매월 100시간의 분석 시간 절약
Texas A&M 대학 시스템은 Elastic Security로 문서화 및 기타 보안 프로세스를 자동화하여 매달 100시간 이상의 분석 시간을 절약합니다.
사고 해결 시간을 99% 단축
Elastic Security를 통해 Texas A&M 대학 시스템은 유사한 사고를 해결하는 데 걸리는 시간을 몇 달에서 단 2시간으로 99% 단축했습니다.
추가 보안 기능의 신속한 통합 가능
Elastic Security를 통해 Texas A&M 대학 시스템은 정기적인 릴리즈와 빈번한 기능 업데이트를 제공하는 단일 SIEM 공급업체를 보유하고 있습니다.
텍사스 A&M 대학 시스템은 미국 최대 규모의 고등 교육 시스템 중 하나입니다.
Texas A&M 대학 시스템은 Elastic Security를 배포하여 국가가 후원하는 해커와 사이버 범죄자로부터 학생, 응급 구조대원, 주요 연구 기관을 보호합니다.
전 세계적으로 매일 수천 건의 사이버 공격이 발생하는 상황에서 IT 시스템을 방어하는 것은 결코 쉽지 않습니다. 매달 수십 개의 파트너, 수만 개의 엔드포인트, 수십억 개의 원격 측정 이벤트가 있는 공공 조직의 경우에는 훨씬 더 어렵습니다. 이것이 바로 미국에서 두 번째로 큰 학생 규모를 보유한 공공 토지 부여 연구 기관인 Texas A&M 대학 시스템의 사이버 보안 운영 팀이 직면한 과제입니다.
사이버 보안 팀은 A&M 시스템을 구성하는 11개 대학을 보호할 뿐만 아니라 8개 국가 기관도 보호해야 합니다. 여기에는 텍사스 비상관리국(Texas Division of Emergency Management)과 텍사스 A&M 산림청(Texas A&M Forest Service)이 포함됩니다. 연구 부문 또한 엔지니어링 혁신을 위한 세계 최고의 센터를 포괄하는 A&M 시스템의 사이버 방어에 의존하고 있습니다.
텍사스 A&M 대학 시스템 사무실의 보안 분석가인 Braxton Williams는 "우리의 임무는 모든 구성원의 데이터를 보호하고, 비상 대응 서비스를 위한 고가용성을 유지하며, 모든 이해관계자와 연방 파트너를 위한 연구가 손상 없이 전달되도록 하는 것"이라고 말합니다.
A&M 시스템은 빠듯한 예산으로 이 모든 것을 달성해야 하며, 국제 연구 네트워크의 중심에 있는 A&M 시스템은 국가가 후원하는 행위자와 해커의 최전선에 놓입니다. "우리는 각자의 기기를 갖고 있는 수천 명의 학생과 사용자를 보유하고 있습니다. 이는 운영을 방해하거나 돈을 갈취하겠다고 위협하는 랜섬웨어 및 피싱 공격에 대한 대규모 위협 표면입니다." Williams 보안 분석가는 이렇게 말합니다.
보안 분석가는 A&M 시스템을 방어하는 데 중요한 역할을 합니다. 과거에는 다양한 쿼리 언어를 기반으로 하는 여러 보안 제품에서 데이터를 소싱해야 했기 때문에 이들의 기술이 방해를 받았습니다. 정보를 수집하고 동료들과 공유하는 데 오랜 시간이 걸려 팀에 부담이 가중되었습니다.
이러한 문제를 해결하는 엔드포인트 위협 탐색 및 대응(EDR) 솔루션을 추구하면서 A&M 시스템은 Elastic Security for Endpoint를 선택했습니다. "여러 보안 제품과 포털 대신 이제 우리는 모든 보안 분석가를 위한 하나의 인터페이스를 보유하게 되었습니다. 보안 사고를 조사하고 해결하는 데 필요한 모든 도구를 제공합니다." Williams 보안 분석가는 이렇게 말합니다.
사이버 보안 팀은 이제 대학, 기관, 비상 대응팀, 연구 기관의 모든 기기에 Elastic Security를 자동으로 배포합니다. "우리는 장치 원격 측정, 피싱 데이터, 위협 인텔리전스 데이터를 포함하여 25,000개의 엔드포인트로부터 30일간의 데이터를 보유하고 있습니다. Elastic을 사용하면 우리에게 필요한 모든 것은 단일 스키마를 사용하는 공통 언어로 단 한 번의 쿼리만으로 가능합니다."
"우리는 Elastic Security for Endpoint를 선택했습니다. 그 이유는 단순히 나쁜 일에 대해 경보하는 것이 아니라 이에 대해 신속하게 조치를 취할 수 있도록 지원하기 때문입니다."
텍사스 A&M 시스템은 11개 대학, 종합 건강 과학 센터, 8개 주 기관 및 RELLIS 캠퍼스로 구성된 주 전역 네트워크를 통해 153,000명 이상의 학생을 교육하고 매년 서비스 및 지원 프로그램을 통해 2,300만 명 이상의 추가 교육 연락담당자를 만듭니다.
시간 절약, 번아웃 방지
Elastic Security는 보안 워크플로우 중에 생성되는 문서의 양을 대폭 줄이고 중복 탐지 및 오탐을 줄입니다. "문서화 프로세스에 자동화 계층을 추가함으로써 매달 약 100시간의 분석 시간을 절약하고 있습니다. 우리는 결과를 제공하는 데 집중할 수 있으며 이는 엄청난 사기 진작입니다." Williams 보안 분석가는 이렇게 말합니다.
요점을 설명하기 위해 Williams 보안 분석가는 Elastic Security 배포 전후에 발생한 동일한 공격자로부터 거의 동일한 두 번의 공격을 비교합니다. 첫 번째 공격은 대학 내부 릴레이를 이용해 피싱 메일을 보내는 데 성공했습니다. 몇 달 후에 침해가 탐지되었을 때 침해된 컴퓨터를 조사하고 공격을 완화하는 데 2주가 더 걸렸습니다.
2년 후 Elastic Security를 배포한 후 동일한 공격자가 유사한 캠페인을 시도했습니다. Williams 보안 분석가는 이렇게 말합니다. "우리는 공격을 완전히 막아내고 몇 시간 만에 문제를 완화했습니다. 이는 이전 응답 시간에 비해 11,000% 가속화된 결과입니다. Elastic Security 솔루션에 통합된 엔드포인트와 SIEM 기능을 통해 인텔리전스 기반의 단일 솔루션을 제공하여 보안 운영을 더욱 간소화합니다."
그는 또한 A&M System이 SIEM을 빠르게 확장할 수 있도록 전문 지식을 제공한 Elastic 지원 팀에 많은 공을 돌렸습니다. "Elastic 엔지니어와 대화할 때마다 같은 언어를 사용하는 것 같은 느낌이 듭니다. 즉, 장기간의 에스컬레이션 프로세스가 아닌 짧은 대화를 통해 문제를 해결할 수 있다는 뜻입니다."
가격도 장점이며, 특히 대학이 예산을 현명하게 관리해야 하는 정부 부문에서는 더욱 그렇습니다. A&M 시스템은 엔드포인트당 비용을 청구하는 대신 리소스 용량에 대해 비용을 지불합니다. Williams 보안 분석가는 이렇게 말합니다. "향후 몇 년 안에 엔드포인트 수가 85,000개까지 늘어날 것으로 예상합니다. Elastic의 일관되고 투명한 가격 책정 프레임워크는 우리가 확실하게 계획을 세울 수 있도록 도와줍니다."
이제 Williams 보안 분석가는 Elastic의 AI 및 머신 러닝 기술의 최신 물결에 관심을 돌리고 있습니다. 여기에는 시그니처가 없더라도 새로운 공격이나 알려지지 않은 공격을 잠재적으로 발견할 수 있는 이상 징후 기반 탐지가 포함됩니다. 혁신적인 기능과 릴리즈를 추가함으로써 그는 A&M 시스템의 지속적인 방어에 대한 자신감을 갖게 되었습니다. "Elastic은 즉시 사용 가능한 탐지이든 새로운 사이버 보안 위협을 해결하는 새로운 기능 추가이든 관계없이 항상 연구 및 배포의 최전선에 있었다"고 그는 말합니다.
무엇보다도 Elastic Security를 사용하면 A&M 시스템 사이버 보안 운영 팀이 다양한 위협으로부터 자산을 보호할 수 있습니다. "A&M System의 기관 및 대행사에는 우리에게 상당한 수의 보조금을 수여하는 민간 및 연방 후원자가 있습니다. Elastic은 이러한 유명 조직과의 파트너십을 활성화하고 연구를 지원하는 데 필요한 수준의 보안을 제공합니다."
