安全
政府

利用 Elastic 猎捕数字威胁

欧洲警方如何通过 Elastic 猎捕数字威胁

几年前,这个拥有 22,000 名警官和 1,000 名 IT 人员的欧洲国家警察机构开始了转型之旅,其中包括整合官僚机构、现代化警务设备以及对 IT 基础架构进行数字化转型。

该数字化转型项目的一个关键要素是确保新的现代化企业的安全,其中包括约 35,000 台联网计算机和 250 个 IT 系统。现代化项目的其他内容还包括为警察的智能手机提供新应用商店、带摄像头的新型无人机、升级后的指挥中心以及与大使馆连接的专用电信设备。

“所有这些东西都需要安全保障,并且需要每天、每晚、全年无休地运行。”该机构的安全运营中心经理说道。

内部和外部威胁态势

警察部门的威胁态势与大多数企业面临的威胁态势相似。这家欧洲警察机构表示,它正在利用 Elastic 来防御:

  • 外部人员为窃取数据而发起的有针对性的网络攻击
  • 想要破坏数据并阻止警察基础设施运行的外部行为者
  • 想要窃取信息、破坏数据或阻止警察基础设施运行的恶意内部人员

作为应对措施,该机构采用了一种依赖 Elastic Security 的安全策略来预防、检测和应对这些威胁。

“除非所有这三个部分协同工作,否则我们将无法达到安全级别和所需的安全级别。”该机构的高级网络安全专家表示。

利用机器学习增强威胁猎捕

为了提高可见性、缩短从检测到响应的时间并提高威胁捕猎能力,该机构建立了一个带有负载平衡和消息队列层的 Elasticsearch 集群。现在,他们能够搜索和可视化原始日志数据以猎取威胁,建立高级检测规则,并应用机器学习来改进和加速异常检测。总体而言,该机构从相关安全数据流中接收每秒事件 (EPS) 的能力提高了十倍。

该部门的 Elastic 之旅始于 2019 年,当时他们测试了 Elastic 的开源版本,以记录端点数据。一年后,他们转向付费企业订阅,并开始将数据源迁移到 Elastic 的 SIEM,目标是放弃该机构的旧式 SIEM。

“基本上,我们能够比以前的 SIEM 接收多 10 倍的数据。我们在操作系统层面上拥有完全不同且大大提高的可视性。我们正在从 35,000 个终端和网络传感器收集日志记录,”该机构的高级网络安全专家说。“我们谈论的是数十亿条日志记录。我们现在已经掌握了检测异常情况所需的所有数据。”