Das Management von IT verändert sich Ein intelligenter IT Betrieb mit Nexthink

Transkript

1 Das Management von IT verändert sich Ein intelligenter IT Betrieb mit Nexthink

2 Referent: Ralf Jan Schäfer Senior Presales Engineer Nexthink S.A. since years experience in Service Management, Availability and Automation Living in Cologne, Germany

3 Wer sind wir? Ein schweizer Unternehmen mit Sitz in Lausanne Gegründet 2004, 200 Mitarbeiter, 700+ Kunden, 100+ in DE Vertreten in der Schweiz, Spanien, Frankreich, Benelux, UK, Italien, Deutschland, Middle East, Indien und den USA

4 Das machen wir! Wir erheben permanent Daten auf dem Client JEDE Execution JEDE Connection Kritische Ereignisse (Sicherheits-) Einstellungen www Von ALLEN Clients, permanent

5 Wir lieben Analogien z.b. zum Erklären, warum Nexthink Sie intelligenter macht

6

7 Analogie: Straßennetz Aus m: Deutschland hat ein perfektes Straßennetz!

8 Analogie: Straßennetz Aus m: Deutschland hat ein perfektes Straßennetz! Aus 3.000m: Das Ruhrgebiet bei so vielen Verkehrsverbindungen kann doch nichts schief gehen! So sieht es das Soll-Konzept vor

9 Analogie: Straßennetz Aus m: Deutschland hat ein perfektes Straßennetz! Aus 3.000m: Das Ruhrgebiet bei so vielen Verkehrsverbindungen kann doch nichts schief gehen! Aus 500m: Uppss Staus und Sperrungen rund um Köln! Und woher kommen heute die Daten für solche Informationen? Von den Verursachern selbst in Echtzeit!

10 Der intelligente IT Betrieb Und wie man tägliche Herausforderungen mit Nexthink meistert

11 Erfolgreiches Change Management Problem: Ende 2014 sorgte ein Microsoft Patch für zahlreiche Abstürze des Internet Explorers beim Anwender Herausforderung: Objektive Daten neben subjektivem Test Gruppen Feedback Lösung: Umsetzung eines 3 Phasen Modells mit Unterstützung von Nexthink

12 Umsetzung eines 3 Phasen Modells 1 Tag 2-3 Tage Lab Test User Testgroup Globaler Rollout

13 Umsetzung eines 3 Phasen Modells 1 Tag 2-3 Tage Lab Test User Testgroup Globaler Rollout Test und Validierung in allen 3 Stufen mit

14

15 Analyse einer Cryptolocker Attacke

16 Was ist Cryptocker? Cryptolocker ist eine sogenannte Ransomware (Erpressung) Nutzt Sicherheitslücken in veralteter oder nicht gepatchter Software aus Verschlüsselt Netzlaufwerke und verlangt Lösegeld zur Entschlüsselung

17 Um 08:05:45 taucht eine Datei f6b.tmp auf dem Ursprungsrechner auf - diese Datei wurde auf keinen weiteren PCs gefunden

18 Laut einer Sandbox Analyse Webseite gehört die gefundene Datei zur Cryptolocker Variante Tesla Crypt und baut eine Verbindung zu 3 Domains auf dies konnte mit Nexthink bestätigt werden

19 Laut einer Sandbox Analyse Webseite gehört die gefundene Datei zur Cryptolocker Variante Tesla Crypt und baut eine Verbindung zu 3 Domains auf dies konnte mit Nexthink bestätigt werden

20 In der Zeit von 9:30 bis 9:49 wurde auf 53 interne Adressen (diverse Server) zugegriffen Die meiste Aktivität war in der Zeit zu dem betroffenen Server zu verzeichnen

21 Der gesamte Vorgang von Infektion zur Verschlüsselung dauerte über 90min Mit Hilfe von Nexthink wurde ein automatischer Alert eingerichtet der alarmiert, wenn Binaries nach Netzlaufwerken (zum verschlüsseln) scannen

22 Nexthink unterstützt zudem den Angriffsvektor zu minimieren Veraltete Software Versionen Fehlende Patches Lücken in der Client Sicherheit Nutzung privilegierter Accounts

23 Wie geht man jetzt also am besten vor?

24 Umsetzung Ein generisches Betriebsmodell mit Nexthink Broker IT Fachbereich 1 IT Fachbereich 2 IT Fachbereich X IT Fachbereich Y Umsetzung Nexthink Installation Grundkonfiguration Erweiterte Konfiguration mit Unterstützung der Fachabteilungen Standorte Server-Kategorien Applikations-Kategorien Erstellung Services Bereitstellung von Dashboards für die Fachbereiche Andere Fachbereiche einbeziehen Kontinuierlicher Prozess Admin

25 Wichtig: individuelle Bereitstellung der Daten Help Desk Help-Desk-Agent sollte seine Maske bei der Erfassung eines Incidents nicht verlassen Problem Management Basis für Analysen sollten objektive Daten von den Clients sein nicht die von Anwendern erstellten Incidents (Beispiel: Internet Explorer Crashes bei einem Kunden) Change / Release Management Vorher-Nachher-Betrachtung Post Implementation Review

26 Wichtig: individuelle Bereitstellung der Daten Asset Management / CMDB Anreicherung durch echte Daten Service Management Wo wird ein Service genutzt? Gibt es Probleme? Security Management Anreicherung von SIEM-Lösungen durch Events (z.b. im Common Event Format) Überprüfung von Compliance-Richtlinien

27 Phase 3: Tool Integration Automation 3 Process Optimization Phase 2: Consumer Workshops Process Integration 2 Operational Usage Phase 1: Standard Analytics Nexthink Library 1 Consume adhoc Standard Information and take action Phase 0: Installation Basis Config. 0 Running System + 1 Week + 1 Week + 1 Week + 1 Week

28 Vielen Dank!