关于横河电机株式会社
横河电机是一家拥有百年历史的制造公司,年销售额超过 4000 亿日元(2019 财年/合并),主要来自其工厂控制系统。横河电机是一家全球性公司——确切地说,在全球 62 个国家设有工厂和办事处,国际销售额占总销售额的 80%。
数字化战略的推进使其必须改进安全监控
横河电机现已将数字化转型 (DX) 定位为其业务战略的核心支柱。该公司 DX 的主要战略是将其实施控制系统和其他运营技术 (OT) 与信息技术 (IT) 相结合,以便为智能工厂提供支持服务。基于云的人工智能将用于分析从客户工厂设备的物联网传感器收集的大量数据。将创建工厂模拟,并向客户提供包括设备故障预测、基于此类预测的主动部件/设备更换以及能源管理等服务(图 1)。
概括地说,横河电机将充分利用云、容器、数据分析、AI/ML 和工业物联网等技术,旨在提供设备即服务,并将其实施基于“硬件销售+维护服务”的传统商业模式转变为循环模式。
图 1:横河电机设计的使用人工智能的下一代支持服务
横河电机还在公司内部推进 DX。例如,它正在创建来自各种来源的数据湖,并将这些数据用于使数据驱动的管理和系统管理更加高效。
“在实施这项 DX 战略中,增强安全至关重要,”横河电机数字化战略总部副部长盐崎哲夫指出。
例如,由于 OT 传统上用于与互联网和其他外部网络隔绝的封闭环境中,因此很少面临网络攻击的风险,有时防御此类攻击的措施也存在不足。随着 OT 与 IT 相结合以促进向使用云的智能工厂过渡,将迫切需要加强对 OT 和 IT 环境的防御。需要创建机制和系统来防止 IT 环境威胁入侵 OT 环境,并快速检测可能入侵 OT 环境的任何其他威胁。
“为了解决这些问题,我们必须建立 OT 和 IT 安全方面的专业知识。否则,我认为我们不可能可靠地实施我们的内部和外部 DX 战略。横河电机传统上将内部公司系统的安全监控外包给外部 IT 公司,但我们重新审视了这种方法,并决定建立自己的 SOC 并进行自己的安全监控,即使我们与外部 IT 公司合作也是如此,”盐崎先生说。
选择 Elastic Cloud 是因为其开放的开发模型和缺乏产品依赖性
盐崎先生所属的数字化战略总部是从信息系统部门(IT 部门)分离出来的,如今它完全负责实施公司内部的 DX 以及创建机制以支持面向其客户的 DX 战略。
全球各地的办事处也设立了区域IT部门,但最近,日本数字战略总部在转向共享全球IT服务和共享、优化的全球应用程序/基础设施环境方面发挥了核心作用。这些举措与安全产品一样得到了推进,包括公司SOC启动前的准备工作。“从2018年秋季开始,我们着手选择一个共享解决方案,以建立全球SOC基础设施,”盐崎先生说。
为了建立支持我们更大DX战略的全球SOC基础设施,需要有效的解决方案来收集和分析各种日志文件。据我们估计,Elastic Cloud完全满足了这些需求。
在此解决方案选择过程结束时,横河电机选择采用Elastic Cloud,这是一种云解决方案,具有广泛的应用,包括SIEM解决方案、端点安全、威胁狩猎和云监控。
不用说,公司采用Elastic Cloud是因为此云服务满足了建立全球SOC基础设施所需的条件。
其中一项要求是能够收集和分析来自各种设备和系统的日志,而无需依赖特定的安全产品。例如,如前所述,横河电机之前将其安全监控服务外包给外部IT公司,而这些公司使用了入侵检测系统(IDS)。
根据盐崎先生的说法,仅靠IDS监控难以监控当今先进、复杂的网络攻击,并且误报很常见。因此,在构建公司SOC基础设施时,需要一个能够从各种安全设备和系统收集和分析日志的解决方案。
然而,在2018年监控工具选择过程进行时,全球办事处没有使用共享的、标准化的安全产品,每个地点都使用了不同的安全产品。为了能够收集和分析来自这些不同产品的日志,需要一个不依赖于任何特定产品的开源监控解决方案。
考虑到上述要求,横河电机选择Elastic Cloud作为其主要候选者,并从2019年1月开始进行了为期三个月的概念验证(PoC)。该公司的测试涉及从东京总部和新加坡办事处的IDS和身份验证服务器(AD服务器)、DHCP/DNS服务器和其他来源收集日志,然后将这些日志转发到Elastic Cloud,并查看“从日志收集到分析需要多长时间”。根据这些测试的结果,该公司确定使用Elastic Cloud的安全监控系统可以有效地作为全球SOC基础设施运行,并且在2019年4月,横河电机正式采用Elastic Cloud作为其安全解决方案。用于PoC的系统已升级了更多资源,然后按原样部署到生产环境中。然后,该公司开始开发其安全监控基础设施,目标是建立SOC。
集中监控全球15个地点的30,000台PC、关键服务器和网络
横河电机在使用Elastic Cloud开发SOC基础设施时采取的第一步是聘用熟悉Elastic的工程师。具体来说,该公司通过其位于印度班加罗尔的工程中心寻找Elastic工程师,并招聘了一些负责建立SOC基础设施的人员。
为了提升工程师在此过程中的技能,横河电机利用了Elastic关于Elastic Common Scheme (ECS)定义和Logstash服务器日志过滤配置的培训和咨询服务。
“在我们的案例中,我们从各种不同的安全产品中收集日志,因此,如果这些通用方案没有预先定义,我们就无法提高搜索速度。因此,让我们的工程师学习ECS非常重要,而且这种策略似乎非常有效,”盐崎先生说。
横河电机继续构建SOC基础设施和数据分析系统,并在2019财年启动了主要工厂和办事处(日本、欧洲、北美、新加坡、中东和印度)的安全监控。与此同时,它还专注于改进其监控和检测应用程序。这些举措将Elastic Cloud与威胁情报和IOC(入侵指标:网络攻击造成安全违规的指标和证据)关联起来,以提高威胁监控和检测能力的准确性。
此外,在2020年,横河电机将其监控工作扩展到中国、俄罗斯、南美洲、台湾、菲律宾、印度尼西亚和其他地点。
这导致了对全球15个地点的PC(防病毒软件和EDR)、关键服务器(AD服务器、DHCP/DNS服务器等)、IDS和Microsoft Azure/AWS Web应用防火墙(WAF)的监控覆盖。从这些设备和系统收集的日志和事件数据也存储在Elastic Cloud托管服务环境中。由于这些数据实时分析,因此此安全监控框架每天都会预测网络攻击并检测安全违规(图2)。
图2:横河电机使用Elastic Security的SOC基础设施概念图
在监控的设备和系统中,仅PC在全球范围内就约有30,000台,每天收集500万到600万条事件数据,总计250-300 GB。这构成了来自各种设备的安全日志的真正安全数据湖。
结合Elastic SIEM和机器学习开发高级检测程序
如上所述,横河电机使用Elastic Cloud建立了其全球SOC基础设施,并随着时间的推移稳步扩展了其监控范围。回顾这些举措,盐崎先生总结了实施Elastic Cloud的好处如下。
“实施Elastic Cloud的最大好处是我们能够可视化各种不同的日志并实时分析它们。此外,采用Elastic Cloud服务使我们能够更快地建立我们的全球SOC基础设施。这对我们公司来说是另一个非常有意义的好处。”
未来,横河电机计划利用Elastic Cloud加强其安全监控运营。它已经采用了Elastic Cloud的SIEM服务,开发了一个包含机器学习的高级检测程序,并正在推广使用MITRE ATT&CK(对抗战术、技术和通用知识:一个按战术、技术和方法对漏洞和攻击进行分类的知识库)。
此外,横河电机将其SOC基础设施与IT管理工具(ITSM工具)ServiceNow关联起来,并已建立并开始使用机制,将注释和解决方案方法添加到SOC生成的事件警报中,以及自动向相关人员发送通知。
此外,在建立此SOC基础设施过程中开发的Elastic安全监控专业知识也正在与横河电机的运营部门共享,这些部门为客户提供安全监控服务,以提高这些服务的质量。
Elastic Cloud今天继续支持横河电机的DX战略。
