Ochrana IT infrastruktury pro Dopravní podnik města Olomouce

Dopravní podnik města Olomouce, a.s. je akciová společnost, která zajišťuje městskou hromadnou dopravu v Olomouci a přilehlém okolí. Se 450 zaměstnanci patří mezi nejvýznamnější provozovatele veřejné dopravy na území Olomouckého kraje, především pak v zóně 71 Integrovaného dopravního systému. Ročně přepraví přibližně 57 milionů cestujících. Na 8 tramvajových a 24 autobusových linkách operuje celkově se 146 vozidly tramvajové a autobusové trakce.

Ochrana IT infrastruktury a dat DPMO je zcela v kompetenci IT oddělení, které taktéž dohlíží na kybernetickou bezpečnost, reaguje na vzniklé incidenty a provádí preventivní úkony. Stávající antimalwarové řešení chránící koncové body a servery přestalo funkčně dostačovat vyspělému týmu IT specialistů. Scházel podrobnější vhled do detekovaných incidentů a kvůli stále narůstajícím počtům kybernetických útoků vznikla myšlenka na další vrstvu ochrany proti neznámým nebo novým hrozbám.

Vznikla proto potřeba, která zprůhlední činnost antimalwarové ochrany, umožní podrobnou analýzu incidentů a rychlou reakci, jak s pomocí strojového učení a umělé inteligence, tak i zapojením zkušeností a znalostí prostředí IT týmu zákazníka. Také vyplynul požadavek na zvýšení obrany proti neznámým hrozbám, s možností automatického testování neznámých souborů v zabezpečeném prostředí (tzv. sandboxing), které bude provozováno v IT infrastruktuře a plně integrováno s antimalwarovou ochranou koncových bodů a serverů. Zároveň by nemělo dojít ke zbytečnému zvýšení pracnosti s obsluhou bezpečnostního řešení a zátěži členů IT týmu DPMO. Velmi důležitými parametry byla samozřejmě i cena a vysoká technologická úroveň.

Z možných nabídek dostupných na trhu společnost zvolila Kaspersky Endpoint Security Select, doplněný o Kaspersky EDR Optimum a Kaspersky Sandbox. Tyto tři produkty nejlépe odpovídaly požadavkům a společně tvoří ucelený a plně integrovaný on-premise bezpečnostní ekosystém, takzvaný Optimum Security Framework.

Základ řešení tvoří bezpečnostní software Kaspersky Endpoint Security, který je doplněn o podpůrnou část EDR Optimum a on-premise prostředí pro analýzu souborů Kaspersky Sandbox. Endpoint agent pro účely EDR na koncových bodech například sleduje činnost spouštěných souborů či skriptů, síťový provoz nebo změny v registrech, vše odesílá do centrálního serveru, kde dochází k plné vizualizaci incidentů. Reakce na incident může být automatická nebo je v případě potřeby možný vstup obsluhy. 

Pokud se na zařízení objeví zcela nový neznámý soubor, agent soubor odešle přímo do Kaspersky Sandboxu. Sandbox pro každou analýzu spustí samostatné virtuální prostředí, kde dojde ke spuštění souboru a sledování činností, které soubor po spuštění vykonává. V případě, že je soubor detekován jako škodlivý, Sandbox informuje centrální server a klienty, dojde k automatickému spuštění skenu na všech stanicích a vytvoření indikátoru kompromitace. To zaručuje, že pokud se škodlivý soubor objeví kdekoliv jinde, bude ihned automaticky odstraněn, bez potřeby zásahu obsluhy a nezávisle na databázi virových definic.

Díky symbióze uvedených řešení získal tým IT specialistů Dopravního podniku nástroj, který jim umožňuje odhalit případný útok ihned v raných fázích. Zároveň zpřístupňuje a vizualizuje podrobné informace o incidentech, které jsou důležité pro kvalifikované rozhodování specialistů DPMO o potřebných reakcích nebo preventivních úkonech.