日志检测和分析时间从数小时缩短至数分钟,降低 60%
借助 Elastic Security,与之前的 SIEM 解决方案相比,员工可以在更短的时间内查找日志进行取证分析。
总拥有成本降低 40%
在 Elastic Security 上整合 SIEM 和数据日志记录操作可显著降低运行多个平台的成本。
解决安全问题所花费的时间减少 50%
借助 Elastic Security,不同的技术团队可以使用 Kibana 仪表板管理和检测威胁,从而显著减轻安全数据团队的负担。
以色列领先的银行通过部署 Elastic Security 作为其 SIEM 解决方案来加强网络防御
以色列国民银行成立于 1902 年,是以色列领先的银行,拥有 7,000 多名员工和超过 1950 亿美元(美国)的资产。以色列国民银行提供消费者、企业和投资银行服务,同时通过各种创新的在线银行服务引领数字银行解决方案。
鉴于其金融活动的规模和多样性,以色列国民银行的运营会产生大量数据,这些数据必须在不同系统之间流动时保持安全。以色列国民银行网络部门数据负责人 Dudi Levi 总结了这一挑战。“多年来,我们看到银行业更大程度的数字化以及向云等新应用和技术的转变。所有这些创新都需要同样先进的安全系统和解决方案来保护银行和我们的客户。”
Levi 的团队从多环境(云和本地)收集和监控复杂的应用程序和系统日志,以支持其安全运营中心 (SOC) 进行事件监控和事件响应。随着银行基础设施的发展,其之前的日志记录和 SIEM 解决方案难以适应新的情况,包括银行云平台内生成的半结构化数据的增长。
在调查安全事件时识别特定日志非常耗时,在某些情况下,还需要外部支持,这进一步延迟了 SOC 专家的工作。Levi 说:“我们需要一种更好的方法来处理各种数据,同时让我们的内部客户可以灵活地自己处理过滤和分析。”
满足安全团队的需求
Elasticsearch 已经被该银行的几个团队用作收集数据和日志的数据湖。以色列国民银行迁移到许可版本,并在 2019 年在本地实施了其第一个 Elasticsearch 集群。现在,它有一个结构化的数据摄取和分析流程,适用于组织中的每个用例。
该银行在轻松数据摄取方面的经验促使 Levi 在他们有兴趣替换现有 SIEM 时研究 Elastic 的安全解决方案。他说:“当我们探索市场上所有不同的选项时,Elastic Security 是可用的最好的全方位安全工具。” 这也意味着 Levi 的团队可以严重依赖他们现有的 Elastic 专业知识来满足业务需求。
“我们的内部客户对数据收集和易用性有很高的期望。他们不想每天都打电话给我们寻求帮助。这就是 Elastic Security 作为我们组织中的 SIEM 如此成功的原因。”
自首次部署以来,Elastic Security 的使用已在整个组织中扩展。它现在为数十名 SOC 员工和数百名其他用户提供服务,他们在生产和开发环境、应用程序交付以及业务交易监控中利用 Elastic。Levi 说:“Elasticsearch 中的存储还简化了监管合规性和向监管机构提交报告。”
令人兴奋的速度和简化的预防
谈到 Elastic Security 相较于之前 SIEM 解决方案的速度,Levi 表示这种差异令人震惊。过去,分析师需要花费数小时来追踪日志以进行取证分析。而使用 Elastic Security,只需几分钟即可完成。“我们可以在更短的时间内完成更多工作。与之前的解决方案相比,Elastic 的一切都非常直观和快速,” Levi 说道。
除了速度之外,Elastic Security 广泛的检测规则,特别是那些映射到 MITRE ATT&CK 框架的规则,已成为以色列莱米银行网络安全运营的支柱。Elastic 预先打包了数百个检测规则,该银行使用这些规则来防御从 DDoS 和勒索软件到零日攻击的各种威胁。该银行还使用 Elastic 的机器学习规则来防御高级攻击场景。
以色列莱米银行的信息安全专家 Sapir Dagan 强调了 Elastic Security 的自助服务优势。他和他的同事可以使用 Kibana 仪表板作为日志分析、安全事件和威胁检测的数据可视化工具,而无需寻求支持。“我们现在比以前快乐得多,因为我们可以不受干扰地继续工作。Kibana 非常适合安全团队。”
“像任何银行一样,我们拥有一支要求极高的 SOC 团队。如果 Elastic Security 被拿走,我们会大声要求将其归还。它比之前的工具快得多。”
面向未来的智能功能
以色列莱米银行也看到了实施 ES|QL(Elasticsearch 查询语言)的优势,该语言可以查找特定事件、执行统计分析并生成可视化效果。ES|QL 支持各种命令和函数,使用户能够执行各种数据操作,例如过滤、聚合和时间序列分析。“这是一种非常强大的方式来转换和分析存储在 Elasticsearch 中的数据,” Levi 说道。
通过在单个平台上整合数据安全,该银行还获得了更低的总拥有成本 (TCO)。“除了 Elastic Security 的弹性和强大性之外,与其他数据安全解决方案相比,它还为我们节省了资金,” Levi 说道。
随着该银行将其基础设施迁移到 AWS,Levi 预计会将 Elastic 迁移到相同的云环境。他还计划使用 Elastic 可搜索快照和 S3 存储桶来提高该银行的数据可用性和保留期限。此外,还有不断发布的新功能和安全规则。“Elastic Security 将使我们能够始终领先于黑客和其他网络罪犯一步,”他说。“即使无法准确预测威胁将如何演变,我也相信 Elastic 会为我们提供支持,特别是考虑到其路线图上新版本和功能的发布频率。”