Saubere Sache
Das Entsorgungsunternehmen der Stadt Zürich bringt ihre Endpunkt-Sicherheit auf den neuesten Stand und profitiert von reduziertem Administrationsaufwand. Ein Praxisbeispiel aus dem Kehrichtalltag.
Da die Entsorgung + Recycling Zürich (ERZ) der Bevölkerung von Zürich rund um die Uhr wichtige Infrastrukturdienste bietet, muss auch die Informationstechnologie immer betriebsbereit sein. Die ERZ-Verantwortlichen wissen daher, dass es entscheidend ist, das Netzwerk bestmöglich zu schützen. Dies gilt speziell vor dem Hintergrund der sich wandelnden Bedrohungen. Der Entsorgungsdienstleister setzt dabei unter anderem seit längerem auf eine Next-Generation-Firewall (Palo Alto Networks PA-4020) für den Schutz des Netzwerks und die Anwendungs- und Bandbreitenkontrolle sowie als IPS (Intrusion Prevention System). Julio Lorenzo, Leiter der Gruppe Fachinfrastruktur bei der ERZ erklärt hierzu: „Sie ist stabil, zuverlässig, leistungsfähig und bietet ein hervorragendes IPS sowie echte Anwendungskontrolle. Palo Alto Networks bietet aber nicht nur Punkt-zu-Punkt-Sicherheit, sondern auch Sicherheit in der Anwendungsschicht.“
Bisheriger Endpunkt-Schutz unzureichend
Für den Virenschutz und den Schutz von Endpunkten hatte die ERZ im Laufe der Jahre mehrere Produkte angeschafft. Diese erforderten teilweise vom IT-Team übermässigen Verwaltungsaufwand und machte die ERZ zusätzlich verwundbar. „Es war eine ständige Herausforderung, Sicherheitspatches rechtzeitig zu implementieren, um auf neue Schwachstellen oder Zero-Day-Angriffe zu reagieren“, so Lorenzo. Die ERZ wollte daher eine moderne Endpoint-Security-Lösung, die keine zusätzlichen Ressourcen erforderte. „Wir suchen immer nach neuen Lösungen, durch welche die Administration und Bedrohungsprävention automatisiert werden können. In der Vergangenheit summierte sich der Arbeitsaufwand nämlich auf vier Stunden täglich”, erklärt der IT-Fachmann.
Aufgrund der Einschränkungen und Kompromisse beim Einsatz ihrer bestehenden Produkte suchte der Entsorgungsdienstleister nach einer neuen Lösung für die Endpunkt-Sicherheit. „Wir waren zudem vermehrt konfrontiert mit Risiken wie Advanced Persistent Threats und ähnlichen Bedrohungen. Unsere alten Virenschutzlösungen waren aber nicht in der Lage, uns vor diesen komplexen Angriffen zu schützen. Wir hatten somit keine verlässliche Endpoint Security, denn wir benötigten mehr als nur Schutz am Internet-Gateway, um externe und interne Bedrohungen abzuwehren“, erläutert Lorenzo.
Neuer Anlauf für die Endpunkt-Sicherheit
Die ERZ wandte sich an ihren IT-Berater Omicron AG. Diese empfahl „Traps Advanced Endpoint Protection“, die auch Teil der Enterprise-Security-Plattform von Palo Alto Networks ist. Die Security-Plattform als Gesamtlösung bietet Transparenz und Kontrolle für Anwendungen, Benutzer und Inhalte. Zudem schützt sie vor bekannten und unbekannten Cyberbedrohungen. Die zur Plattform gehörende „Threat Intelligence Cloud“ analysiert verdächtige Dateien und identifiziert neue, bislang unbekannte Bedrohungen. Sie bietet Zugang zu einer globalen Threat Intelligence Community und verteilt die neu bekannten Abwehrmassnahmen innerhalb von Minuten, so dass bei Sicherheitsvorfällen die Reaktionszeiten für Analyse, Forensik und Behebung verkürzt werden.
Traps wiederum, wofür sich die ERZ entschieden hat, verhindert komplexe Exploits von Schwachstellen und durch unbekannte Malware durchgeführte Angriffe. Der flexibel skalierbare, schlanke Agent verwendet eine innovative Methode zur Verhinderung von Angriffen, ohne dass die Bedrohung zuvor bereits bekannt sein muss. Das Produkt bietet Unternehmen somit ein leistungsfähiges Werkzeug zum Schutz von Endpunkten vor praktisch jedem gezielten Angriff.
Bevor die Entscheidung fiel, testete die ERZ Traps in ihrem Labor, was das Team überzeugte: „Wir mussten nicht einmal den Test eines anderen Endpoint-Security-Produkts in Erwägung ziehen“, sagt Lorenzo. Die Anwendung biete einen extrem zuverlässigen Schutz im Lebenszyklus von Cyberangriffen. Ein weiteres wichtiges Argument war die Benutzerfreundlichkeit. „Wir müssen Traps nicht dauernd im Auge behalten und aktualisieren – und dennoch kann es unbekannte Angriffe verhindern“, so der ERZ-Mann.
Weitere Schutzebene
Die ERZ ersetzte daraufhin die bisherige Lösung durch Traps. „Patches sind nicht mehr zeitraubend oder dringend, da Traps uns selbst vor der Implementierung der Patches bereits schützt“, erläutert Lorenzo. „Die neue Anwendung erfordert auch nur geringe Verwaltungsarbeit und absorbiert keine Ressourcen. Vorher liefen unsere Lösungen permanent und verbrauchten entsprechend unnötigerweise Ressourcen. Traps wird nur aktiv, wenn es gebraucht wird.“ Lorenzo zeigt sich von der Skalierbarkeit und dem geringen Ressourcenverbrauch überzeugt: „Der Einsatz wirkt sich überhaupt nicht auf die Performance aus. Man kann die Lösung an verschiedenen Stellen einsetzen und leicht unterschiedliche Netzwerke abdecken. Zudem kann man es mit nur minimaler Schulung benutzen.“
Die ERZ hat neu auch „WildFire“ abonniert. Dieser Abo-Dienst schützt gegen fortschrittliche Malware und Bedrohungen, indem er unbekannte Malware, Zero-Day-Exploits und Advanced Persistent Threats (APTs) proaktiv identifiziert und blockiert. „WildFire“ fungiert als Erweiterung der Enterprise-Security-Plattform und wendet seine Verhaltensanalyse unabhängig von Port oder Verschlüsselung an. Wenn eine unbekannte Bedrohung entdeckt wird, sorgt die Anwendung automatisch für Schutz und blockiert die Bedrohung beinahe in Echtzeit und das über den gesamten Lebenszyklus von Cyberangriffen hinweg.
„Die direkte Integration zwischen Traps und WildFire bedeutet, dass unbekannte ausführbare Dateien, die versuchen, auf Endpunkten zu laufen, automatisch überprüft werden. Wenn die Datei schädlich ist, verhindert Traps, dass diese ausgeführt wird. Zudem kann auch gänzlich unbekannte Malware aufgehalten werden, da Traps unbekannte ausführbare Dateien vorbeugend zur Analyse an WildFire sendet.“
Höhere Sicherheitsniveau, weniger Aufwand
Mit der getroffenen Lösung hat die ERZ die Endpunkt-Sicherheit, aber auch das Sicherheitsniveau insgesamt verbessert und zugleich den IT-Verwaltungsaufwand reduziert. „Es gibt keine Wunderwaffe in der IT-Sicherheit“, meint Lorenzo. „Vom Schutz des Netzwerkrands bis zum Endpunkt muss alles präzise integriert sein, da wir nie wissen, woher die Bedrohungen kommen können. Die in die Enterprise-Security-Plattform integrierte Endpunkt-Sicherheit mittels Traps zeigt uns, was passiert, wo es passiert und stoppt Bedrohungen.“
Case Study von Palo Alto Networks