Texas A&M University System protege estudantes, equipes de resposta a emergências e grandes instituições de pesquisa com o Elastic Security

Defender os sistemas de TI já é difícil quando ocorrem milhares de ataques cibernéticos em todo o mundo todos os dias. É ainda mais desafiador para uma organização pública com dezenas de parceiros, dezenas de milhares de endpoints e bilhões de eventos de telemetria todos os meses. Esse é o desafio enfrentado pela equipe de operações de segurança cibernética do Texas A&M University System, uma instituição pública de pesquisa com concessão de terras e com o segundo maior corpo discente dos EUA.

Além de proteger 11 universidades que compõem o A&M System, a equipe de segurança cibernética precisa defender oito agências estaduais. Isso inclui o Texas Division of Emergency Management e o Texas A&M Forest Service. O setor de pesquisa também depende das defesas cibernéticas do A&M System, pois ele abrange alguns dos principais centros mundiais de inovação em engenharia.

Braxton Williams, analista de segurança dos gabinetes do Texas A&M University System, diz: “Nossa missão é proteger os dados de todos os nossos membros, manter alta disponibilidade para serviços de resposta a emergências e garantir que a pesquisa para todas as nossas partes interessadas e parceiros federais seja entregue sem comprometimentos.”

O A&M System precisa conseguir tudo isso com um orçamento apertado, e sua posição no centro de uma rede internacional de pesquisa o coloca na linha de fogo de agentes e hackers patrocinados pelo Estado. “Temos milhares de estudantes e usuários, todos com seus próprios dispositivos. É uma enorme superfície de ameaça para ataques de ransomware e phishing que ameaçam interromper operações ou praticar extorsão”, diz Williams.

Os analistas de segurança desempenham um papel crítico na defesa do A&M System. No passado, suas habilidades eram prejudicadas pela necessidade de obter dados de diversos produtos de segurança baseados em diferentes linguagens de consulta. Muitas horas aumentavam a pressão sobre a equipe enquanto esta se reunia e compartilhava informações com seus colegas.

Ao buscar uma solução de detecção e resposta de endpoint (EDR) que abordasse esses problemas, a A&M System selecionou o Elastic Security for Endpoint. “Em vez de vários produtos e portais de segurança, agora temos uma única interface para todos os nossos analistas de segurança. Isso lhes dá todas as ferramentas necessárias para investigar e corrigir incidentes de segurança”, diz Williams.

A equipe de segurança cibernética agora implanta o Elastic Security automaticamente em todos os dispositivos de suas universidades, agências, equipes de resposta a emergências e organizações de pesquisa. “Temos 30 dias de dados de 25 mil endpoints, incluindo telemetria de dispositivos, dados de phishing e dados de inteligência de ameaças. Com a Elastic, tudo o que precisamos está ao alcance de apenas uma consulta em uma linguagem comum com um único esquema.”

O Elastic Security diminui muito o volume de documentação criado durante fluxos de trabalho de segurança e reduz detecções duplicadas e falsos positivos. “Ao adicionar uma camada de automação ao nosso processo de documentação, economizamos cerca de 100 horas de trabalho de analistas por mês. Podemos nos concentrar na entrega de resultados, o que deixa todo mundo mais empenhado”, diz Williams.

Para ilustrar esse ponto, Williams compara dois ataques quase idênticos do mesmo adversário, que ocorreram antes e depois da implantação do Elastic Security. O primeiro ataque conseguiu enviar emails de phishing usando retransmissões internas de uma universidade. Quando a violação foi detectada após vários meses, foram necessárias mais duas semanas para investigar os computadores comprometidos e mitigar o ataque.

Após a implantação do Elastic Security, dois anos depois, o mesmo adversário tentou uma campanha semelhante. “Nós o desligamos completamente e mitigamos o problema em algumas horas, representando uma aceleração de 11.000% em comparação com o tempo de resposta anterior”, diz Williams. “Com os recursos combinados de endpoint e SIEM, o Elastic Security nos fornece uma solução única baseada em inteligência, que agiliza ainda mais nossas operações de segurança”, diz Williams.

Ele também dá muito crédito à equipe de suporte da Elastic, cuja experiência permitiu que o A&M System expandisse seu SIEM rapidamente. “Sempre que conversamos com um engenheiro da Elastic, parece que falamos a mesma língua, o que significa que podemos consertar as coisas durante uma breve conversa, em vez de ter de passar por um processo de escalação prolongado.”

O preço também é uma vantagem, especialmente no setor governamental, onde se espera que as universidades administrem os orçamentos com sabedoria. Em vez da cobrança por endpoint, o A&M System paga pela capacidade dos recursos. “Esperamos que o número dos nossos endpoints aumente potencialmente para 85 mil nos próximos anos”, diz Williams. “O framework de preços consistente e transparente da Elastic nos ajuda a planejar com mais certeza.”

Agora, Williams está voltando sua atenção para a última onda de IA e para a tecnologia de machine learning da Elastic. Isso inclui detecção baseada em anomalia que pode potencialmente descobrir ataques novos ou desconhecidos, mesmo que não tenham uma assinatura. Adicionar recursos e lançamentos inovadores também dá a Williams confiança na defesa contínua do A&M System. “A Elastic sempre esteve na vanguarda da pesquisa e implantação, seja em detecções prontas para uso ou no acréscimo de novos recursos que abordam ameaças emergentes de segurança cibernética”, diz ele.

Acima de tudo, o Elastic Security permite que a equipe de operações de segurança cibernética do A&M System defenda os ativos contra uma infinidade de ameaças. “As instituições e agências do A&M System contam com patrocinadores privados e federais que nos concedem um número significativo de subsídios. A Elastic oferece os níveis de segurança necessários para viabilizar parcerias com essas importantes organizações e dar suporte à pesquisa.”