Business řešení
Referenční projekty
Produkty
Aktuality
O nás
Kontakt
Události

DER Touristik

Největší cestovní kancelář ve střední Evropě je pod naší ochranou

Nové bezpečnostní hrozby vyžadují nová bezpečnostní opatření. Pro skupinu DER Touristik, která provozuje cestovní kanceláře známých značek EXIM Tours a FISCHER, jsme zavedli pokročilou kybernetickou ochranu koncových zařízení jako  počítače a servery. Tato technologie chrání nejen proti známým hrozbám, ale využívá AI a strojové učení pro ochranu proti novým útokům. 

Co bylo potřeba vyřešit

DER Touristik je součástí německé REWE Group. Společnost se dynamicky rozrůstá a integruje další cestovní kanceláře. S firmou se rozrostla i IT infrastruktura a potřeba komplexního zabezpečení. Hlavní výzvou pro kybernetickou bezpečnost byl velký počet poboček, různé systémy a potřeba jejich standardizace.

Stávající řešení ochrany před kybernetickými hrozbami, což byl perimetrový firewall a tradiční antivir založený na identifikaci známých malware hrozeb, nebylo zcela spolehlivé a navíc generovalo velké množství falešných alarmů. Společnost potřebovala situaci řešit co nejrychleji, zároveň v nejvyšší možné kvalitě a bez přerušení provozu.

Jak jsme na to šli

Společnost má přes 400 koncových zařízení a k tomu cca 50 serverů s operačním systémem Linux a Microsoft, přičemž koncová zařízení jsou zpravidla osobní počítače a notebooky s různými verzemi MS Windows.

Pro zvýšení kybernetické bezpečnosti jsme navrhli upgradovat stávající SW smlouvu, a navíc nasadit moderní koncept řešení ochrany koncových prvků (EDR) od leadera v oboru – společnosti CrowdStrike na platformě Falcon Prevent.

Expertní konzultace jsme poskytli ještě před rozhodnutím o nákupu.

Implementaci jsme zahájili konfigurací služby podle údajů zjištěných na úvodním workshopu.

Zákazník obdržel přístupové údaje do portálu služby CrowdStrike a instalační soubory, aby provedl hromadnou instalaci.

Naši experti provedli inkrementální kalibraci nastavení kvůli false positive detekcím.

Po kontrolním setkání a zaškolení jsme službu předali do provozu, takže nyní je pod kontrolou IT zákazníka.

Zákazník pravidelně získává přehledový report a při zastavení útoku notifikaci e-mailem.

V případě potřeby může zákazník využít technické podpory T-Business SOC (Security Operation Centre) pracujícím v režimu 24/7.

T-Business řešení bezpečnosti koncových stanic a serverů na platformě CrowdStrike se moc dobře používá, má výrazně nižší počet falešných alarmů, a přitom se díky EDR technologii cítíme výborně chráněni.

Tomáš Kostka, IT administrátor, DER Touristik

Jak řešení funguje

None

EDR řešení CrowdStrike detekuje anomálie v chování procesů na úrovni jádra operačního systému, kde monitoruje např. síťové, diskové ovladače, spouštění podezřelých skriptů, alokaci paměti či jiných HW, SW zdrojů. To vše je korelováno s dalšími senzory a systémy a je vyhodnocováno za pomoci AI-ML na principu dvojí ochrany, tedy jak lokálně, tak v cloudu CrowdStrike s minimálním dopadem na výkon koncové stanice.

  • Zákazník včas pozná indikátory útoku (IoA), což jsou specifické sekvence pozorovaných událostí v prostředí, které naznačují, že se protivník může pokoušet prolomit systém za použití již existujících zdrojů v reálném čase – bez použití signatur nebo analýzy souborů. 
     
  • Po této detekci následuje jeden z přednastavených scénářů ochrany, jako je třeba zastavení procesu, přesun procesu či celé koncové stanice do karantény, následná notifikace zákazníka o provedené akci a dočištění systému.

Co umí CrowdStrike od T-Business: fakta, čísla, detaily

IoA Behavioral Blocking 

  • Včas detekuje anomálie v chování zařízení díky instalaci malého SW agenta (Falcon)
  • Chrání před známým i neznámým malwarem, útoky bez malwaru (62 % dle reportu)
  • Poskytuje ochranu před útoky nultého dne (zeroday)
  • Eliminuje ransomware

Threat Intelligence

  • Aktivně hledá zranitelnosti a předchází hackerským útokům dříve, než k nim dojde
  • Čerpá z inteligence otevřených zdrojů, sociálních médií a expertních databází
  • Používá forenzně získaná data a data z Dark & Deep web

AI-powered Protection

  • Používá strojové zpracování dat na lokálním HW i v Cloudu (tzv. dvojí ochrana)
  • Plná ochrana i v režimu off-line
  • Žádný dopad na uživatele – méně než 1 % režie CPU
  • Pracuje bez signatur, tedy nevyžaduje neustálé aktualizace

Exploit Blocking

  • Blokuje techniku útoku (začátek vektoru) namísto soustředění se na cílovou zranitelnost
  • Používá pokročilé skenování paměti a pro detekci anomálie umí rozlišovat výkon CPU/GPU
  • Zastaví útok v reálném čase (jednotky sekund až minut)

None

Jaké jsou výsledky

  • 100 % ransomware ochrana
  • Zkrácení času detekce útoku a reakce na něj (z hodin na minuty)
  • Snadná instalace bez restartů a obsluha v zákaznickém portálu
  • Žádný dopad na uživatele – méně než 1 % režie CPU
  • Odstranění false-positive alarmů

Shrnutí

  • CrowdStrike Falcon od T-Business poskytuje více než služby bezpečnosti a antiviru. 
     
  • Pracuje jak s malware signaturami, tak především na úrovni detekce a zastavení anomálií v chování procesů, čímž se liší v rychlosti a úspěšnosti ochrany od všech jiných technologií. 
     
  • Efektivně využívá AI v cloudu i lokálně bez snížení výkonu, poskytuje informace o hrozbách prostřednictvím řešení Threat Intelligence, které přidává kontext k detekcím a informacím o hrozbách. 
     
  • Automatizuje vyšetřování i reakce a pomáhá tak firmám činit lepší a rychlejší bezpečnostní rozhodnutí.

None