Care Park zarządza ponad 450 parkingami w Australii, Nowej Zelandii, Wielkiej Brytanii i Malezji. Wartość portfolio nieruchomości przekracza 200 milionów dolarów, a operację obsługuje zespół liczący około 200 osób. Firma działa 24/7, a przestój albo incydent bezpieczeństwa nie mogą po prostu czekać do rana.
Zamiast czterech osobnych systemów od czterech różnych dostawców, Care Park postawiło na jeden ekosystem WatchGuard: Total NDR do monitoringu sieci, Advanced EPDR na serwerach i Total MDR do reagowania na incydenty. Efekt widać w liczbach. Roczne koszty ochrony spadły o niemal 35% względem tego, co firma płaciła wcześniej za Darktrace.
Skąd wziął się problem
Środowisko IT Care Park rosło etapami, a wraz z nim przybywało narzędzi bezpieczeństwa. Każde patrzyło na inny fragment infrastruktury i żadne nie dawało pełnego obrazu. Monitoring sieci i endpointów na ponad 450 adresach IP zapewniał Darktrace. Ochronę na styku z internetem trzymał firewall WatchGuard Firebox. Około 350 stacji końcowych chronił Microsoft Defender, a 25 serwerów SentinelOne.
Sama detekcja u Darktrace działała nieźle, system potrafił też podjąć działanie ochronne na endpoincie. Problem zaczynał się dalej. Pełne powstrzymanie zagrożenia i jego usunięcie wymagało częstej, ręcznej interwencji zewnętrznego dostawcy usług IT, ponieważ system widział problem, ale nie rozwiązywał go sam. Przy firmie działającej całą dobę to realny koszt, czas, ryzko naruszenia, a nie tylko niedogodność.
„Nasz stos zabezpieczeń rozwijał się z czasem, łącząc różne technologie, które nie działały razem jako jedno źródło informacji"- mówi Paul Foley, vCTO Care Park. „Pod względem relacji jakości do ceny nie byliśmy zadowoleni z rosnących kosztów i braku pełnego pola widzenia. Działamy 24/7 i potrzebowaliśmy zespołu reagowania zdolnego do działania w każdej chwili."
Do tego dochodziły ograniczenia, których nie dało się zignorować w dłuższej perspektywie: raportowanie zgodności było ograniczone, monitoring aplikacji chmurowych wymagał osobnego modułu, a rozszerzenie ochrony na środowiska chmurowe nie miało prostej ścieżki realizacji, gdyby taka potrzeba się pojawiła. Gdy zbliżał się termin odnowienia licencji Darktrace i rosły koszty, decyzja stała się prostsza: skonsolidować narzędzia i poprawić efekty bez dokładania pracy zespołowi.
Co zmieniło wdrożenie
WatchGuard poprowadził projekt zastąpienia Darktrace i rozszerzenia ochrony na obecne i przyszłe powierzchnie ataku. Monitoring sieciowy przejął WatchGuard Total NDR, rozwiązanie klasy Network Detection and Response, czyli system monitorujący ruch sieciowy i wykrywający w nim podejrzaną aktywność. Wdrożono je dla 500 adresów IP (251 licencji), a w pakiecie znalazło się też pokrycie SaaS w chmurze i raportowanie zgodności, dwie rzeczy, których Darktrace nie dawał.
Serwery przeszły podobną drogę. Ochronę 25 maszyn przeniesiono z SentinelOne na WatchGuard Advanced EPDR, łącząc prewencję, detekcję i reagowanie pod jedną strategią, a nie w dwóch osobnych systemach jak wcześniej.
Firebox M390, który Care Park już posiadało, zaktualizowano do licencji Total Security. To ten krok włączył funkcje XDR w całym środowisku. MDR skonfigurowano tak, by współpracował z Microsoft Defenderem, firma nie musiała więc wdrażać dodatkowego agenta na 350 stacjach końcowych tylko po to, żeby objąć je usługą MDR. Istniejąca inwestycja w ochronę endpointów została zachowana.
Ostatnim elementem układanki był Total MDR dla 375 stanowisk (350 endpointów i 25 serwerów), który miał odciążyć partnera IT od interwencji przy każdym alarmie. Powstał z tego jeden model pracy, nie zbiór niezależnych narzędzi: NDR łapie zagrożenie w sieci, MDR je powstrzymuje i usuwa, XDR spaja sygnały z różnych źródeł i porządkuje raportowanie.
Co dało to w praktyce
Największa i najbardziej wymierna zmiana to koszty, bo roczne wydatki spadły o blisko 35% względem odnowienia licencji Darktrace. Total NDR i Total MDR nie tylko zastąpiły stare narzędzia, ale też rozszerzyły ochronę na sieć, endpointy i serwery jednocześnie. Środowisko jest już przygotowane na dalsze monitorowanie SaaS i chmury bez dokupowania kolejnych modułów, gdyby taka potrzeba się pojawiła.
Detekcja z NDR połączona z powstrzymywaniem i remediacją prowadzoną przez MDR odciążyła partnera IT z części codziennej, ręcznej pracy i skróciła czas między wykryciem incydentu a reakcją na niego. Zyskała też widoczność środowiska - aktualizacja usług na Fireboxie i wprowadzenie ThreatSync XDR ujednoliciły telemetrię i scentralizowały monitoring.
„Uzasadnienie biznesowe było jasne: lepsze pokrycie i raportowanie, mniej elementów do zarządzania i realna redukcja kosztów. Poprawiliśmy governance już teraz, jednocześnie przygotowując się do rozszerzenia monitoringu na SaaS i chmurę, gdy nasze potrzeby będą ewoluować."
Paul Foley, vCTO, Care Park
Najczęściej zadawane pytania i podsumowanie przypadku case study Care Park
Jakie rozwiązania WatchGuard zastąpiły Darktrace i SentinelOne w Care Park?
Total NDR przejął monitoring sieci po Darktrace, Advanced EPDR ochronę serwerów po SentinelOne, a Total MDR odpowiada za reagowanie na incydenty na endpointach i serwerach. Do tego doszła aktualizacja posiadanego już Firebox M390 do licencji Total Security, która dała dodatkowo funkcje XDR.
O ile Care Park zredukowało koszty po zmianie dostawcy?
Prawie o 35% rocznie, licząc względem tego, co firma płaciłaby za odnowienie Darktrace - zakres ochrony przy tym nie skurczył się, tylko wzrósł.
Czy trzeba było wymieniać ochronę endpointów, żeby uzyskać MDR?
Nie. MDR skonfigurowano do współpracy z Microsoft Defenderem, którego Care Park już używało, bez dodatkowego agenta na 350 stacjach końcowych.