Kofola má kybernetickou bezpečnost pod kontrolou

Díky řešení navrženému AUTOCONT specialisty má nyní Kofola nástroje pro včasnou detekci hrozeb, pokročilou analýzu incidentů a rychlou reakci na ně.

Realizace 2022

Případové studie

https://www.buzzsprout.com/1710535/12343762-reference-kofola-ma-kybernetickou-bezpecnost-pod-kontrolou

Audiostory

00:00 00:00

Listen on

Share episode

Profil zákazníka

Kofola ČeskoSlovensko spadá do skupiny Kofola, předního výrobce a distributora nealkoholických nápojů ve střední a východní Evropě. Je lídrem na českém a slovenském trhu a současně působí v dalších evropských zemích. Skupina vyrábí známé nápoje v jedenácti hlavních závodech. Mezi nejznámější patří nápoje Kofola a Vinea, vody Radenska, Studenac, Rajec, Ondrášovka a Korunní, sirup Jupí, nápoje pro děti Jupík nebo energetické nápoje Semtex a UGO čerstvé džusy a saláty.

Četnost kybernetických útoků stále stoupá a bylo tedy potřeba obnovit bezpečnostní filozofii. AUTOCONT přišel s řešením, které zajistí automatický sběr dat a jejich pokročilou analýzu. Jsme tak schopni včasně detekovat hrozby, a to vše v administrátorsky příjemném prostředí.

Roman Birtek

IT Specialista

Výchozí situace, cíle projektu

Před nasazením řešení byly stanice a servery chráněny standardním antimalwarovým řešením s on-premise administrátorskou konzolí. Vzhledem ke stále vzrůstajícímu počtu kybernetických útoků a jejich zvyšující se komplexitě bylo potřeba změnit filozofii bezpečnostní ochrany a nasadit security řešení typu EDR/XDR. To umožní IT oddělení provádět pokročilou analýzu událostí a rychle reagovat na detekované hrozby, a to i v případě, kdy napadené prostředí již není plně k dispozici.

Cílem projektu bylo zajistit automatický sběr dat z koncových bodů s možností budoucího rozšíření o zdroje třetích stran. Zároveň bylo požadavkem najít administrátorsky příjemné řešení, které díky dostatku předpřipravených nebo snadno doplnitelných analytických dotazů nebude správce zbytečně zatěžovat.

Přínosy

Potřebné informace lze vyhledat přímo na koncových bodech
Sběr událostí z produktů třetích stran (Firewally, Email Gateway)
Předem definované query pro XDR databázi
Možnost napojení AUTOCONT Security Operation Center
Cloud Sandbox, Zero-day ochrana
Live Response – nástroj pro vzdálenou investigaci včetně využití Powershellu
XDR Sensor lze provozovat i s AV produktem jiného výrobce

Popis řešení

Jako nejvhodnější pro danou situaci se ukázalo řešení Sophos InterceptX Advanced with XDR. Základem jsou dvě komponenty, a to cloudová konzole Sophos Central pro správu celého řešení a Sophos Endpoint Agent. Jediný multiplatformní agent na koncovém bodě nejen chrání a detekuje, ale zároveň odesílá podezřelé soubory do cloudového sandboxu nebo užitečná, telemetrická data do prostředí Sophos Central, kde jsou ukládána do jednotného úložiště „DataLake“.

Jedná se například o informace o změnách hesel uživatelů, úspěšných či neúspěšných přihlášeních, informace o síťové komunikaci neobvyklých procesů, nově vytvořených službách nebo příkazech a parametrech v CMD a podobně. Před uložením mohou být data obohacena o další informace ze služeb typu VirusTotal nebo Whois, případně o geolokační údaje.

DataLake umožňuje týmu specialistů SophosLabs provádět nad takto konsolidovanými daty pokročilé analýzy, které umožní snadněji odhalit počáteční fáze útoku. A to například na základě změny oprávnění uživatele, podezřelé komunikace na škodlivé IP adresy, pokusu o spuštění skriptů nebo nově naplánovaných úloh v aplikaci Task Scheduler.