유럽 경찰이 Elastic으로 디지털 위협을 추적하는 방법
몇 년 전, 22,000명의 경찰관과 1,000명의 IT 인력으로 구성된 이 유럽 경찰 기관은 관료 조직 통합, 경찰 장비 현대화, IT 인프라의 디지털 전환을 포함한 트랜스포메이션 여정을 시작했습니다.
이 디지털 혁신 프로젝트의 핵심 요소는 약 35,000대의 연결된 컴퓨터와 250개의 IT 시스템을 수반하는 새로운 현대화된 엔터프라이즈를 보호하는 것이었습니다. 현대화 프로젝트의 다른 요소로는 경찰관의 스마트폰을 위한 새로운 앱 스토어, 카메라가 장착된 새로운 드론, 업그레이드된 지휘 센터, 대사관과 연결할 수 있는 특수 통신 등이 있습니다.
이 기관의 보안 운영 센터 관리자는 "이 모든 것은 보안이 유지되어야 하며, 일 년 내내 매일, 매일 밤마다 작동해야 합니다."라고 말합니다.
내부 및 외부 위협 환경
경찰서의 위협 환경은 대부분의 기업이 직면한 것과 유사합니다. 이 유럽 경찰 기관은 Elastic을 활용해 다음과 같은 상황을 방어하고 있다고 밝혔습니다.
- 데이터를 훔치려는 외부 공격자의 표적 사이버 공격
- 데이터를 파괴하고 경찰 인프라의 기능을 방해하려는 외부 행위자
- 정보를 훔치거나, 데이터를 파괴하거나, 경찰 인프라 운영을 막으려는 악의적인 내부자들
이에 따라, 이 기관은 이러한 위협을 예방, 탐지, 대응하기 위해 Elastic Security를 활용하는 보안 전략을 채택했습니다.
“이 세 가지 요소가 모두 함께 작동하지 않으면, 우리는 요구되는 보안 수준에 도달할 수 없습니다.”라고 이 기관의 수석 사이버 보안 전문가가 말합니다.
머신 러닝으로 위협 헌팅 강화
가시성을 높이고, 탐지에서 대응까지의 시간을 줄이며, 위협 탐지 능력을 개선하기 위해, 해당 기관은 로드 밸런싱과 메시지 큐 계층을 갖춘 Elasticsearch 클러스터를 구축했습니다. 위협 헌팅을를위해 원시 로그 데이터를 검색하고 시각화할 수 있으며, 고급 탐지 규칙을 구축하고, 머신 러닝을 적용하여 이상 탐지를 개선하고 가속화할 수 있습니다. 전반적으로 이 기관은 관련 보안 데이터 스트림에서 초당 이벤트 수(EPS)를 수신할 수 있는 용량을 10배 늘렸습니다.
이 부서의 Elastic 여정은 2019년에 엔드포인트 데이터 로깅을 위해 Elastic의 오픈 소스 버전을 테스트하면서 시작되었습니다. 1년 후에는 유료 엔터프라이즈 구독으로 전환했고 기관의 레거시 SIEM을 없애는 것을 목표로 Elastic의 SIEM으로 데이터 소스를 마이그레이션하기 시작했습니다.