Share your experience using Open Systems Endpoint Detection and Response

Our use cases are essentially all the classic defense mechanisms that are used to protect devices, secure emails, and ensure that we don’t pull in anything harmful. We also monitor Internet and Intranet traffic to detect abnormal behavior and address it. This has helped us in many situations where we’ve faced external attacks, which then usually try to go back out. I always say that they try to drill through the wall and get back out, and in that way, we’ve been able to recognize when someone has gained access to our devices. 

We operate in 60 countries with 4,000 to 4,500 employees, of which nearly 2,000 are based in Frankfurt. All of the end devices of our colleagues are under IT security monitoring. The Deep Discovery Inspector is implemented at three global locations: one in Europe, one in Asia, and one in the USA. This allows us to detect any issues early on, and with network segmentation, we can minimize potential damage in case of an incident.

The biggest security concerns in our industry are not really industry-specific but are intrusions. Identity theft is a challenge and then there are issues where people are manipulated into making money transfers to what seem like customer accounts that don’t actually exist. 

Another is the classic attack, where ransomware is used to infiltrate systems and gain access through encryption and similar methods. 

Additionally, we also have the issue of IP protection.

Trend Vision One has significantly improved our company because we can now track and see how many attacks we have. Since we’ve implemented it, we haven’t had any major attacks that have successfully entered the company. So, we know the defense mechanism is working.

In terms of our ability to manage risks, we already had the stances for risk management in place, from our side, from a purely conceptual standpoint. Through a solution like this, we always want to get a more concrete approach for the operational side. We aim to identify and assess risks and then determine the measures we can take to mitigate those risks. That’s where Trend Micro is very helpful.

Trend Vision One has significantly helped reduce our time to detect and respond to threats. 

In terms of whether or not Trend Vision One has helped my organization reduce noise from false positives, it’s always a matter of perspective in terms of whether or not the number of alarms has truly been reduced or if they were false alarms. We rolled out the solution across the company, and as a result, we now monitor more devices and have a more comprehensive view of security. Therefore, the number of alarms and false alarms has certainly increased, because we are now looking at all devices. Previously, we didn’t monitor them, so we didn’t notice them.

We have always seen alarms and false alarms. However, we have incorporated mechanisms to identify where the false alarms are coming from, and we continuously refine the system. Sometimes, activities in the internal IT administrative area trigger alarms that are not actual threats, and we continuously adjust and refine those rules to reduce false alarms. We didn’t have a solution in place before to compare whether or not it has reduced false positives. The mechanisms we have now allow us to assess both alarms and false alarms in detail and, in the case of false alarms, to trace where they come from and implement rules to prevent them from happening again. 

Trend Vision One has definitely reduced my organization's cyber risk. We took a holistic view of all devices, became more aware of IT security risks from the outset, and then integrated all devices into that view. In the incidents we encountered at the beginning, as we increasingly implemented and observed this solution, a clear path was outlined on how to address and resolve these issues.

We implement the sensors globally from the angle that we are, in fact, global and operate worldwide. The importance lies in the fact that we know attacks can happen from anywhere, and therefore we decided to implement this as a standard solution within our company, The Samson Group. The Samson Group itself has 60 legal entities worldwide, and from our side, this is more of a governance requirement, meaning it must be used to protect the entire organization.

We have found the Deep Discovery Inspector that is in place exceptionally valuable. It has consistently helped us identify areas where issues are happening and where there have been small vulnerabilities in the network that could lead to issues. This happens when, at some point, an unauthorized device—one that shouldn’t be in the network—somehow gains access. This is certainly one of Trend Micro's standout features, as it has provided us with insight into what is happening in our network, which has prevented us from facing significant damage.

We have a positive impression of Trend Vision One's ability to provide us with centralized visibility and management across protection layers. The impression is definitely positive for us. That’s also why we decided to extend the contracts. It’s a very mature solution that is well-understood and user-friendly for people working in this field.

Trend Micro helps us consolidate security vendors because we are now establishing this as standard software for the company. We only work with one solution provider, which is part of the consolidation. When selecting the solutions, we carefully considered what was important to us and where issues occurred. For example, we were particularly pleased that the base and system come from a Japanese company, meaning we don’t have to put ourselves in the hands of Russian or American companies to make this happen.

We use the CREM features and from our perspective, it is very helpful because it provides a supportive function. In situations where we notice something, we also have a very direct line to the team.

When it comes to having AI, from a high-level perspective, I don’t really care how it’s done in terms of the solution. It's great if AI is used because we measure based on the results we achieve. It must meet the requirements for performance and speed. Today, AI is the tool of choice to achieve the necessary speed and performance. But it’s not about the fact that AI is involved; it’s about the fact that, at the end of the day, a fast and reliable solution has been created.

We still have devices that are not traditional IT equipment but rather fall under the category of Operational Technology (OT) devices. There is increasingly a blending of the traditional OT world, which requires a specific focus, as OT devices often don't use standard Ethernet protocols and similar technologies. These are areas where I believe more can be done by Trend Vision One. 

Taking it a step further, we also produce items that include IT elements, which are then used by customers. It would be great if there were Trend Micro products that could enhance the security of these devices, either as part of our product or in some other way integrated into our offering. But that's a different approach. At the moment, we use Trend Micro to protect our own company and our internal networks, but expanding this to our customer-facing products is an idea for the future.

We have been using Trend Micro for a long time, since 2020. We started in 2019 and signed our first Trend Vision One contract in 2020.

The stability is very high. We rarely encounter stability issues. When we do have issues, we typically find that they originate from our side, usually because certain information couldn't be provided by the server.

Compared to other companies, we're not huge, but during the rollout and expansion, we found that it scales easily. We haven't encountered any issues with scaling effects or anything like that.

Their technical support is excellent because we continuously see that when an issue arises, direct communication is sought. The ability to act quickly and be in direct communication is very important to us. It's not just about high-level support with the chatbot; rather, when an issue occurs, we have the experts on-site and ready to respond swiftly, which is crucial. In such situations, you need to act quickly without wasting time on what should happen next.

Positive

We have used a lot of products. Over the past few years, we have been consolidating into a single corporation and replacing other solutions with the corporate mandate of Trend Micro. The reason is for efficiency reasons, among others. By using the same solution across the entire company, we can manage and maintain it centrally, ensuring uniform behavior without having to deal with individual solutions for each part of the organization.

I was involved in the setup in terms of managing the role and function, but not from a technical standpoint.

My colleagues reported that it is a very well-designed software. We’ve experienced other solutions where we’ve worked on software for a long time, and it didn’t go as smoothly. I haven’t heard any complaints, so the setup must have been good.

We took a risk-based approach to implement this. We started rolling it out in some large manufacturing companies, where the potential damage in case of an incident would be the greatest. From there, we moved to the smaller legal entities, such as just sales offices or similar, so from large to small.

We have a relatively small team in the global function with three people who worked on it. We also have a packaging team and similar resources when it comes to creating installation scripts for end devices.

In terms of maintenance, we have purchased Trend Vision One as part of a SaaS solution. This includes updates and ongoing support, such as the provision of virus signatures, so we don't have dedicated staff specifically for maintenance. We do have designated contacts around the world dedicated to handling alarms and events. This is an additional responsibility for the IT team members after their training, so I can't give you a precise number of people involved. These activities are integrated into the existing IT staff who manage them alongside their regular tasks.

We have seen a return on investment fundamentally more qualitatively, proportionally, and quantitatively. We haven't done a strict ROI calculation. We know it's in place to counter potential damage, but it's hard to quantify potential damage in an ROI calculation. On the other hand, we had two incidents during the rollout for the global company. Thankfully, we also had cyber security insurance, and the insurance covered the incidents because, through Trend Micro and the implementation of the solution, along with the data it provided, we were able to demonstrate what had happened. Without this, we certainly wouldn’t have received the insurance payout.

Of course, we'd prefer for it to be free. Security has its price. Regarding the prices we've experienced, we consider Trend Micro to be competitive. However, we sometimes wish for a higher discount based on more usage as the company grows.

We looked around at other solutions. When we started evaluating options in 2019, we explored the typical solution portfolios available at the time. We considered several options, and then, based on different factors, we decided on a company operating out of Japan, rather than an extension of an American company. I don't quite remember all the details, but at the time, there was also a Russian solution that was quite popular in the European market, which we decided not to pursue further.

The main differences between these products and Trend Vision One were the functionality and the overall environment. We wanted a truly independent solution. From the perspective of German and European data protection laws, it was a matter of weighing where we could place the most trust and where we would see those principles reflected in the implementation.

My advice would be that one should really take the time to think carefully about what they want and need, and particularly engage in conversations with colleagues to find the right solution. One could say that to perform Deep Discovery Inspector on network traffic, more nodes could be added but at some point, the cost-benefit effect becomes minimal. 

We always felt that Trend Micro provided us with very good advice, suggesting that more than three nodes in a global context weren't necessary. Any additional nodes would only slightly improve performance, making it not worthwhile. It's important to listen to the Trend Micro team and communicate openly. What's key is that you have to think about your scenarios and risks in advance—this is something they can't take off your hands. For example, network segmentation, which isn't part of Trend Micro's offering, is a mechanism we also bring in. It's important to work hand in hand, and there needs to be a lot of dialogue at this stage.

Foreign Language: (German)

Hat die Unternehmenssicherheit signifikant verbessert, da wir nun Angriffe sehr genau nachverfolgen und erkennen können

Was ist unser primärer Anwendungsfall?

Im Wesentlichen alle klassischen Abwehrmechanismen, die zum Schutz von Geräten, zur Sicherung von E-Mails und zur Vermeidung von Schadsoftware verwendet werden. Darüber hinaus überwachen wir Internet- und Intranetverkehr, um abnormales Verhalten zu erkennen und entsprechend zu handeln. Dies hat uns in vielen Situationen geholfen, in denen wir mit externen Angriffen konfrontiert waren, die normalerweise versuchen, erneut auszubrechen. Ich sage immer, dass diese Angriffe versuchen, sich durch die Wand zu bohren und dann wieder auszubrechen. Auf diese Weise konnten wir erkennen, wann jemand Zugang zu unseren Geräten erlangt hat.

Wir sind in 60 Ländern mit 4.000 bis 4.500 Mitarbeitern tätig, von denen fast 2.000 in Frankfurt ansässig sind. Alle Endgeräte unserer Kolleginnen und Kollegen stehen unter IT-Sicherheitsüberwachung. Die Deep Discovery Inspection wird an drei globalen Standorten implementiert: einem in Europa, einem in Asien und einem in den USA. Dies ermöglicht es uns, Probleme frühzeitig zu erkennen und mit Netzwerksegmentierung potenziellen Schaden im Falle eines Vorfalls zu minimieren.

Die größten Sicherheitsbedenken in unserer Branche sind nicht unbedingt branchenspezifisch, sondern beinhalten Angriffe. Identitätsdiebstahl ist eine Herausforderung, ebenso wie Situationen, in denen Personen dazu manipuliert werden, Geldüberweisungen an scheinbare Kundenkonten zu tätigen, die tatsächlich nicht existieren.

Ein weiteres Beispiel ist der klassische Angriff, bei dem Ransomware genutzt wird, um Systeme zu infiltrieren und durch Verschlüsselung und ähnliche Methoden Zugang zu erlangen.

Zudem haben wir auch mit dem Thema IP-Schutz zu kämpfen.

Wie hat es meinem Unternehmen geholfen? Trend Vision One hat die Sicherheit unseres Unternehmens signifikant verbessert, da wir jetzt Angriffe sehr genau nachverfolgen und erkennen können. Seit der Implementierung hatten wir keine größeren erfolgreichen Angriffe mehr. Das zeigt: Die Verteidigungsmechanismen funktionieren.

Hinsichtlich unseres Risikomanagements hatten wir bereits Strategien zur Risikobewältigung aus konzeptioneller Sicht implementiert. Eine Lösung wie diese ermöglicht uns jedoch, einen konkreteren operativen Ansatz zu verfolgen. Ziel ist es, Risiken zu identifizieren, zu bewerten und dann Maßnahmen zu ergreifen, um diese zu mindern. Trend Micro ist dabei äußerst hilfreich.

Trend Vision One hat uns geholfen, die Zeit zur Erkennung und Reaktion auf Bedrohungen erheblich zu reduzieren.

Ob Trend Vision One meinem Unternehmen geholfen hat, den Lärm durch Fehlalarme zu reduzieren, ist eine Frage der Perspektive. Wir haben die Lösung unternehmensweit ausgerollt, wodurch wir jetzt mehr Geräte überwachen und eine umfassendere Sicherheitsübersicht haben. Die Anzahl der Alarme und Fehlalarme ist dadurch gestiegen, da wir nun mehr Geräte einbeziehen, die zuvor nicht überwacht wurden.

Wir haben Mechanismen implementiert, um Fehlalarme zu identifizieren und kontinuierlich das System zu verbessern. Manchmal lösen interne IT Administrationsaktivitäten Alarme aus, die keine Bedrohungen darstellen. Hier passen wir die Regeln kontinuierlich an, um Fehlalarme zu reduzieren.

Trend Vision One hat definitiv das Cyberrisiko in unserem Unternehmen reduziert. Wir haben einen ganzheitlichen Blick auf alle Geräte geworfen, sind uns der IT Sicherheitsrisiken von Anfang an bewusster geworden und haben alle Geräte in diese Übersicht integriert.

Was ist besonders wertvoll?

Die globale Implementierung der Sensoren ist für uns von zentraler Bedeutung, da Angriffe von überall erfolgen können. Daher haben wir entschieden, dies als Standardlösung innerhalb unseres Unternehmens, der Samson Group, zu etablieren.

Die Deep Discovery Inspection ist ein besonders wertvolles Feature, da sie uns regelmäßig dabei hilft, Schwachstellen im Netzwerk zu identifizieren. Insbesondere wenn ein unbefugtes Gerät Zugang zum Netzwerk erlangt, bietet uns Trend Micro Einblicke, die uns vor größeren Schäden bewahren.

Trend Vision One bietet uns eine zentrale Übersicht und Management-Funktion über alle Schutzebenen hinweg. Diese Funktionalität ist reif und benutzerfreundlich, weshalb wir die Verträge verlängert haben. Trend Micro unterstützt uns bei der Konsolidierung von Sicherheitsanbietern, indem wir jetzt nur mit einem Lösungsanbieter arbeiten, der als Standardsoftware im gesamten Unternehmen eingesetzt wird.

Was könnte verbessert werden?

Es gibt weiterhin Geräte, die nicht in die klassische IT-Ausstattung fallen, sondern in den Bereich der Operational Technology (OT). OT-Geräte verwenden oft keine Standard-Ethernet-Protokolle, was spezielle Aufmerksamkeit erfordert. Hier könnte Trend Vision One mehr leisten.

Darüber hinaus wäre es wünschenswert, wenn Trend Micro auch Lösungen anbieten würde, um die Sicherheit der von uns produzierten IT-Produkte zu verbessern, die an Kunden geliefert werden.

Wie lange nutze ich die Lösung?

Wir verwenden Trend Micro bereits seit einiger Zeit, genauer gesagt seit 2020. Angefangen haben wir 2019 und haben unseren ersten Vertrag für Trend Vision One im Jahr 2020 unterzeichnet.

Was denke ich über die Stabilität der Lösung?

Die Stabilität ist sehr hoch. Wir stoßen selten auf Stabilitätsprobleme. Wenn es doch Probleme gibt, stellen wir in der Regel fest, dass sie von unserer Seite kommen, meist weil der Server bestimmte Informationen nicht bereitstellen konnte.

Was denke ich über die Skalierbarkeit der Lösung?

Im Vergleich zu anderen Unternehmen sind wir nicht riesig, aber während der Einführung und Expansion haben wir festgestellt, dass die Lösung leicht skaliert. Wir hatten keine Probleme mit Skalierungseffekten oder Ähnlichem.

Was halte ich von dem Kundenservice und Support?

Der technische Support ist hervorragend, da wir immer wieder sehen, dass bei auftretenden Problemen der direkte Kontakt gesucht wird. Die Fähigkeit, schnell zu handeln und direkt zu kommunizieren, ist für uns sehr wichtig. Es geht nicht nur um Support auf hoher Ebene mit einem Chatbot, sondern darum, dass Experten vor Ort sind und schnell reagieren können, wenn ein Problem auftritt. Das ist entscheidend, denn in solchen Situationen muss man schnell handeln, ohne Zeit zu verlieren.

Wie bewerte ich den Kundenservice und Support bewerten?

Positiv.

Welche Lösung habe ich zuvor genutzt und warum habe ich gewechselt?

Wir haben viele Produkte verwendet. In den letzten Jahren haben wir uns zu einer einheitlichen Unternehmenskultur konsolidiert und andere Lösungen durch die Unternehmensvorgabe von Trend Micro ersetzt. Ein Grund dafür sind Effizienzüberlegungen. Durch die Verwendung derselben Lösung im gesamten Unternehmen können wir sie zentral verwalten und warten, was ein einheitliches Verhalten sicherstellt, ohne dass jede Organisationseinheit eigene Lösungen benötigt.

Wie war der anfängliche Set-Up?

Ich war in Bezug auf die Verwaltung der Rolle und Funktion beteiligt, jedoch nicht aus technischer Sicht.

Meine Kollegen berichteten, dass es sich um eine sehr gut konzipierte Software handelt. Wir haben andere Lösungen erlebt, bei denen die Arbeit mit der Software viel länger gedauert hat und nicht so reibungslos verlief. Ich habe keine Beschwerden gehört, daher muss die Einrichtung gut gewesen sein.

Wir haben einen risikobasierten Ansatz gewählt, um die Implementierung durchzuführen. Wir begannen damit, die Lösung in großen

Fertigungsunternehmen einzuführen, wo der potenzielle Schaden im Falle eines Vorfalls am größten wäre. Von dort aus gingen wir zu kleineren rechtlichen Einheiten über, wie reinen Vertriebsbüros oder Ähnlichem, also von groß nach klein.

Wir haben ein relativ kleines globales Team mit drei Personen, die an der Implementierung gearbeitet haben. Außerdem gibt es ein Verpackungsteam und ähnliche Ressourcen, die Installationsskripte für Endgeräte erstellen.

Wie sieht es mit der Wartung aus?

Wir haben Trend Vision One als Teil einer SaaS-Lösung gekauft. Diese umfasst Updates und laufenden Support, wie die Bereitstellung von Virensignaturen, sodass wir keine dedizierten Mitarbeiter speziell für die Wartung haben. Wir haben jedoch weltweit benannte Ansprechpartner, die für die Bearbeitung von Alarmen und Ereignissen verantwortlich sind. Diese Aufgaben sind eine zusätzliche Verantwortung der IT-Teammitglieder nach deren Schulung. Daher kann ich Ihnen keine genaue Anzahl an Personen nennen, die daran beteiligt sind. Diese Aktivitäten sind in das bestehende IT-Personal integriert, das sie neben seinen regulären Aufgaben verwaltet.

Was war unser ROI?

Wir haben einen Return on Investment im Wesentlichen qualitativ, proportional und quantitativ gesehen. Eine strikte ROI-Berechnung haben wir nicht durchgeführt. Wir wissen, dass die Lösung eingesetzt wird, um potenzielle Schäden zu verhindern, aber es ist schwierig, potenzielle Schäden in einer ROI Berechnung zu quantifizieren. Andererseits hatten wir während der Einführung für das globale Unternehmen zwei Vorfälle. Zum Glück hatten wir auch eine Cyberversicherung, die die Vorfälle abgedeckt hat, weil wir durch Trend Micro und die Implementierung der Lösung sowie die bereitgestellten Daten nachweisen konnten, was passiert war. Ohne dies hätten wir sicherlich keine Versicherungszahlung erhalten.

Was sind meine Erfahrungen mit Preisen, Einrichtungskosten und Lizenzierung?

Natürlich würden wir uns wünschen, dass es kostenlos wäre. Sicherheit hat jedoch ihren Preis. Was die von uns erlebten Preise betrifft, halten wir Trend Micro für wettbewerbsfähig. Manchmal wünschen wir uns jedoch einen höheren Rabatt bei steigender Nutzung, da das Unternehmen wächst.

Welche anderen Lösungen habe ich evaluiert?

Wir haben uns andere Lösungen angesehen. Als wir 2019 mit der Evaluierung begonnen haben, haben wir die typischen Lösungsportfolios geprüft, die zu dieser Zeit verfügbar waren. Wir haben mehrere Optionen in Betracht gezogen und uns dann, basierend auf verschiedenen Faktoren, für ein Unternehmen aus Japan entschieden, anstatt für eine Erweiterung eines amerikanischen Unternehmens. Ich erinnere mich nicht mehr an alle Details, aber damals gab es auch einerussische Lösung, die auf dem europäischen Markt recht beliebt war, die wir jedoch nicht weiter verfolgt haben.

Die Hauptunterschiede zwischen diesen Produkten und Trend Vision One lagen in der Funktionalität und der Gesamtumgebung. Wir wollten eine wirklich unabhängige Lösung. Aus Sicht der deutschen und europäischen Datenschutzgesetze war es eine Frage des Abwägens, wo wir das größte Vertrauen haben können und wo wir diese Prinzipien in der Umsetzung wiedererkennen würden.

Welche weiteren Ratschläge habe ich?

Mein Rat wäre, sich wirklich Zeit zu nehmen, um sorgfältig zu überlegen, was man will und braucht, und sich insbesondere mit Kollegen auszutauschen, um die richtige Lösung zu finden. Man könnte sagen, dass man zur Durchführung einer Deep Discovery Inspection auf Netzwerkverkehr mehr Knoten hinzufügen könnte, aber irgendwann wird der Kosten-Nutzen-Effekt minimal.

Wir hatten immer das Gefühl, dass uns Trend Micro sehr gut beraten hat und uns empfahl, dass mehr als drei Knoten im globalen Kontext nicht notwendig wären. Zusätzliche Knoten würden die Leistung nur geringfügig verbessern, was sich nicht lohnen würde. Es ist wichtig, auf das Team von Trend Micro zu hören und offen zu kommunizieren. Entscheidend ist, dass man seine Szenarien und Risiken im Voraus durchdenkt – das können sie einem nicht abnehmen. Zum Beispiel ist die Netzwerksegmentierung, die nicht Teil des Angebots von Trend Micro ist, ein Mechanismus, den wir ebenfalls einsetzen. Es ist wichtig, Hand in Hand zu arbeiten, und es muss in dieser Phase viel Dialog geben.

Welches Bereitstellungsmodell nutzen Sie für diese Lösung?

Hybrid-Cloud

Cloud oder Hybrid Cloud: Welcher Cloud-Anbieter wird genutzt? Amazon Web Services (AWS)

We use FireEye, Microsoft Defender, and Trend Micro for our endpoint solutions. Trend Micro.

We implemented Trend Vision One because we have many production servers and wanted to secure all endpoints.

We are planning to move our XDR to the cloud, but all of our production servers are currently on-premises. 

Trend Vision One's ability to cover all our servers is important because we can detect and quarantine any vulnerabilities as well as block and isolate third-party applications from being installed on our servers.

The centralized visibility empowers us to monitor and manage all our servers from a single console. This includes generating reports, deploying security updates, and identifying offline or outdated servers.

The centralized visibility and management across protection layers have helped increase our efficiency. We receive alerts and make changes all from one place.

Trend Vision One helps us protect our servers, specifically our older servers that are not supported by Microsoft.

It has reduced our time to detect by 50 percent.

Trend Micro XDR has reduced the time spent on false positive alerts by up to 40 percent.

The zero-day vulnerability is valuable. As end users, we may not be aware of exploitations and Trend Micro makes suggestions to update to protect our endpoints from attack.

The automation capabilities on-premises could be improved, as we currently have to manually activate servers and push policies.

I would like the uninstall process of agents to require two-step verification.

I have been using Trend Vision One for ten months.

Trend Vision One is stable.

Trend Vision One is scalable.

The technical support is good but we sometimes face delays because they will only respond to our partner who then relays the information to us.

Positive

The migration from on-premises to the cloud allows us to access the cloud and on-premise servers from the cloud. The migration is not complicated but some rule-based ports require a lot of approvals and assistance from our network team.

The migration can be done in a few hours if all the ports are available.

Two people are required for the migration.

We used a third-party service from JVS for the migration.

I would rate Trend Vision One a nine out of ten.

For the on-premises deployment, maintenance is required because we have to manually check the connectivity of the agents. One person is required for the maintenance.

I recommend Trend Vision One, especially for older servers that are not supported by some other endpoint solutions.