关于横河电机公司
横河电机是一家拥有百年历史的制造公司,年销售额超过 4000 亿日元(2019 财年/合并),主要来自其工厂控制系统。横河电机是一家真正的全球性公司,在世界 62 个国家/地区设有工厂和办事处,国际销售额占总销售额的 80%。
数字战略的进步使改进安全监控至关重要
横河电机现在已将数字化转型 (DX) 定位为其业务战略的核心支柱。公司 DX 的主要战略是将控制系统和其他运营技术 (OT) 与信息技术 (IT) 相结合,以便为智能工厂提供支持服务。基于云的 AI 将用于分析从客户工厂设备使用物联网传感器收集的大量数据。将创建工厂模拟,并将向客户提供包括设备故障预测、基于此类预测的主动部件/设备更换和能源管理(图 1)在内的服务。
总结该战略,横河电机将充分利用云、容器、数据分析、AI/ML 和 IIoT 等技术,旨在提供设备即服务,并将其基于“硬件销售 + 维护服务”的传统业务模式转变为循环模式。
图 1:横河电机设计的利用 AI 的下一代支持服务
横河电机也在公司内部推进 DX。例如,它正在创建来自各种来源的数据湖,并利用这些数据来使数据驱动的管理和系统管理更加高效。
“在实施这项 DX 战略时,加强安全至关重要,”横河电机数字战略总部副主任盐崎哲夫指出。
例如,由于 OT 传统上是在与互联网和其他外部网络断开的封闭环境中使用的,因此几乎没有暴露于网络攻击的风险,有时甚至缺乏针对此类攻击的防御措施。随着 OT 与 IT 相结合,以促进向使用云的智能工厂的转型,将强烈需要加强 OT 和 IT 环境的防御。需要创建机制和系统,以防止 IT 环境威胁侵入 OT 环境,并快速检测可能侵入 OT 环境的任何其他威胁。
“为了解决这些问题,我们必须建立 OT 和 IT 安全方面的专业知识。否则,我认为我们将无法可靠地实施我们的内部和外部 DX 战略。横河电机传统上将内部公司系统的安全监控外包给外部 IT 公司,但我们重新审视了这种方法,并决定建立我们自己的 SOC 并进行我们自己的安全监控,即使我们在与外部 IT 公司合作,”盐崎先生说。
选择 Elastic Cloud 的开放开发模式和缺乏产品依赖性
盐崎先生所属的数字战略总部是从信息系统部(IT 部)分离出来的,如今全权负责在公司内部实施 DX 以及创建支持面向公司外部客户的 DX 战略的机制。
虽然在全球各地的办事处也设有区域 IT 部门,但最近,日本的数字战略总部在转向共享全球 IT 服务和共享优化的全球应用程序/基础设施环境方面发挥了核心作用。这些举措的推进方式与安全产品相同,包括在公司 SOC 启动前的准备工作。“从 2018 年秋季开始,我们着手选择一个共享解决方案,以建立全球 SOC 基础设施,”盐崎先生说。
为了建立支持我们更大型的 DX 战略的全球 SOC 基础设施,我们需要有效的解决方案来收集和分析各种日志文件。据我们评估,Elastic Cloud 完全满足了这些需求。
在解决方案选择过程的最后,横河电机选择采用 Elastic Cloud,这是一个具有广泛应用的云解决方案,包括 SIEM 解决方案、端点安全、威胁搜寻和云监控。
毋庸置疑,该公司采用 Elastic Cloud 是因为此云服务满足了建立全球 SOC 基础设施所需的要求。
其中一个要求是能够收集和分析来自各种设备和系统的日志,而不依赖于特定的安全产品。例如,如前所述,横河电机之前将其安全监控服务外包给外部 IT 公司,这些公司使用了入侵检测系统 (IDS)。
据盐崎先生说,仅使用 IDS 监控很难监控当今先进、复杂的网络攻击,而且误报也很常见。因此,在构建公司的 SOC 基础设施时,需要一种能够从各种安全设备和系统收集和分析日志的解决方案。
然而,在 2018 年监控工具选择过程进行时,全球办事处没有使用共享的标准化安全产品,每个地点都使用不同的安全产品。为了能够从如此多样化的产品中收集和分析日志,需要一个不依赖于任何特定产品的开源监控解决方案。
考虑到上述要求,横河电机选择 Elastic Cloud 作为其主要候选方案,并从 2019 年 1 月开始进行了为期三个月的概念验证 (PoC)。该公司的测试包括收集东京总部和新加坡办事处的 IDS 和身份验证服务器(AD 服务器)、DHCP/DNS 服务器和其他来源的日志,然后将这些日志转发到 Elastic Cloud 并查看“从日志收集到分析需要多少时间”。根据这些测试的结果,该公司确定使用 Elastic Cloud 的安全监控系统可以有效地作为全球 SOC 基础设施运行,并且在 2019 年 4 月,横河电机正式采用 Elastic Cloud 作为其安全解决方案。用于 PoC 的系统通过添加额外的资源进行了升级,然后按原样部署到生产环境中。随后,该公司启动了安全监控基础设施的开发,目标是建立 SOC。
集中监控全球 15 个地点的 30,000 台 PC、关键服务器和网络
横河电机在使用 Elastic Cloud 开发其 SOC 基础设施时采取的第一步是聘请熟悉 Elastic 的工程师。具体来说,该公司通过其在印度班加罗尔的工程中心寻求 Elastic 工程师,并聘请了一些在建立 SOC 基础设施方面起主导作用的人员。
为了在此过程中提高其工程师的技能,横河电机利用了 Elastic 关于 Elastic 通用方案 (ECS) 定义和 Logstash 服务器日志过滤配置的培训和咨询服务。
“在我们的案例中,我们正在从各种不同的安全产品收集日志,因此,如果事先没有定义这些通用方案,我们将无法提高搜索速度。因此,让我们的工程师学习 ECS 非常重要,而且看来这个策略非常有效,”盐崎先生说。
横河电机继续构建 SOC 基础设施和数据分析系统,在 2019 财年在主要工厂和办事处(日本、欧洲、北美、新加坡、中东和印度)启动了安全监控。与此同时,它还专注于改进其监控和检测应用程序。这些举措将 Elastic Cloud 与威胁情报和 IOC(入侵指标:由网络攻击引起的安全违规的指标和证据)联系起来,以提高威胁监控和检测能力的精度。
此外,在 2020 年,横河电机将其监控工作扩展到中国、俄罗斯、南美、台湾、菲律宾、印度尼西亚和其他站点。
这使得在全球 15 个站点实现了对 PC(防病毒软件和 EDR)、关键服务器(AD 服务器、DHCP/DNS 服务器等)、IDS 和 Microsoft Azure/AWS Web 应用程序防火墙 (WAF) 的监控覆盖。从这些设备和系统收集的日志和事件数据也存储在 Elastic Cloud 托管服务环境中。由于这些数据是实时分析的,因此该安全监控框架每天都会预测网络攻击并检测安全违规行为(图 2)。
图 2:横河电机使用 Elastic Security 的 SOC 基础设施的概念图
在被监控的设备和系统中,仅 PC 在全球就有大约 30,000 台,每天从中收集 500 万到 600 万条事件数据,总计 250-300 GB。这构成了来自各种设备的安全日志的真正安全数据湖。
开发结合 Elastic SIEM 和机器学习的先进检测程序
如上所述,横河电机使用 Elastic Cloud 设置其全球 SOC 基础设施,并随着时间的推移稳步提高了其监控覆盖范围。回顾这些举措,盐崎先生总结了实施 Elastic Cloud 的好处如下。
“实施 Elastic Cloud 的最大好处是,我们能够可视化我们各种不同的日志并实时分析它们。此外,采用 Elastic Cloud 服务使我们能够更快地建立我们的全球 SOC 基础设施。这对我们公司来说是另一个非常有意义的好处。”
未来,横河电机计划使用 Elastic Cloud 加强其安全监控运营。它已经采用了 Elastic Cloud 的 SIEM 服务,开发了一个包含机器学习的先进检测程序,并正在推广使用 MITRE ATT&CK(对抗性策略、技术和通用知识:一个知识库,其中漏洞和攻击按策略、技术和方法进行分类)。
此外,横河电机将其 SOC 基础设施与 IT 管理工具 (ITSM 工具) ServiceNow 连接起来,并已设置并开始使用一些机制,以便在 SOC 生成的事件警报中添加评论和解决方案方法,以及自动向相关人员发送通知。
此外,在建立此 SOC 基础设施的过程中开发出的 Elastic 安全监控专业知识也正在与横河电机的运营部门共享,这些部门为客户提供安全监控服务,以提高这些服务的质量。
Elastic Cloud 今天继续支持横河电机的 DX 战略。
