HollyFrontier является независимым переработчиком и дистрибьютором нефтепродуктов из списка Fortune 500. Компания управляет шестью нефтеперерабатывающими заводами - пять в центре США и один в Онтарио, Канада. В компании работают 3500 человек на 43 площадках в США, 16 в Канаде и в нескольких точках в Китае и Великобритании. Поиск лучшей защиты конечных точек ведет к обновленной архитектуре безопасности В рамках обзора безопасности конечных точек HollyFrontier пригласила шесть ведущих поставщиков сделать презентации для конкуренции в бизнесе. McAfee выделяется среди других поставщиков своей интегрированной стратегией безопасности и достижимым видением жизненного цикла защиты от угроз, который учится и адаптируется к изменяющимся требованиям. «Мы полностью согласились с подходом McAfee®», - говорит инженер по кибербезопасности Филлип Форт, главный специалист, отвечающий за повседневную безопасность HollyFrontier. «Благодаря интегрированной экосистеме McAfee наша ограниченная команда безопасности может автоматизировать множество задач безопасности. По сути, мы можем сделать намного больше, чтобы защитить нашу компанию намного быстрее, без добавления персонала». В дополнение к защите конечных точек McAfee и входящей в комплект центральной консоли McAfee ePolicy Orchestrator (McAfee ePO) всего за несколько недель HollyFrontier развернула: ■ Устройства McAfee Network Security Platform для предотвращения вторжений (IPS). ■ McAfee Data Exchange Layer, структура с открытым исходным кодом, которая соединяет компоненты безопасности для автоматизации интеграции и обмена данными в режиме реального времени. ■ McAfee Threat Intelligence Exchange, который собирает сведения об угрозах из локальных и глобальных источников и обменивается информацией о репутации файлов в системах, связанных с McAfee Data Exchange Layer. ■ McAfee Enterprise Security Manager и другие компоненты набора решений McAfee SIEM. ■ Устройство для песочницы McAfee Advanced Threat Defense. В течение года компания также начала развертывание McAfee Endpoint Threat Defense и Response и McAfee Web Gateway. Уровень заражения и взломов значительно сократились HollyFrontier первоначально развернула комплект McAfee Complete Endpoint Threat Protection. Однако из-за «всех вымогателей» HollyFrontier стремился установить McAfee Endpoint Security и его функциональность DAC. Когда DAC обнаруживает файл, который не имеет доверенной репутации или неизвестен, он немедленно помещает файл в карантин, прежде чем он сможет заразить «нулевого пациента». Следовательно, как только McAfee Endpoint Security стал доступен, компания перенесла часть McAfee VirusScan® Enterprise. его комплекта защиты конечных точек для модуля McAfee Endpoint Security Threat Prevention, сначала выкатив версию 10.1, затем обновив до версии 10.2, и снова обновив до версии 10.5. Хотя DAC первоначально заблокировал несколько устаревших приложений, которые все еще используются, Fort смог быстро создать исключения для этих приложений. «Графический интерфейс пользователя McAfee Endpoint Security очень прост в использовании», - отмечает он. «Как только я создал первую пару исключений, остальные были легкими». Не потребовалось много времени, чтобы наибольшее влияние новой инфраструктуры защиты конечных точек стало очевидным. «После внедрения McAfee Endpoint Security и DAC уровень заражения вредоносным ПО резко упал», - утверждает Форт. «Раньше у нас были взломы каждый месяц, но с тех пор у нас не было ни одного перехода на McAfee Endpoint Security и его интеграции с McAfee Threat Intelligence Exchange и McAfee Advanced Protection Defense ... По правде говоря, мне не приходится иметь дело с McAfee Endpoint Security очень много - и это хорошо». Результаты песочницы автоматически распределяются по всему предприятию Поскольку Fort задумывался о преимуществах интегрированной платформы безопасности до ее реализации, его больше всего интересовала интеграция конечной точки и других компонентов безопасности с McAfee Advanced Threat Defense. «McAfee Advanced Threat Defense делает больше или больше, чем другие песочницы, но его интеграция с другими решениями McAfee делает его невероятно мощным», - говорит Форт. «Он сразу обнаруживает и содержит потенциально вредоносный файл на конечной точке, IPS или шлюзе.
Сначала он автоматически отправляет файл в McAfee Advanced Threat Defense для анализа, и в случае обнаружения вредоносного файла этот файл автоматически удаляется по всему предприятию. Это действительно преобразует нашу маленькую команду безопасности », - заявляет Форт. «Это увеличивает наши собственные возможности и экономит много времени». Каждый день аналитик по безопасности проверяет McAfee Advanced Threat Defense, чтобы просмотреть список файлов, которые устройство признало вредоносными. «Однажды помощник по административным вопросам нажал на фишинговое письмо», - объясняет Форт. «IPS, McAfee Network Security Platform, заблокировала подозрительный файл и отправила его в McAfee Advanced Threat Defense, который определил, что он плохой. Этот файл появился в списке выявленных за день, и мы подтвердили, что он действительно был заблокирован и автоматически внесен в базу данных репутации McAfee Threat Intelligence Exchange, доступную для всего предприятия ». Периодически группа безопасности HollyFrontier проводит оценки, в которых образцы вредоносных программ помещаются на компьютер. «Затем мы следим за тем, чтобы вредоносное ПО обнаруживалось в McAfee Advanced Threat Defense и удалялось с хост-компьютера и заносилось в черный список по всему предприятию», - поясняет Форт. «Это работает каждый раз - так, как и должно». Повышение наглядности и облегчение отчетности с McAfee SIEM Стремление к лучшей видимости на предприятии побудило HollyFrontier заменить устаревшую SIEM на технологию McAfee SIEM. По словам Форта, технология McAfee SIEM обеспечивает гораздо более полную картину безопасности и широкую видимость по всей сети, что помогает бесчисленными способами. Чтобы привести только один пример, значительное количество пользователей блокировалось, когда они пытались сбросить свои пароли, потому что они не смогли выйти из других машин. Аналитик по безопасности просто вводил идентификатор пользователя в систему McAfee SIEM и сразу же мог точно определить, на каких машинах был зарегистрирован пользователь, заблокирован ли он или нет, и должен ли он иметь доступ, а затем может при необходимости сбросить пароли. «В этом и многих других случаях технология McAfee Enterprise Security Manager экономит нам много времени на расследования», - говорит Форт. Группа безопасности HollyFrontier также использует множество готовых правил и оповещений, а также настраиваемых в решении McAfee SIEM. «Даже если мы не разработали пользовательское правило, если у меня есть только небольшая информация о событии безопасности, легко развернуть и выполнить поиск на основе одной или нескольких переменных, чтобы найти столько дополнительной информации, сколько мне нужно, ”- объясняет Форт. Решение McAfee Enterprise Security Manager также упрощает отчетность. Например, для ежеквартального анализа безопасности для высшего руководства Fort просто запускает готовые исполнительные отчеты, созданные с помощью решения McAfee SIEM и McAfee Advanced Threat Defense из программного обеспечения McAfee ePO. Быстрый поиск экономит время, быстрее устраняет уязвимости По словам Форта, до того, как он узнал об интегрированной платформе безопасности McAfee, он «влюбился» в продукт обнаружения и реагирования на конечные точки (EDR) от другого поставщика. «Однако, когда мы посмотрели на McAfee Endpoint Threat Defense и Response, мы поняли, что он сделал все то же, что и другое решение», - вспоминает он. «Это дает нам всю информацию, которую мы когда-либо хотели узнать - действительно, очень быстро». С помощью программного обеспечения McAfee EDR группа безопасности HollyFrontier может быстрее устранять уязвимости. Если Форт узнает об уязвимости в определенной версии приложения, например в Microsoft Office 2013, он может использовать функцию поиска McAfee Active Response, чтобы быстро и легко выяснить, сколько рабочих столов имеет эту версию, или создать список всех конечных точек с этой версией. Один из коллег Форта недавно нашел все версии Adobe Acrobat на предприятии менее чем за минуту и ​​еще несколько минут, чтобы определить, какие конечные точки требуют обновления. Выдвинув обновление, он щелкнул, чтобы повторно запустить поиск, чтобы подтвердить, что все обновления были успешными. «Быстрый поиск, который мы можем выполнить с помощью McAfee Active Response, экономит нам огромное количество времени», - говорит Форт. «Раньше мы вручную вели электронные таблицы инвентаризации всех приложений и систем. Теперь мы можем создавать отчеты в режиме реального времени за считанные секунды, и все уверены, что они верны». Добавление гибридной веб-защиты На конференции пользователей McAfee, пока Форт воспевал платформу McAfee Network Security Platform и McAfee Advanced Threat Defense для других участников, многие из участников были в восторге от McAfee Web Gateway, утверждая, что это был их любимый продукт McAfee, что побудило Форта провести расследование. Он быстро убедился, что McAfee Web Gateway стоит вложений, хотя у компании было адекватное решение для веб-шлюзов. Помимо возможности обмениваться информацией об угрозах практически в режиме реального времени с другими решениями безопасности, связанными с McAfee Data Exchange Layer, McAfee Web Gateway предлагает более детальный контроль и возможность развертывания гибридной среды, управляемой из той же консоли. В результате HollyFrontier находится в процессе развертывания своего первого устройства McAfee Web Gateway и облачной службы McAfee Web Gateway. Сотрудники HollyFrontier, работающие дома или в дороге, будут защищены теми же корпоративными политиками веб-безопасности, что и пользователи в корпоративных офисах. Кроме того, любая вредоносная программа, обнаруженная McAfee Web Gateway, немедленно отправляется в McAfee Advanced Threat Defense, и ее информация распространяется по всему предприятию. Интеграция и усиленная защита Ease Security Administration «Благодаря интегрированной инфраструктуре безопасности McAfee и программному обеспечению McAfee ePO я могу управлять практически всем через одну стеклянную панель», - говорит Форт. «Это само по себе делает администрирование намного проще, но делает защиту более эффективной. Если в другом месте в мире есть заражение, благодаря McAfee Threat Intelligence Exchange, моя сеть знает об этом и защищается до того, как заражение достигнет нас. С другой стороны, если вредоносное ПО обнаружено в нашей среде, оно немедленно отправляется в McAfee Advanced Threat Defense для анализа, а остальная часть среды автоматически информируется. Мы значительно сократили операционные накладные расходы при одновременном повышении уровня безопасности ». Форт был впечатлен не только продуктами McAfee и их интеграцией друг с другом, но и персоналом McAfee. «В любое время, когда мне что-то понадобится, я просто звоню или пишу по электронной почте своему инженеру McAfee Security, и он сразу же отвечает», - отмечает он. «Служба поддержки McAfee Platinum также очень отзывчива. Обычно я могу получить необходимую помощь в течение нескольких минут. Мы рано узнали, что McAfee является надежным и стратегическим партнером в области безопасности».