ECI 使用 Elastic 的尖端安全解决方案保护其金融服务客户

ECI（前身为 Eze Castle Integration）是全球金融服务组织在托管服务、网络安全和业务转型方面值得信赖的合作伙伴。ECI 总部位于马萨诸塞州波士顿，在美国、欧洲和亚洲设有办事处。

ECI 提供稳定性、安全性和改进的业务绩效，使客户摆脱技术困扰，并使他们能够专注于运营其业务。全球 1,000 多家客户（管理资产超过 3 万亿美元）信赖 ECI。

ECI 增长最快的服务之一是网络安全，客户部署该服务是为了保护其运营免受日益复杂的威胁，如诈骗者、黑客和其他网络犯罪分子的侵害。这些服务通过提供弹性网络安全措施的证明，使客户能够加速和简化法规遵从性。

ECI 基于 Elastic 的安全信息和事件管理 (SIEM) 服务的起源在于该公司自身安全系统的发展。以前，ECI 的不同部门会设计自己的监控和事件跟踪解决方案，以满足法规遵从性要求、进行网络安全调查并帮助工程师排除基础设施问题。

随着时间的推移，这带来了一系列挑战。每个团队都在管理来自各种客户的自己的日志，这导致数据孤岛，这些数据通常以不同的格式存储。然后需要付出额外的努力来检测可疑活动，并且也很难保证日志保留以响应法规要求。

ECI 安全运营总监 Kamyar Kojouri 说：“作为一家托管安全服务提供商 (MSSP) 和一家不断发展的企业，我们需要确保对不断增长的客户群以及要监控的后续基础设施和日志进行有效管理。”

作为回应，一个由熟悉 Elastic 先进的数据搜索、分析、可视化和安全功能的 ECI 工程师团队创建了一个 Elastic 账户，并评估了 Elasticsearch 的潜力。在短短几天内，他们就组装了一个概念验证，其中包括集群、代理部署、日志摄取和仪表板。ECI 团队决定寻求 Elastic 的支持，以构建一个完整的解决方案，并使其能够灵活地为客户产品化。

在经过彻底的咨询阶段后，Elastic 很快就了解了 ECI 的目标。“一位 Elastic 工程师在几天内就来到了我们的办公室，并与团队合作了一整周，以帮助我们配置技术。最令人印象深刻的结果是，我们能够以多快的速度扭转局面，并为我们自己的业务以及客户的业务设计出理想的产品，” Kamyar 说。

除了 Elastic 工程师提供的专业咨询服务外，Kamyar 还将项目的成功归功于在 Elastic Cloud 上的轻松部署，以及在 Elastic Learning 上提供的按需培训课程。因此，ECI 迅速从概念验证过渡到完全运行的 SIEM。

现在，Elastic Cloud 使 ECI 可以轻松扩展并快速增加新客户，在大多数情况下不到两周。如今，其 SIEM 服务每天从 130 个客户那里摄取超过 20 亿个事件，这些客户在各种环境中运行他们的系统，例如 ECI Cloud、Microsoft Azure 以及办公室和数据中心的本地环境。Elastic Security 将这些信息源转化为可操作的“威胁情报”，从而能够检测攻击的来源和目标。

此外，Elastic 受欢迎的可视化工具 Kibana 为警报和通知提供了一个“单一管理平台”，以及诸如事件调查和威胁搜寻之类的关键安全功能。ECI 通过访问预构建的 Kibana 仪表板为其客户提供完全透明度，以检查与其业务软件相关的活动，并跟踪任何异常行为（包括内部攻击）。这种透明度以及其具有竞争力的定价模式是 ECI 的关键差异化因素。

Elastic 还使团队能够快速响应外部威胁，包括重大的黑客事件。

Kamyar 还强调了 Elastic 的跨集群搜索功能的重要性，通过该功能，可以针对一个或多个远程集群运行单个搜索请求。“跨集群搜索对我们的客户来说非常有吸引力。如果客户出于安全或其他战略原因需要，我们可以划分单独的集群。但是，我们的安全运营中心 (SOC) 仍然可以从单个节点对所有集群运行威胁搜寻搜索，”Kamyar 说。

Elastic 支持也在项目的成功中发挥了重要作用。不止一次，Elastic 产品团队主动联系 Kamyar，以建议 ECI 如何利用新的 Elastic 软件版本。

“我们在根据 SOC 团队的基于角色的控制添加排除项时遇到了困难。他们采纳了反馈并立即实施了更改。Elastic 团队知识渊博，而且我们总感觉我们正在获得专注的工程支持，”他说。

为了进一步提升其为客户提供的托管安全服务，ECI 正在考虑部署实时威胁响应技术、用于自动化的机器学习以及将数据摄取到系统中的单一统一方法。XDR（扩展检测和响应）是统一 SIEM、安全分析和端点安全功能的另一个可能的附加功能。