SOC 效率提高 50%
Proficio 使用 Elastic Security 将数据分析师的生产力提高,并将其 SOC 的效率提高了 50%。
威胁检测时间缩短 75%
以前,Proficio 的目标是在一小时内检测到关键威胁。现在使用 Elastic,平均检测时间不到 15 分钟,平均响应时间不到 4 分钟。
实现 60% 的业务增长
Proficio 通过使用 Elastic 轻松扩展其安全基础设施,从而满足快速增长的客户需求。
托管安全服务提供商使用机器学习和自动化来提供尖端的网络安全,提高效率并为客户提供更大的价值
Proficio 成立于 2010 年,是一家屡获殊荣的托管安全服务提供商 (MSSP),为全球客户提供全天候安全监控和托管检测与响应 (MDR) 功能。该公司以其先进的网络安全服务而闻名,这些服务可保护包括医疗保健、金融服务和零售在内的许多行业的数百家组织。
Proficio 的安全专家团队在圣地亚哥、新加坡和巴塞罗那的安全运营中心 (SOC) 工作,以监控安全事件并搜寻有针对性的攻击。这种全天候的运营使 Proficio 及其客户能够领先于网络犯罪分子,他们越来越多地将目标锁定在云基础设施和远程工作网络中的漏洞。
与网络威胁的持续战斗
Proficio 的首席执行官兼联合创始人 Brad Taylor 总结了公司的使命:“如今,这是一场与网络犯罪的持续战斗,我们必须每次都赢。我们必须在发生妥协或破坏干扰客户运营之前检测到对我们客户的每一次攻击。”
泰勒和 Proficio 团队希望尽可能加快检测和响应时间,并提高后台流程的自动化程度。他们还在寻找一种更有效的方法来生成数百个安全用例和数据可视化仪表板,以跟上攻击者使用的最新方法和技术。
泰勒说:“使用我们之前的 SIEM 解决方案,很难为多个供应商创建不同的用例。当在所有客户和 SOC 环境中搜索数据时,它也缺乏所需的高级搜索功能。”
Proficio 团队的一些成员正在使用 Elastic Security 来探索比现有 SIEM 环境更高级的内容和分析功能。“Elastic 的使用范围不断扩大。反馈非常积极,因此我们决定与 Elastic 合作并在整个业务中推广它,”泰勒说。
Proficio 现在提供两种模式来交付其托管检测和响应服务。第一种是 Elastic Security 作为 Proficio 托管的云原生平台,结合 SOAR 和 Proficio 的 SOC。“我们的客户只需接入我们的系统,我们就会提供所有技术、人员和流程来为他们服务,”泰勒说。
Proficio 将第二种模式称为“自带 SIEM”。如果客户已经在使用 Elastic Security,Proficio 会帮助他们管理其环境并添加内容,并可以选择引入 Proficio 的 SOC 的支持。
提高威胁可见性
Elastic Security 提高 Proficio 性能的一个关键领域是威胁可见性。“使用 Elastic,我们可以从几乎任何地方引入数据,”泰勒说。“这包括 API、beats、代理和端点。安全设备在哪里并不重要。我们还可以考虑业务上下文、漏洞数据和威胁情报数据,从而增强首席安全官的可见性和发现能力。”
可见性还取决于从多个来源查询数据的能力。Elastic 使 Proficio 能够使用多个日志源跨多个可疑指标创建多变量威胁检测和规则。然后,它可以为日志源类型创建用例,并将其快速应用于所有供应商。
如果需要为特定类别中数百个客户的多个不同供应商设备构建内容,Elastic Security 与其他 SIEM 相比确实很出色。
Elastic Security 还简化了对支持威胁解决的大量历史数据的访问。借助 Elastic,Proficio 可以将这些数据保存在可搜索的冷存储中,或保存在一小时内即可上线的 Amazon S3 存储桶中。“有时可能需要访问九个月的日志,”泰勒说。“Elastic 是快速访问大量数据的变革者。”
搜索能力也得到了提升。Proficio 现在可以检查大型、广泛的数据集,并从单个搜索字段获得更快的结果。例如,如果 Proficio 检测到其某个客户存在漏洞或违规行为,它可以搜索其他组织中的类似指标,并根据需要采取行动。
使用 Elastic,您可以快速构建搜索并非常快速地查找数百个不同的客户,这真是太棒了。
此外,Proficio 创建自定义的 Kibana 仪表板来显示趋势分析、KPI 和其他指标。“由于我们从许多不同的客户那里收集数据,我们可以向首席安全官展示他们与同行的比较情况。Elastic 为我们提供了整个安全管理领域的巨大可见性,”泰勒说。
使用机器学习来帮助阻止网络攻击
Proficio 已开始使用 Elastic 机器学习功能来进一步提高威胁可见性。这包括 100 多个机器学习模型,作为现有静态关联规则的补充。
Elastic 机器学习为我们发现复杂的定向攻击提供了新的动力。自动异常检测与快速、广泛的搜索相结合,为我们提供了以前没有的可见性。
Elastic 还通过其 ServiceNow 结构化响应引擎与其他 Proficio ITSM(IT 服务管理)平台集成。
Elastic 使我们能够与其他 ITSM 平台进行双向集成。如果检测到威胁,我们可以执行一些协调,并在客户方面启用响应。
加快威胁检测
为了在保护企业免受网络攻击的竞争中保持领先地位,Proficio 将其自身的威胁检测平台(大约有 40 个信息源)与 Elastic 相结合。“这有助于我们确定威胁的性质及其严重性。然后,我们使用此信息来确定和优先处理响应操作,”泰勒说。
因此,该公司的服务速度和效率得到了显著提高。使用之前的 SIEM 解决方案,Proficio 的目标是在一小时内检测到关键威胁。使用 Elastic,检测时间不到 15 分钟,平均响应时间不到 4 分钟。
Elastic Security 使我们能够将平均检测时间缩短 75%。除了自动警报之外,能够在 Elastic 中构建运营模型使我们能够快速确定威胁是否处于活动状态。
与此同时,Proficio 的数据分析师工作效率有所提高,其 SOC 的整体效率提高了 50%。Elastic Security 还使 Proficio 能够在中心位置管理其所有远程连接和代理,这进一步有助于提高效率并降低成本。
我们迁移到 Elastic 为我们提供了两全其美的解决方案。效率提高对我们的现金流产生了积极影响,同时也通过为我们的员工提供最好的工具来完成他们的工作而激励了他们。
随着 Proficio 业务的增长,Elastic 咨询团队发挥着至关重要的作用。“每当我们需要帮助时,我们都会很快收到我们需要的 Elastic 专家的回复。响应总是快速而积极。他们是非常好的合作伙伴,”泰勒说。
未来,泰勒和他的团队期待部署最新的 Elastic SOAR 工具,以加快事件补救以及现有的运营和安全工作流程。分析师将能够利用 Elastic Security 中的可定制编排功能,或与其他领先的 SOAR 提供商的一键集成。