加速安全警报解决
荷兰任仕达通过 Elastic 缩短平均解决时间。
提高安全团队生产力
借助 Elastic Security,荷兰任仕达只需两名半全职员工即可进行检测、工程设计和警报分类。
每小时处理 7300 万个事件
荷兰任仕达通过 Elastic 轻松从业务中的数十个安全、云和其他应用程序中摄取大量数据。
荷兰领先的人力资源服务提供商部署 Elastic,以保护其混合、多云环境免受网络攻击
任仕达于 60 多年前在荷兰成立,现已成为全球最大的人力资源服务提供商之一,在 39 个国家/地区拥有 4,800 多家分公司。仅在荷兰,该公司每周就为该国一些最大的品牌,包括 Ahold、KPN、ABN-Amro 和 KLM,安排约 70,000 人工作。
因此,任仕达负责保护客户和企业的个人信息,必须不惜一切代价保护数百万个帐户。安全团队的首要任务是防御可能影响信任任仕达系统的候选人的攻击。针对个人每周付款的网络攻击尤其具有破坏性。荷兰任仕达安全监控技术主管 Stijn Holzhauer 负责荷兰业务的安全运营中心 (SOC)。“对我们系统的成功攻击可能会对那些依赖我们提供临时和永久员工的组织产生严重影响。最重要的是,这可能会阻止数千人领取每周工资,严重影响他们的生活。”
任仕达是世界领先的人才公司,致力于为各种背景的人提供公平的机会
在几秒钟内而不是几小时内获得答案
当 Holzhauer 于 2017 年加入公司时,荷兰任仕达已使用 Elastic 多年,以监控其当时的本地环境中的系统。“我的前辈最初在 2015 年部署了 Elastic,以取代 Splunk,这是一个日志管理和可观测性平台,该平台变得过于昂贵,并且缺乏业务所需的许多功能。”
在担任该职位几个月后,Holzhauer 发现了扩展 Elastic 安全功能并将其用作企业 SOC 的核心技术的潜力。“我们最初使用 Elastic Stack 来自动化任务并保持可用性。然后在 2019 年推出 Elastic Security 时部署了它,并一直使用它来加强我们的安全态势。”
除了其先进的安全功能外,选择 Elastic 的另一个原因是其可扩展性和可观测性功能。“能够快速摄取任何数据源,这一点非常宝贵,尤其是在安全方面,”Holzhauer 说。“这意味着我们在防御系统时不受数据量或多云混合环境架构的限制。”
可观测性和集成
Holzhauer 和他的团队使用 Elastic Observability 来监控自定义构建工具,包括一个简单的安全编排、自动化和响应 (SOAR) 平台。Elastic Observability 还用于多个应用程序,以分析安全访问请求日志,此外还供开发团队用于分析其应用程序。Elastic Observability 中的机器学习用于支持访问日志和其他用户活动中的异常检测。
“通过使用 Elastic APM 监测我们的应用程序,我们可以自动获取跟踪信息,并能够检测 URL 问题,”Holzhauer 说。这些问题包括参数和目录暴力攻击,以及诸如所涉及的 IP 地址和其他技术细节等入侵指标。
Elastic Observability 在任仕达不断发展的安全态势中也发挥着重要作用。该企业使用上下文驱动程序等指标来了解调查时的主机性能。他们还部署了 Elastic Observability 来检测延迟问题和中断,这些问题可能表明 DDoS 攻击。
任仕达还受益于 Elastic 与 ServiceNow 的集成。Holzhauer 说:“一旦我们在 Elastic 中完成调查,如果存在问题,我们会将相关案例推送到 ServiceNow,由事件响应流程处理。”
“如果你身处快速发展的局势中,你需要尽快得到答案。如果我们发现可能存在问题,在几秒或几分钟内弄清真相可能就是一次事故和又一个平常的星期一之间的区别。”
除了加快响应速度外,Elastic Security 还使 Holzhauer 和他的团队在识别和预防威胁时更加积极主动。“如果我们发现问题,即使它不是我的责任,我也可以根据数据解决它。 我可以通过与利益相关者协作来为我们的防御做出贡献。”
提高生产力和协作
Elastic 还支持兰德斯塔德团队之间更紧密的协作。“我们可以从我们遇到的任何来源摄取数据。 例如,开发团队的 APM 和可观测性数据被安全部门用于访问监控,性能指标用于指示业务影响。”
Elastic 还有助于提高 Holzhauer 团队的生产力,该团队由两名半全职员工组成。“借助 Elastic,一个小型团队可以进行检测、工程以及企业级的所有警报分类,”Holzhauer 说。“我们不必花费大量时间来配置 Elastic 功能,我们所需的大部分功能已经存在。 例如,我们部署了近 400 个 Elastic 开箱即用的检测以及 250 个‘自定义’检测。”
Kibana 仪表板是另一个亮点。“借助 Kibana,我们可以通过单一窗口可视化和分析来自多个来源的安全数据。 这意味着我们不必在多个平台之间切换,从而减少甚至消除团队的平台疲劳。”
此外,该团队构建了一个单一的 Kibana Canvas 幻灯片,显示上个月的 KPI,并自动发送给利益相关者,作为报告流程的一部分。
兰德斯塔德荷兰公司与 Elastic 合作,以支持团队之间更紧密的协作
云迁移之旅中的支持
Holzhauer 强调了 Elastic 团队提供的支持,尤其是在兰德斯塔德迁移到 AWS 云期间。“当我们添加冻结存储层时,它对我们的搜索性能产生了意想不到的影响。 我们提出了这个问题,我们的 Elastic 客户成功经理投入挑战,直到我们找到解决方法。”
Elastic 社区也在兰德斯塔德荷兰公司与 Elastic 之间的合作中发挥着至关重要的作用。“Elastic 团队不断发布研究和检测规则,使我们能够领先于恶意行为者。 在 GitHub 和 Slack 等平台上也有一个高度活跃的社区为规则开发做出贡献。 这使我们有信心能够继续保护我们的业务,并跟上不断发展的威胁行为者的步伐。”
特别是,Holzhauer 期待部署诸如 ServiceNow 和 Elastic Agent 之间的双向集成等功能,以提高内部团队的端点可见性。 他还看到了 AI 助手 for Security 的价值,它可以为团队提供关键的警报上下文和深入的安全知识,而无需投资额外的人员。
