安全
政府

利用 Elastic 搜索数字威胁

欧洲警方如何利用 Elastic 搜索数字威胁

几年前,这个拥有 22,000 名警官和 1,000 名 IT 人员的欧洲国家警察机构开始了转型之旅,其中包括精简官僚机构、实现警用设备现代化以及对其 IT 基础设施进行数字化转型。

该数字化转型项目的关键要素是保护新的现代化企业,该企业包含约 35,000 台联网计算机和 250 个 IT 系统。现代化项目的其他要素包括为警官的智能手机提供新的应用程序商店、配备摄像头的新无人机、升级的指挥中心以及与大使馆联系的专用电信。

“所有这些都需要安全,并且需要每天、每晚、全年工作,”该机构的安全运营中心经理说。

内部和外部威胁态势

警察部门面临的威胁态势与大多数企业面临的威胁态势相似。这家欧洲警察机构表示,它正在利用 Elastic 来防御以下威胁:

  • 来自想要窃取数据的外部行动者的有针对性的网络攻击
  • 想要破坏数据并阻止警察基础设施运行的外部行动者
  • 想要窃取信息、破坏数据或阻止警察基础设施运行的恶意内部人员

为应对这些威胁,该机构采取了一项依赖于 Elastic Security 的安全策略,以预防、检测和响应这些威胁。

“除非所有这三个组件协同工作,否则我们不会达到安全级别,即所需的安全级别,”该机构的高级网络安全专家说。

通过机器学习增强威胁搜寻

为了提高可见性、缩短从检测到响应的时间并提高威胁搜寻能力,该机构构建了一个具有负载平衡和消息队列层的 Elasticsearch 集群。他们现在能够搜索和可视化原始日志数据以进行威胁搜寻、构建高级检测规则并将机器学习应用于改进和加快异常检测。总体而言,该机构接收来自相关安全数据流的每秒事件 (EPS) 的能力提高了十倍。

该部门的 Elastic 之旅始于 2019 年,当时他们测试了 Elastic 的开源版本以记录端点数据。一年后,他们转向付费的 企业订阅,并开始将数据源迁移到 Elastic 的 SIEM,目标是放弃该机构的旧版 SIEM。

“基本上,我们能够接收的数据量是之前 SIEM 的 10 倍。我们在操作系统级别上的可见性完全不同,并且得到了很大的改进。我们正在从我们的 35,000 个端点和网络传感器收集日志记录,”该机构的高级网络安全专家说。“我们正在讨论数十亿条日志记录。我们现在可以随时掌握检测异常所需的所有数据。”