关于横河电机公司
横河电机是一家跨越一个多世纪的百年制造公司,每年销售额超过 4,000 亿日元(2019 财年/合并销售额),其中主要部分来自于工厂控制系统产品的销售。横河电机是一家全球性公司,在全球 62 个国家或地区设有工厂和办事处,国际销售额占总销售额的 80%。
数字化战略的发展使得改进安全监测势在必行
横河电机现已将数字化转型 (DX) 定位为其业务战略的核心支柱。该公司的主要 DX 战略是将其控制系统和其他运营技术 (OT) 与信息技术 (IT) 相结合,以便为智能工厂提供支持服务。基于云的 AI 将用来分析使用物联网传感器从客户工厂的设备中收集的大量数据。此外,他们还将创建工厂模拟,为客户提供设备故障预测、基于此类预测的主动部件/设备更换,以及能源管理等服务(图 1)。
综上所述,横河电机的 DX 战略就是充分利用云、容器、数据分析、AI/ML 和工业物联网等技术,着力打造“设备即服务”的模式,将基于“硬件销售 + 维护服务”的传统业务模式转变为一种经常性模式。
此外,横河电机也在公司内部推广 DX。例如,该公司正着手创建源自各种来源的数据湖,并将这些数据用于提高数据驱动型管理和系统管理的效率。
横河电机数字战略总部副主任 Tetsuo Shiozaki 指出:“在实施 DX 战略时,加强安全管理是极其重要的。”
例如,由于 OT 传统上是在与互联网和其他外部网络隔绝的封闭环境中使用的,几乎不存在受到网络攻击的风险,因此,有时会出现缺乏针对这类攻击进行防御的情况。随着 OT 与 IT 的结合,以促进向云智能工厂的过渡,加强 OT 和 IT 环境的防御已迫在眉睫。该公司需要创建相关机制和系统来防止针对 IT 环境的威胁入侵 OT 环境,还需要快速检测可能入侵 OT 环境的任何其他威胁。
Shiozaki 先生说:“为了解决这些问题,我们必须掌握 OT 和 IT 安全方面的专业知识。否则,我认为我们不可能可靠地同时实施内部和外部 DX 战略。横河电机一贯将内部公司系统的安全监测外包给外部 IT 公司,但我们重新审视这种做法的利弊后,最终决定建立自己的 SOC,即便我们与外部 IT 公司合作,安全监测也要由自己负责。”
选择 Elastic Cloud 正是因其开放的开发模式和产品依赖性不强这两点
Shiozaki 先生所属的数字化战略总部已经从信息系统部门(IT 部门)剥离出来,现在对内全权负责 DX 战略的实施,对外负责为面向客户的 DX 战略创建支持机制。
此外,该公司在世界各地的办事处也设立了地区 IT 部门,但最近日本的数字化战略总部在转向共享全球 IT 服务和共享优化型全球应用程序/基础架构环境方面发挥了核心作用。这些举措的推进方式与安全产品相同,包括公司 SOC 项目的迅速推进。Shiozaki 先生说:“从 2018 年秋季开始,我们着手选择通过共享解决方案来建立全球 SOC 基础架构。”
我们需要采用有效的解决方案来收集和分析各种日志文件,以建立全球 SOC 基础架构,为我们更大的 DX 战略布局做准备。据我们评估,Elastic Cloud 完全满足这些需求。
到了最终的抉择时刻,横河电机选择采用 Elastic Cloud,这种云解决方案应用范围广泛,包括 SIEM 解决方案、Endpoint Security、威胁猎捕和云监测。
毋庸置疑,该公司采用 Elastic Cloud 正是因为这种云服务能满足建立全球 SOC 基础架构的所有要求。
其中一项要求是,能够收集和分析来自各种设备和系统的日志,而不依赖于特定的安全产品。例如,如前所述,横河电机此前曾将安全监测服务外包给外部 IT 公司,这些公司使用的是入侵检测系统 (IDS)。
Shiozaki 先生表示,仅靠 IDS 监测很难有效地监测当今先进而复杂的网络攻击,误报现象屡屡发生。因此,在构建公司的 SOC 基础架构时,需要一种能够从各种安全设备和系统收集和分析日志的解决方案。
然而,在 2018 年进行监测工具选择时,分布在全球的办事处还没有开始使用共享的标准化安全产品,因此,各个地点使用的安全产品都不一样。为了能够从各种不同的产品中收集和分析日志,我们不仅需要一种免费且开放的监测解决方案,同时还要确保不依赖于任何特定产品。
考虑到上述要求,横河电机选择了 Elastic Cloud 作为其主要候选方案,并从 2019 年 1 月开始进行了为期三个月的概念验证 (POC)。该公司的测试内容包括从日本东京总部和新加坡办事处的 IDS 和身份验证服务器(AD 服务器)、DHCP/DNS 服务器和其他来源收集日志,然后将这些日志转发到 Elastic Cloud,并查看“从日志收集到分析所需的时间”。 基于这些测试的结果,为确保全球 SOC 基础架构有效运行,该公司决定采用 Elastic Cloud 的安全监测系统;2019 年 4 月,横河电机正式采用 Elastic Cloud 作为其安全解决方案。之后,用于 PoC 的系统经过升级,增加了一些额外资源,然后按原样部署到了生产环境中。该公司随后开始开发其安全监测基础架构,以实现建立 SOC 的目标。
集中监测遍布全球 15 个地点的 30,000 台 PC、关键服务器和网络
横河电机通过 Elastic Cloud 开发 SOC 基础架构的第一步就是聘请熟悉 Elastic 的工程师。具体地说,该公司通过其位于印度班加罗尔的工程中心寻求 Elastic 工程师,并聘请了一些负责带头建立 SOC 基础架构的工程师。
为了在这个过程中提升工程师的技能水平,横河电机有效利用了 Elastic 提供的培训和咨询服务,这些服务涉及 Elastic Common Scheme (ECS) 定义和 Logstash 服务器日志筛选配置。
Shiozaki 先生表示:“对我们来说,我们要收集各种不同安全产品中的日志,因此,如果这些通用架构没有预先定义好,我们就无法提高搜索速度。鉴于此,让我们的工程师学习 ECS 就显得十分重要,而且这种策略看来也非常奏效。”
横河电机继续推进 SOC 基础架构和数据分析系统的构建,于 2019 财年在主要工厂和办事处(日本、欧洲、北美、新加坡、中东和印度)启动安全监测。除此之外,还专注于改进其监测和检测应用程序。多措并举,将 Elastic Cloud 与威胁情报和 IOC(入侵指标:网络攻击导致的安全违规指标和证据)联结起来,旨在提高威胁监测和检测能力的精确度。
此外,2020 年,横河电机将监测范围扩大到中国、俄罗斯、南美、台湾、菲律宾、印度尼西亚等国家或地区。
这样一来,监测范围覆盖全球 15 个站点的 PC(防病毒软件和 EDR)、关键服务器(AD 服务器、DHCP/DNS 服务器等)、IDS 和 Microsoft Azure/AWS Web 应用程序防火墙 (WAF)。从这些设备和系统中收集的日志和事件数据也存储在 Elastic Cloud 托管式服务环境中。由于这些数据是实时分析的,因此,该安全监测框架可以预测网络攻击并每天检测安全违规行为(图 2)。
在全球受监测的设备和系统中,仅 PC 就有约 30,000 台,每天从中收集 500 到 600 万个事件,数据总量达 250-300 GB。这就构成了一个真正的安全数据湖,其中包含来自各种设备的安全日志。
开发 Elastic SIEM 与 Machine Learning 相结合的高级检测程序
如上所述,横河电机使用 Elastic Cloud 建立了全球 SOC 基础架构,并随着时间的推移稳步扩大了监测覆盖范围。回顾这些举措,Shiozaki 先生总结了实施 Elastic Cloud 的如下几点益处:
“实施 Elastic Cloud 的最大益处是,我们能够可视化各种不同的日志并实时分析它们。此外,采用 Elastic Cloud 服务后,我们得以更快地建立全球 SOC 基础架构。这对我们公司来说是另一个非常有意义的益处。”
未来,横河电机计划使用 Elastic Cloud 来加强安全监测运营。该公司已经采用了 Elastic Cloud 的 SIEM 服务,开发出融入 Machine Learning 的高级检测程序,并逐步推广使用 MITRE ATT&CK(对抗性策略、技术和公共知识:一个按策略、技术和方法对漏洞和攻击进行分类的知识库)。
此外,横河电机将其 SOC 基础架构与 IT 管理工具(ITSM 工具)ServiceNow 联结起来,建立了为 SOC 生成的事件告警添加评论和解决方法以及自动向相关人员发送通知的机制,且该机制已开始投入使用。
此外,在建立这个 SOC 基础架构过程中积累的 Elastic 安全监测专业知识,还可以与横河电机的运营部门进行共享,方便他们更好地为客户提供安全监测服务,提高服务质量。
时至今日,Elastic Cloud 继续在为横河电机的 DX 战略提供支持。