Nové bezpečnostní hrozby vyžadují nová bezpečnostní opatření. Pro skupinu DER Touristik, která provozuje cestovní kanceláře známých značek EXIM Tours a FISCHER, jsme zavedli pokročilou kybernetickou ochranu koncových zařízení jako počítače a servery. Tato technologie chrání nejen proti známým hrozbám, ale využívá AI a strojové učení pro ochranu proti novým útokům.
Co bylo potřeba vyřešit
DER Touristik je součástí německé REWE Group. Společnost se dynamicky rozrůstá a integruje další cestovní kanceláře. S firmou se rozrostla i IT infrastruktura a potřeba komplexního zabezpečení. Hlavní výzvou pro kybernetickou bezpečnost byl velký počet poboček, různé systémy a potřeba jejich standardizace.
Stávající řešení ochrany před kybernetickými hrozbami, což byl perimetrový firewall a tradiční antivir založený na identifikaci známých malware hrozeb, nebylo zcela spolehlivé a navíc generovalo velké množství falešných alarmů. Společnost potřebovala situaci řešit co nejrychleji, zároveň v nejvyšší možné kvalitě a bez přerušení provozu.
Jak jsme na to šli
Společnost má přes 400 koncových zařízení a k tomu cca 50 serverů s operačním systémem Linux a Microsoft, přičemž koncová zařízení jsou zpravidla osobní počítače a notebooky s různými verzemi MS Windows.
Pro zvýšení kybernetické bezpečnosti jsme navrhli upgradovat stávající SW smlouvu, a navíc nasadit moderní koncept řešení ochrany koncových prvků (EDR) od leadera v oboru – společnosti CrowdStrike na platformě Falcon Prevent.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/cb/fc/cbfcdd37-8172-40b2-85ea-4dac48d9b8cf/ico_dertur_1.png)
Expertní konzultace jsme poskytli ještě před rozhodnutím o nákupu.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/a4/35/a435d085-1d89-4cc3-9fde-6971639940c3/ico_dertur_2.png)
Implementaci jsme zahájili konfigurací služby podle údajů zjištěných na úvodním workshopu.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/84/db/84dbfb88-50b2-489e-b1b4-2492ca8abe6f/ico_dertur_3.png)
Zákazník obdržel přístupové údaje do portálu služby CrowdStrike a instalační soubory, aby provedl hromadnou instalaci.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/e7/4f/e74fad46-eb56-4d36-be33-c1253fb0928b/ico_dertur_4.png)
Naši experti provedli inkrementální kalibraci nastavení kvůli false positive detekcím.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/4c/ae/4cae6ea0-9b7e-4d6c-8b1b-711cbd66a0ac/ico_dertur_5.png)
Po kontrolním setkání a zaškolení jsme službu předali do provozu, takže nyní je pod kontrolou IT zákazníka.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/40/29/4029eb46-480e-4e8e-8ecf-3d4ceda99208/ico_dertur_6.png)
Zákazník pravidelně získává přehledový report a při zastavení útoku notifikaci e-mailem.
![](https://tbusiness-new.spaces.proboston.cloud/filer_public/b9/79/b979fbc9-6acd-4f58-a1a0-c4cd5a5c87e0/ico_dertur_7.png)
V případě potřeby může zákazník využít technické podpory T-Business SOC (Security Operation Centre) pracujícím v režimu 24/7.
T-Business řešení bezpečnosti koncových stanic a serverů na platformě CrowdStrike se moc dobře používá, má výrazně nižší počet falešných alarmů, a přitom se díky EDR technologii cítíme výborně chráněni.
Jak řešení funguje
![None](https://tbusiness-new.spaces.proboston.cloud/filer_public/2d/db/2ddbc9cc-6f1b-457c-a194-ff8517d4cf62/image_derturistik1.jpg)
EDR řešení CrowdStrike detekuje anomálie v chování procesů na úrovni jádra operačního systému, kde monitoruje např. síťové, diskové ovladače, spouštění podezřelých skriptů, alokaci paměti či jiných HW, SW zdrojů. To vše je korelováno s dalšími senzory a systémy a je vyhodnocováno za pomoci AI-ML na principu dvojí ochrany, tedy jak lokálně, tak v cloudu CrowdStrike s minimálním dopadem na výkon koncové stanice.
- Zákazník včas pozná indikátory útoku (IoA), což jsou specifické sekvence pozorovaných událostí v prostředí, které naznačují, že se protivník může pokoušet prolomit systém za použití již existujících zdrojů v reálném čase – bez použití signatur nebo analýzy souborů.
- Po této detekci následuje jeden z přednastavených scénářů ochrany, jako je třeba zastavení procesu, přesun procesu či celé koncové stanice do karantény, následná notifikace zákazníka o provedené akci a dočištění systému.
Co umí CrowdStrike od T-Business: fakta, čísla, detaily
IoA Behavioral Blocking
- Včas detekuje anomálie v chování zařízení díky instalaci malého SW agenta (Falcon)
- Chrání před známým i neznámým malwarem, útoky bez malwaru (62 % dle reportu)
- Poskytuje ochranu před útoky nultého dne (zeroday)
- Eliminuje ransomware
Threat Intelligence
- Aktivně hledá zranitelnosti a předchází hackerským útokům dříve, než k nim dojde
- Čerpá z inteligence otevřených zdrojů, sociálních médií a expertních databází
- Používá forenzně získaná data a data z Dark & Deep web
AI-powered Protection
- Používá strojové zpracování dat na lokálním HW i v Cloudu (tzv. dvojí ochrana)
- Plná ochrana i v režimu off-line
- Žádný dopad na uživatele – méně než 1 % režie CPU
- Pracuje bez signatur, tedy nevyžaduje neustálé aktualizace
Exploit Blocking
- Blokuje techniku útoku (začátek vektoru) namísto soustředění se na cílovou zranitelnost
- Používá pokročilé skenování paměti a pro detekci anomálie umí rozlišovat výkon CPU/GPU
- Zastaví útok v reálném čase (jednotky sekund až minut)
![None](https://tbusiness-new.spaces.proboston.cloud/filer_public/89/ac/89ac3f14-9102-4e19-a40c-ad7ec99b115e/sd_wan.jpg)
Jaké jsou výsledky
- 100 % ransomware ochrana
- Zkrácení času detekce útoku a reakce na něj (z hodin na minuty)
- Snadná instalace bez restartů a obsluha v zákaznickém portálu
- Žádný dopad na uživatele – méně než 1 % režie CPU
- Odstranění false-positive alarmů
Shrnutí
- CrowdStrike Falcon od T-Business poskytuje více než služby bezpečnosti a antiviru.
- Pracuje jak s malware signaturami, tak především na úrovni detekce a zastavení anomálií v chování procesů, čímž se liší v rychlosti a úspěšnosti ochrany od všech jiných technologií.
- Efektivně využívá AI v cloudu i lokálně bez snížení výkonu, poskytuje informace o hrozbách prostřednictvím řešení Threat Intelligence, které přidává kontext k detekcím a informacím o hrozbách.
- Automatizuje vyšetřování i reakce a pomáhá tak firmám činit lepší a rychlejší bezpečnostní rozhodnutí.
![None](https://tbusiness-new.spaces.proboston.cloud/filer_public/f2/89/f2894be3-b1cc-4526-a34f-9eb37edc8a35/image_derturistik2.jpg)