建立内部安全运营中心可将误报率减少 50%,并加快威胁响应速度
Doctolib 使用 Elastic Security 将其安全运营中心转移到内部,以利用高级警报,将误报率降低 50%,并显著缩短威胁响应时间。
Doctolib 将数据保留时间扩展 12 倍,同时降低成本 75%
通过从 OpenSearch 迁移到 Elastic,Doctolib 将数据保留时间从一个月延长到一年,管理的数据量增加了 12 倍,而总成本却减少了四分之三。
缩短事件响应时间和分析师管理时间
Elastic 的机器学习和自动化警报功能使 Doctolib 能够缩短检测、调查和解决事件的平均时间,同时提高整体分析师效率。
Elastic 使 Doctolib 能够优化安全运营并节省成本,而不会牺牲规模
Doctolib 是欧洲领先的电子健康平台,将法国、德国、意大利和荷兰的 9000 多万患者与 40 万医疗保健专业人员联系起来。随着平台的增长,它面临着保护大量敏感数据、遵守严格的医疗保健法规以及为数百万用户维持最佳体验的挑战。此外,外包的安全运营中心还存在误报频繁、响应时间慢和成本高等问题。
该平台的快速扩张,尤其是在 COVID-19 大流行等高压时期,凸显了对更具弹性和可扩展性的安全解决方案的需求。Doctolib 需要一种方法将其安全运营中心转移到内部,减少误报,并改进威胁检测和响应,同时处理不断增长的数据量。
面对这些关键挑战,Doctolib 求助于Elastic Security。其任务是:构建一个强大的安全运营中心,以满足当前的需求并为未来的扩展做好准备。
“Elastic 不仅增强了我们的安全性,还为我们提供了高效扩展和维持高标准的工具。”
增强网络安全:构建内部安全运营中心
面对日益增长的威胁和外包安全运营中心的局限性,Doctolib 认识到需要更好地控制其安全运营。“Elastic 是我们将其安全运营中心转移到内部的关键,”Doctolib 平台安全工程师 Othmane El Massari 说。以前,Doctolib 依赖于基于 OpenSearch 的外包安全运营中心,这导致了诸如频繁误报和响应时间较慢等挑战。
借助 Elastic 的SIEM,该公司能够将这些运营内部化,从而使其能够更精确、更快速地管理其安全性。在将其安全运营中心内部化后,Doctolib 具有类似的警报规则,但警报更相关,这直接减少了误报。“通过使用 Elastic,我们将误报减少了 50%,因此我们的团队可以专注于真正的威胁,”Doctolib 蓝队技术主管 Tanguy Segarra 补充道。
通过全面的 SIEM 解决方案统一安全运营
Elastic Security 成为了 Doctolib 信息安全战略的核心。通过集中管理跨多个数据源(包括 Google Drive、Jira 和内部应用程序)的日志记录、监控和警报,并从 OpenSearch 迁移过来,Doctolib 将其安全运营统一到一个单一、有凝聚力的平台。“过渡到使用 Elastic 的内部 SOC 使我们能够以前所未有的方式控制安全运营,”Segarra 反思道。集成过程很顺利,效果立竿见影——误报减少,对潜在威胁的响应更快、更有效。
扩展可观测性以支持开发团队
除了安全团队之外,Elastic 还改变了 Doctolib 开发人员的工作。“如今,Elastic 在 Doctolib 几乎所有的技术团队中都得到了广泛使用,”Segarra 说。“开发人员现在可以访问他们正在处理的应用程序日志,这在我们之前的解决方案中是无法实现的。这种透明度极大地促进了许多团队的工作,尤其是在调试时。” 凭借 Elastic 的多功能性,Doctolib 可以在多个部门更高效地工作。
在降低成本的同时扩大数据保留规模
随着 Doctolib 的发展,其数据保留需求也在增长。以前,使用 OpenSearch 时,Doctolib 无法经济高效地扩展其数据保留规模,只能保留一个月的数据。Elastic 的可扩展架构使 Doctolib 能够将其数据保留期限从一个月延长到一年,同时管理的数据量增加了 12 倍。
为了应对每天 2TB 的日志量和对更好数据保留的需求,Doctolib 投资了 Elastic 以扩展其运营。虽然他们的总成本翻了一番,但现在他们可以处理的数据量是以前的 12 倍。这意味着每 TB 的成本下降了约 83%,这比他们使用 OpenSearch 获得相同解决方案要高效得多,成本效益也更高。“我们在数据保留策略方面取得了重大改进,从一个月延长到一年,而没有超出预算,”Langue 解释说。
改进事件管理和分析师绩效
凭借其自动警报和机器学习功能,Elastic 提高了 Doctolib 的安全分析师的绩效。“Elastic 通过减少日常任务和误报,使我们的分析师工作效率更高,因此他们可以将更多的时间用于调查真正的威胁,而不是寻找威胁,”Langue 说。
由于自动化警报和误报减少了 50%,该团队在使用 Elastic 后减少了对平均检测时间 (MTTD) 的关注。这意味着该团队可以将精力集中在高优先级问题上:减少平均调查时间 (MTTI) 和解决 (MTTR) 安全事件的时间。随着工作效率的提高,Doctolib 的安全态势得到了加强,并且可以更主动地管理威胁。
轻松集成和 Elastic 的持续支持
得益于 Elastic 专门的支持团队,在 Doctolib 的 AWS 云环境中部署 Elastic 的解决方案的过程很顺利。从初始设置到持续管理,Elastic 的专业服务团队提供了指导和专业知识,以确保从 OpenSearch 的平稳过渡。
“Elastic 的支持团队帮助我们看到了 Elastic 解决方案在我们环境中的潜力,”El Massari 说。“他们定制了解决方案以满足我们的需求,并确保过渡过程顺利进行。” 成功集成后,Doctolib 可以专注于最重要的事情:提供高质量的医疗保健服务。
用于下一级安全的未来人工智能能力
Doctolib 与 Elastic 的合作在其内部建立 SOC、将误报减少 50%、将数据保留时间延长至一年并提高分析师效率方面发挥了关键作用——同时降低了成本。随着 Doctolib 继续成长为欧洲主要的数字健康平台,Elastic 仍然是其致力于提供一流安全保障的关键盟友。
展望未来,Doctolib 计划加深对 Elastic 的机器学习和 人工智能工具的使用,以改进威胁检测并加强其安全措施。“Elastic 的机器学习已经帮助我们发现了以前可能错过的问题,”El Massari 说。“我们计划更进一步,使用人工智能来识别和阻止威胁,使其在成为问题之前就被解决。”
