欧州の警察がElasticでデジタル脅威を追う方法
22,000人の警官と1,000人のIT担当者を擁するこのヨーロッパの国家警察機関は、数年前、官僚組織の統合、警察設備の近代化、ITインフラストラクチャのデジタル変革などの変革の旅を始めました。
そのデジタルトランスフォーメーションプロジェクトの重要な要素は、約35,000台の接続されたコンピューターと250のITシステムを擁する、この新しい近代化された組織を保護することでした。近代化プロジェクトのその他の要素には、警察官のスマートフォン用の新しいアプリストア、カメラ付きの新しいドローン、アップグレードされたコマンドセンター、大使館に接続するための専用通信などがあります。
「これらはすべて安全である必要があり、昼も夜も一年中機能する必要があります」と、政府機関のセキュリティオペレーションセンターマネージャーは言います。
内部および外部の脅威の状況
警察署が直面する脅威の状況は、ほとんどの企業が直面している脅威の状況と似ています。この欧州警察機関は、Elasticを活用して以下の脅威を防御していると述べています。
- データを盗もうとする外部の攻撃者による標的型サイバー攻撃
- データを破壊し、警察インフラの機能を妨害しようとする外部の勢力
- 情報を盗んだり、データを破壊したり、警察インフラの運用を妨害しようとする悪意のある内部者
これに対応して、同機関は、これらの脅威を防御、検出、対応するために、Elastic Securityが重要な役割を果たすセキュリティ戦略を採用しています。
「これら3つの要素が連携して機能しない限り、セキュリティレベル、つまり必要なセキュリティレベルには到達できません」と同機関の上級サイバーセキュリティ専門家は言います。
機械学習による脅威ハンティングの強化
可視性を高め、検出から対応までの時間を短縮し、脅威ハンティング能力を向上させるために、同機関は負荷分散とメッセージキューイング層を備えたElasticsearchクラスターを構築しました。今では、脅威ハンティングのための生のログデータを検索して視覚化し、高度な検出ルールを構築し、機械学習を適用して異常検出を改善および迅速に行うことができます。全体として、当局は関連するセキュリティデータストリームから1秒あたりのイベント数(EPS)を受信する能力を10倍に増加しました。
この部門のElasticへの取り組みは、2019年にエンドポイントデータを記録するためにElasticのオープンソースバージョンをテストしたときに始まりました。その1年後、有料のエンタープライズサブスクリプションに移行し、ElasticのSIEMへのデータソースの移行を開始し、同機関のレガシーSIEMを廃止することを目標としました。