicateurs de compromission de cet ID. Il existe une fonctionnalité appelée Objet suspect. Ils vous montrent comment en bloquer un. Si vous avez un objet suspect lié à un flux d'informations sur les menaces qui va à Palo Alto, vous pouvez non seulement le bloquer dans XDR ou Trend Vision One, mais aussi le pousser directement vers votre pare-feu, ce qui signifie que votre pare-feu le bloque également maintenant. Il existe des fonctionnalités intéressantes, mais vous devez passer du temps à comprendre comment vous basculeriez entre différentes sous-sections. Si quelqu'un est nouveau et commence, c'est tout de même assez simple. L'interface UI est très explicite. Il y a beaucoup de détails. Il y a beaucoup de télémétrie que vous pouvez voir et comprendre. Ce n'est pas si compliqué. Si vous avez un peu d’expérience en cybersécurité, vous devriez être en mesure de le faire assez directement.
Ils la mettent constamment à jour, ce qui est une bonne chose mais pas si bonne. Il y a une mise à jour toutes les quelques semaines. Ce sont de très bonnes mises à jour. J'aime beaucoup le fait qu'ils aient un développement aussi agile. Ils écoutent les commentaires de leurs clients et investissent constamment dans le produit. Ils ne vous fournissent pas de produit prêt à l'emploi. Le monde évolue et les attaques évolue. Il est tenu à jour.
Nous utilisons la fonction Indice de risque pour établir une correspondance avec d’autres organisations dans la même région géographique afin de voir comment nous nous portons en termes de risques par rapport à d’autres organisations. Sommes-nous meilleurs ou pires que les autres ? Si nous avons certains domaines dans lesquels nous sommes pires que d’autres, ils nous aident à comprendre la raison et la manière de nous améliorer.
QU’EST-CE QUI DOIT ÊTRE AMÉLIORÉ ?
Les rapports pourraient être un peu meilleurs. Ils y travaillent et cela s'améliore. Ils ont différentes équipes de développement qui travaillent sur ce produit. Comme toute organisation plus grande, ils ont tellement de personnes qui travaillent et réparent le produit, et ils ont leurs propres routines et cycles de développement, ainsi que leur compréhension du code. Cela s'est beaucoup amélioré, mais il reste beaucoup à faire. Récemment, il y a eu quelques autres rapports. Ce que j’aime, c’est qu’ils écoutent les commentaires. Si nous leur disons que nous avons besoin de ce reporting, ils reviennent en arrière et font quelque chose à ce sujet. Il ne se perd pas dans les emails ou les réunions.
DEPUIS COMBIEN DE TEMPS AI-JE UTILISÉ LA SOLUTION ?
Nous utilisons Trend Vision One depuis près de trois ans.
QUE PENSES-JE DE LA STABILITÉ DE LA SOLUTION ?
Je n’ai pas vu de temps d’arrêt en tant que tel. Je n'ai pas vu la console tomber en panne, pas même une fois tous les trois ans.
Il est placé dans une défense ferme. Il s'agit désormais d'un système très interconnecté. Je passe la plupart de mon temps à affiner et à travailler dans Trend Vision One. Elle a été stable à 100 % pour moi la plupart du temps. Je n'ai eu aucun problème. Il est très stable. Je l'évaluerais à dix sur dix pour la stabilité.
QUE PENSES-JE DE L'ÉVOLUTIVITÉ DE LA SOLUTION ?
Nous sommes basés dans le sud-ouest des États-Unis. C'est un site assez important. Après la COVID, nous avons des lieux de travail à distance. Il fait partie de notre environnement opérationnel standard. Le client doit être installé sur tout nouveau serveur ou ordinateur de bureau ou portable, mais nous sommes également multisites. Nous avons des sites dans le centre du Queensland et dans le nord du Queensland. Ces sites sont également arrivés. Il s'agit d'une solution de bout en bout. Il est utilisé sur les trois sites.
Trend Vision One est actuellement utilisé par plusieurs équipes. Il y a 15 à 20 personnes en ce moment. Nous avons l’équipe Réseau et sécurité, puis nous avons l’équipe cyber principale. Nous avons des personnes qui s'occupent de Trend Micro Apex One et des postes de travail, et nous avons également des personnes qui s'occupent des serveurs et du cloud. Ils savent tous ce qu'il faut rechercher, et ils savent d'où vient l'alerte et ce qu'ils doivent faire. J'ai donné une formation en interne à plusieurs reprises pour les gens.
COMMENT SE DÉROULENT LE SERVICE CLIENT ET L'ASSISTANCE ?
L'expérience du support client a été fantastique. Ils sont assez techniques. Ce que j'aime, c'est qu'ils sont très réactifs. Vous enregistrez un travail et, dans les deux heures, quelqu’un est en communication avec vous ou vous contacte par e-mail. Nous avons un chargé de relation ou un chargé de compte technique qui nous appelle deux fois par semaine. Il traite tous les problèmes et fournit également des canaux de remontée. Leur engagement en tant que fournisseur et en tant que support a été incroyable.
COMMENT ÉVALUERIEZ-VOUS LE SERVICE ET L'ASSISTANCE À LA CLIENTÈLE ?
Positif
QUELLE SOLUTION AI-JE UTILISÉE PRÉCÉDEMMENT ET POURQUOI AI-JE CHANGÉ DE SOLUTION ?
Nous utilisions Symantec. Lorsque nous avons effectué la recherche il y a trois ans et demi, le monde passait aux EDR. Une solution EDR compense différentes technologies. Il ne s'agit pas d'une détection statique basée sur la signature, car elle peut être facilement contournée.
Les principales considérations étaient les coûts et les correctifs virtuels. Nous recherchions une solution qui pourrait nous aider à appliquer des correctifs virtuels. Lorsque vous avez un zero-day à portée de main, quelle que soit la taille de votre équipe, l’application de correctifs est parfois impossible. Lorsque vous êtes un hôpital, vous ne pouvez pas supprimer les systèmes. Vous devez passer par quelques processus, mais pendant cette période, vous êtes dans un état vulnérable. Nous recherchions un système capable de fournir des correctifs virtuels, qui dispose de signatures de détection et de correctifs virtuels, et qui vous donne l'espace respiratoire où vous pouvez aller pour corriger un système. Il répond à ce besoin.
La fonctionnalité EDR/Full-Stack a également été un changement bienvenu. Nous n'avons pas seulement un antivirus ou un EDR. Cela peut faire beaucoup plus. Il peut effectuer des contrôles d'intégrité de fichier. Il peut effectuer une référence des caches de fichiers système connus. Il peut faire toutes ces choses.
COMMENT LA CONFIGURATION INITIALE A-T-ELLE ÉTÉ EFFECTUÉE ?
Notre modèle est hybride. La console Trend Vision One est en mode SaaS. C'est sur le cloud, mais nous avons des relais qui reçoivent les mises à jour, les agents doivent donc être locaux. Les clients EDR sur les serveurs et les endpoints, tels que les ordinateurs portables et de bureau, doivent être sur site. La gestion de la posture cloud et le bot PC sont également basés sur SaaS. C'est uniquement via une API. En dehors des clients EDR, la plupart des autres intégrations sont à peu près basées sur SaaS.
Le déploiement initial était un peu difficile, car même si Symantec était un produit très obsolète, il y avait toujours quelque chose sur la machine. Nous avons dû travailler davantage pour nous débarrasser de cela et mettre cela en place. Dans l'ensemble, le déploiement était plutôt bon. Le plus grand défi dans le déploiement d'une EDR est de comprendre à quoi ressemble votre trafic réseau, votre flux de travail quotidien ou vos applications. La plupart des EDR ont quelque chose appelé des analyses en temps réel. Ainsi, si quelque chose tente d'accéder à la mémoire où les informations d'identification sont stockées ou d'écrire dans un fichier protégé par le système, et si un EDR ne les connaît pas, il les bloquera immédiatement. Ils nous ont aidés à créer ces références incroyables où nous pouvions mettre en liste blanche les applications connues et le trafic connu. C'était bien. Il a fallu un certain temps pour faire les choses correctement. À mesure que l'environnement change, vous continuez à l'affiner. Je n'ai pas entendu parler de problèmes majeurs ou de drames, mais je n'ai pas effectué le déploiement.
Il ne nécessite aucune maintenance en tant que tel. Le seul changement majeur que j’ai récemment vu est qu’ils sont passés de la version 1 à la version 2, et la version 3 arrive. Tout cela se passe en coulisses. Nous avions des agents dans une région géographique différente. Nous avons dû les migrer sur site, mais l’équipe backend a fait le reste.
QU'EN EST-IL DE L'ÉQUIPE DE MISE EN ŒUVRE ?
Nous avions une équipe de projet dédiée qui travaillait avec les chefs de projet Trend pour la mise en œuvre.
QUELLE EST MON EXPÉRIENCE EN MATIÈRE DE TARIFICATION, DE COÛT DE CONFIGURATION ET DE LICENCE ?
Je n'ai pas beaucoup de visibilité. Ce n'est certainement pas un produit bon marché, mais à ma connaissance, il existe avec les grandes perruques du secteur, telles que CrowdStrike, SentinelOne et d'autres fournisseurs EDR/XDR. J’avais entendu et découvert finalement que leurs équipes de vente étaient très flexibles, comme le font davantage d’équipes de vente.
Le problème avec toutes les opérations de sécurité est que vous devez adhérer à l'ensemble de leur écosystème afin qu'il puisse fournir plus de visibilité et plus de points de données. Il peut comprendre un peu plus votre environnement système.
Nous avons commencé par la détection des endpoints et des serveurs, puis les opérations de sécurité nous ont été fournies gratuitement à ce moment-là pour les essayer. Une fois que nous y sommes entrés, nous avons ajouté NDR, qui est la réponse de détection du réseau, le côté cloud, et toutes les autres choses. Ils étaient plutôt bons en termes de prix et de compréhension de nos besoins.
Leur équipe est également très bonne, ce que je n’ai pas vu avec d’autres fournisseurs. Ils sont proactifs. Ils vous contactent pour vous informer de nouvelles choses qui se produisent dans le monde de la cybersécurité, telles que toute nouvelle attaque ou détection, tout nouvel événement ou nouvelle formation. Ils vous contactent toutes les quelques semaines et s’assoient avec vous pour comprendre ce qu’ils peuvent mieux faire. Cet engagement et ce service constants sont bons. Je ne le base pas uniquement sur le coût. Rien n'est bon marché, mais il s'agit de ce que vous obtenez d'un fournisseur sur le service. Ce n'est pas comme vendre et oublier, où ils vous ont vendu le produit, et ils n'ont rien à voir avec vous. Il s'agit d'un engagement constant, car les opérations de sécurité évoluent en permanence. Ils vous emmènent dans ce parcours. Ils vous montrent les nouvelles fonctionnalités à venir. Ils nous interrogent sur les cas d’utilisation et sur la manière dont ils peuvent nous aider. Ils nous demandent ce que nous voyons ou quels défis ou lacunes nous avons encore dans l’environnement afin de pouvoir les aider. C'est mon expérience personnelle. C'est absolument fantastique.
QUELLES AUTRES SOLUTIONS AI-JE ÉVALUÉES ?
Nous avions un autre fournisseur. Nous avons testé les deux clients EDR, et à cette époque, les opérations de sécurité n'étaient qu'un mot à la mode sur le marché. Nous ne savions pas quelles étaient les opérations de sécurité et si nous les obtiendrions. Il nous a été offert gratuitement pendant quelques mois. J'ai effectué des tests EDR sur cette solution et un autre fournisseur très connu sur le marché. Nous avons fait une simulation d'attaque. Nous avons effectué quelques attaques avec du code malveillant et des ransomware. Il était très efficace pour détecter la plupart des attaques, tandis que l'autre était de 50/50. Nous avons ensuite créé un rapport basé sur les faits que nous avions devant nous.
À l'époque, on nous disait que Palo Alto élaborait quelque chose qui s'appelait Cortex XDR. Ils ont acheté une autre société, qui avait un client EDR qu'ils ont écrasé dans leur solution. Leur méthodologie était un peu différente. Les pare-feu étaient toujours la première ligne de défense. Par exemple, le malware installé sur une machine tente de se connecter à un serveur de commande et de contrôle ou à un domaine malveillant en dehors de l'environnement sur certains ports. Une fois que Cortex XDR l'a vu et qu'il a atteint le seuil, vous commencerez à voir les alertes. Je ne voulais pas attendre qu'il contamine 25 machines avant que Cortex XDR ne commence à faire quelque chose. C'était trop tard. J'ai entendu dire qu'ils avaient parcouru un long chemin. Ils ont peut-être reçu des commentaires similaires de la part d’autres personnes et ont apporté des changements en interne. C'est une entreprise brillante, mais elle ne répondait pas à nos exigences à l'époque. Les détections lors des tests EDR n'étaient pas aussi excellentes. Plus important encore, elle ne répondait pas à l’une des exigences clés que nous recherchions à l’époque. Nous voulions des correctifs virtuels et des signatures de correctifs virtuels pour les systèmes d'exploitation en fin de support. C’est ce qui a été le facteur décisif pour nous.
QUELS AUTRES CONSEILS AI-JE ?
Pour ceux qui évaluent cette solution, je conseillerais de faire un PoC et de comprendre leur flux de travail et leur trafic. Ils doivent avoir les bonnes attentes concernant le produit. Il s'agit d'un système avec lequel vous devez également investir dans d'autres composants, mais une fois qu'il sera opérationnel et qu'il fonctionnera et réglé, vous commencerez à en constater la valeur.
Ils agissent désormais en tant que partenaire de support pour nous. Nous pouvons compter sur eux et travailler avec eux, car nous avons investi une bonne somme d’argent avec eux. Le produit s'est avéré très précieux pour notre arsenal de défense. Je les suis personnellement. Ce n'est pas seulement moi. C'est sur Internet que l'initiative zero-day de Trend détecte encore environ 60 % des vulnérabilités. C'est plus que n'importe quel fournisseur. Ils ont une très bonne équipe.
Je noterais Trend Vision One comme un neuf sur dix. Le reporting peut nécessiter un peu de travail, mais il s’améliore. L'autre jour, j'ai entendu dire qu'ils commençaient à fournir des requêtes automatisées de chasse aux menaces et un bot d'IA sur Trend Vision One. Ces fonctionnalités sont toujours en prévisualisation, mais elles évoluent rapidement. Ils ont également quelque chose appelé criminalistique, vous pouvez donc créer des cas criminalistiques et consigner les appels directement à partir du portail Trend Vision One. Il y a de très bons changements qu'ils ont effectués. Il évolue et est dynamique.
Rejoignez plus de 500 000 clients dans le monde entier
Faites vos premiers pas avec Trend aujourd'hui