Business řešení
Referenční projekty
Produkty
Aktuality
O nás
Události
Privátní Cloud
Customer care DMS
Customer Care

Nové bezpečnostní hrozby vyžadují nová bezpečnostní opatření. Pro skupinu DER Touristik, která provozuje cestovní kanceláře známých značek EXIM Tours a FISCHER, jsme zavedli pokročilou kybernetickou ochranu koncových zařízení jako  počítače a servery. Tato technologie chrání nejen proti známým hrozbám, ale využívá AI a strojové učení pro ochranu proti novým útokům. 

Co bylo potřeba vyřešit

DER Touristik je součástí německé REWE Group. Společnost se dynamicky rozrůstá a integruje další cestovní kanceláře. S firmou se rozrostla i IT infrastruktura a potřeba komplexního zabezpečení. Hlavní výzvou pro kybernetickou bezpečnost byl velký počet poboček, různé systémy a potřeba jejich standardizace.

Stávající řešení ochrany před kybernetickými hrozbami, což byl perimetrový firewall a tradiční antivir založený na identifikaci známých malware hrozeb, nebylo zcela spolehlivé a navíc generovalo velké množství falešných alarmů. Společnost potřebovala situaci řešit co nejrychleji, zároveň v nejvyšší možné kvalitě a bez přerušení provozu.

Jak jsme na to šli

Společnost má přes 400 koncových zařízení a k tomu cca 50 serverů s operačním systémem Linux a Microsoft, přičemž koncová zařízení jsou zpravidla osobní počítače a notebooky s různými verzemi MS Windows.

Pro zvýšení kybernetické bezpečnosti jsme navrhli upgradovat stávající SW smlouvu, a navíc nasadit moderní koncept řešení ochrany koncových prvků (EDR) od leadera v oboru – společnosti CrowdStrike na platformě Falcon Prevent.

Digitální transformace

Expertní konzultace jsme poskytli ještě před rozhodnutím o nákupu.

Statistiky

Implementaci jsme zahájili konfigurací služby podle údajů zjištěných na úvodním workshopu.

Hromadné SMS

Zákazník obdržel přístupové údaje do portálu služby CrowdStrike a instalační soubory, aby provedl hromadnou instalaci.

Výkonostní konzistence

Naši experti provedli inkrementální kalibraci nastavení kvůli false positive detekcím.

Bezpečnost

Po kontrolním setkání a zaškolení jsme službu předali do provozu, takže nyní je pod kontrolou IT zákazníka.

Databáze

Zákazník pravidelně získává přehledový report a při zastavení útoku notifikaci e-mailem.

Hlasová řešení

V případě potřeby může zákazník využít technické podpory T-Business SOC (Security Operation Centre) pracujícím v režimu 24/7.

T-Business řešení bezpečnosti koncových stanic a serverů na platformě CrowdStrike se moc dobře používá, má výrazně nižší počet falešných alarmů, a přitom se díky EDR technologii cítíme výborně chráněni.

Tomáš Kostka, IT administrátor, DER Touristik

Jak řešení funguje

None

EDR řešení CrowdStrike detekuje anomálie v chování procesů na úrovni jádra operačního systému, kde monitoruje např. síťové, diskové ovladače, spouštění podezřelých skriptů, alokaci paměti či jiných HW, SW zdrojů. To vše je korelováno s dalšími senzory a systémy a je vyhodnocováno za pomoci AI-ML na principu dvojí ochrany, tedy jak lokálně, tak v cloudu CrowdStrike s minimálním dopadem na výkon koncové stanice.

  • Zákazník včas pozná indikátory útoku (IoA), což jsou specifické sekvence pozorovaných událostí v prostředí, které naznačují, že se protivník může pokoušet prolomit systém za použití již existujících zdrojů v reálném čase – bez použití signatur nebo analýzy souborů. 
     
  • Po této detekci následuje jeden z přednastavených scénářů ochrany, jako je třeba zastavení procesu, přesun procesu či celé koncové stanice do karantény, následná notifikace zákazníka o provedené akci a dočištění systému.

Co umí CrowdStrike od T-Business: fakta, čísla, detaily

IoA Behavioral Blocking 

  • Včas detekuje anomálie v chování zařízení díky instalaci malého SW agenta (Falcon)
  • Chrání před známým i neznámým malwarem, útoky bez malwaru (62 % dle reportu)
  • Poskytuje ochranu před útoky nultého dne (zeroday)
  • Eliminuje ransomware

Threat Intelligence

  • Aktivně hledá zranitelnosti a předchází hackerským útokům dříve, než k nim dojde
  • Čerpá z inteligence otevřených zdrojů, sociálních médií a expertních databází
  • Používá forenzně získaná data a data z Dark & Deep web

AI-powered Protection

  • Používá strojové zpracování dat na lokálním HW i v Cloudu (tzv. dvojí ochrana)
  • Plná ochrana i v režimu off-line
  • Žádný dopad na uživatele – méně než 1 % režie CPU
  • Pracuje bez signatur, tedy nevyžaduje neustálé aktualizace

Exploit Blocking

  • Blokuje techniku útoku (začátek vektoru) namísto soustředění se na cílovou zranitelnost
  • Používá pokročilé skenování paměti a pro detekci anomálie umí rozlišovat výkon CPU/GPU
  • Zastaví útok v reálném čase (jednotky sekund až minut)
None

Jaké jsou výsledky

  • 100 % ransomware ochrana
  • Zkrácení času detekce útoku a reakce na něj (z hodin na minuty)
  • Snadná instalace bez restartů a obsluha v zákaznickém portálu
  • Žádný dopad na uživatele – méně než 1 % režie CPU
  • Odstranění false-positive alarmů

Shrnutí

  • CrowdStrike Falcon od T-Business poskytuje více než služby bezpečnosti a antiviru. 
     
  • Pracuje jak s malware signaturami, tak především na úrovni detekce a zastavení anomálií v chování procesů, čímž se liší v rychlosti a úspěšnosti ochrany od všech jiných technologií. 
     
  • Efektivně využívá AI v cloudu i lokálně bez snížení výkonu, poskytuje informace o hrozbách prostřednictvím řešení Threat Intelligence, které přidává kontext k detekcím a informacím o hrozbách. 
     
  • Automatizuje vyšetřování i reakce a pomáhá tak firmám činit lepší a rychlejší bezpečnostní rozhodnutí.
None