安全
软件和技术

Proficio 借助 Elastic 安全先进的网络威胁检测和响应工具为全球客户提供保护

SOC(安全运营中心)的效率提高 50%

Proficio 使用 Elastic 安全不仅提升了数据分析师的工作效率,而且还将 SOC 的效率提高了 50%。

威胁检测时间缩短 75%

以前,Proficio 的目标是在 1 小时内检测出重大威胁。现在,在 Elastic 的支持下,平均检测时间不超过 15 分钟,平均响应时间不超过 4 分钟。

实现 60% 的业务增长

Proficio 借助 Elastic 轻松扩展安全基础架构,满足了快速增长的客户需求。

安全托管服务提供商使用 Machine Learning 和自动化功能来筑造先进的网络安全防线,提高效率并为客户提供更大价值

Proficio 成立于 2010 年,是一家屡获殊荣的安全托管服务提供商 (MSSP),为全球客户提供全天候的安全监测与托管检测和响应 (MDR) 功能。该公司以其先进的网络安全服务而著称,为包括医疗保健、金融服务和零售等众多行业在内的数百个组织提供保护。

Proficio 的安全专家团队分布在圣地亚哥、新加坡和巴塞罗那等多个安全运营中心 (SOC),时刻监测安全事件并猎捕有针对性的攻击。公司通过采用这种全天候的运营模式,让 Proficio 及其客户始终能够领先网络犯罪分子一步,有效扼制网络犯罪分子越来越多地利用云基础架构和远程工作网络的漏洞来实施攻击的情况。

持久对抗网络威胁

Proficio 首席执行官兼联合创始人 Brad Taylor 将公司的使命总结为:“在当今这个时代,打击网络犯罪是一场持久战,我们必须打赢每一场战役,必须在入侵或漏洞干扰到客户运营之前,检测到对客户的每一次攻击。”

Taylor 和 Proficio 团队希望尽可能加快检测速度,缩短响应时间,同时提高后台流程的自动化水平。同时,他们也在寻找更加高效的方式来生成所需的数百个安全用例和数据可视化仪表板,以便跟上攻击者使用的最新方法和技术。

Taylor 表示:“我们以前的 SIEM 解决方案很难为多个供应商创建不同用例。另外,该解决方案也不具备高级搜索功能,无法满足在所有客户和 SOC 环境中寻找数据的需求。”

起初,Proficio 团队中只有一部分人开始使用 Elastic 安全来探索比原有 SIEM 环境更加先进的内容与分析功能。Taylor 说道:“后来,团队中越来越多的人开始使用 Elastic。大家对 Elastic 的反响热烈,好评连连,我们随即决定与 Elastic 开始合作,并在业务中进行推广。”

目前 Proficio 采用两种模式来交付托管检测和响应服务。第一种是将 Elastic 安全作为 Proficio 托管的云原生平台提供,配合 SOAR 和 Proficio 的 SOC 使用。Taylor 补充说道:“客户只需接入我们的系统即可,我们会为他们提供所有的技术、人员和流程。”

Proficio 将第二种模式称为“自带 SIEM”。如果客户已在使用 Elastic 安全,Proficio 则可协助他们管理环境和添加内容,并根据需要选择是否利用 Proficio SOC 的支持。

提高威胁可见性

Elastic 安全为 Proficio 带来了多方面的改善,其中一个主要方面就是威胁可见性。Taylor 表示:“有了 Elastic,我们可以引入任何来源的数据,包括 API、Beats、代理和终端。安全设备的部署位置并不重要。另外,我们还可以将业务背景信息、漏洞数据和威胁情报数据考虑在内,帮助首席安全官更好地了解现况并发现问题。”

可见性还取决于从多个来源查询数据的能力。借助 Elastic,Proficio 可以使用多个日志来源,针对多个可疑指标启动多变量威胁检测并创建规则。随后,它可以针对日志来源类型创建用例,并快速应用于所有供应商。

如果您需要为数百个客户的某一特定类别中的多个不同供应商设备构建内容,Elastic 安全要明显优于其他 SIEM。

– Brad Taylor, Proficio 首席执行官兼联合创始人

Elastic 安全还简化了为处理威胁提供支持的大量历史数据的访问。借助 Elastic,Proficio 可将这些数据存放在可搜索的冷存储中,或一小时内即可上线的 Amazon S3 存储桶中。Taylor 说道:“有时可能需要访问 9 个月的日志,在快速访问海量数据方面,Elastic 可谓是游戏规则的颠覆者。”

此外,搜索功能也得到了改进。Proficio 现在可以检查各种大规模的数据集,并更快地获得单个搜索字段的结果。例如,如果检测到某个客户存在漏洞或泄露风险,Proficio 可以搜索其他组织的类似指标并采取必要行动。

有了 Elastic,您可以极速搜索并查看数百个不同客户,真是棒极了!

– Brad Taylor, Proficio 首席执行官兼联合创始人

此外,Proficio 还打造了定制的 Kibana 仪表板,用于显示趋势分析结果、KPI 和其他指标。Taylor 补充道:“因为我们会从众多不同的客户那里收集数据,所以能够向首席安全官展示客户与同行的对比情况。借助 Elastic,我们可以清晰地了解安全管理环境的整体情况。”

使用 Machine Learning 挫败网络攻击

Proficio 已经开始使用 Elastic Machine Learning 功能进一步提升威胁可见性。其中包括了 100 多个 Machine Learning 模型,对现有静态关联规则形成了有效的补充。

Elastic Machine Learning 为我们提供了一种全新动力,可用于发现复杂且有针对性的攻击。在自动异常检测与快速、广泛的搜索加持下,让我们获得了前所未有的可见性。

– Brad Taylor, Proficio 首席执行官兼联合创始人

另外,Elastic 还通过其 ServiceNow 结构化响应引擎与其他 Proficio ITSM(IT 服务管理)平台进行了集成。

我们可以通过 Elastic 与其他 ITSM 平台进行双向集成。一旦检测到威胁,我们不仅可以执行一些编排,而且还能在客户方做出响应。

– Brad Taylor, Proficio 首席执行官兼联合创始人

加快威胁检测速度

为了在保护企业免受网络攻击的防御战中抢占先机,Proficio 将约有 40 个消息源的自有威胁检测平台与 Elastic 进行了合并。Taylor 表示:“这有助于我们明确威胁的性质及其严重性。随后,我们会使用这些信息来确定响应操作及执行的优先顺序。”

最终,该公司的服务速度和效率均有大幅提高。在使用以前的 SIEM 解决方案时,Proficio 的目标是在一小时内检测出重大威胁。现在有了 Elastic,检测时间骤降至 15 分钟以内,平均响应时间不超过 4 分钟。

Elastic 安全帮助我们将平均检测时间缩短了 75%。除了自动告警,还可在 Elastic 中构建运营模型,以便我们快速确定威胁是否处于活跃状态。

– Brad Taylor, Proficio 首席执行官兼联合创始人

同时,Proficio 看到数据分析师的工作效率也有所提升,SOC 整体效率也提高了 50%。此外,借助 Elastic 安全,Proficio 还可以集中管理所有远程连接和代理,这在提高效率和降低成本方面又推进了一步。

迁移到 Elastic 后,我们可以结合新旧解决方案的优势。提高效率不仅对我们的现金流具有积极影响,而且通过为员工提供优异的工具来完成工作,还可以激励他们的积极性。

– Brad Taylor, Proficio 首席执行官兼联合创始人

Elastic 咨询团队在 Proficio 业务发展的过程中发挥了至关重要的作用。Taylor 说道:“无论何时,只要我们需要帮助,Elastic 专家都会迅速给出建议。他们的响应总是迅速、主动,是非常棒的合作伙伴。”

未来,在现有运营和安全工作流基础上,Taylor 和他的团队希望部署能够加快事件修复速度的最新 Elastic SOAR 工具。分析师将能够利用 Elastic 安全的可定制编排功能,或与其他领先的 SOAR 提供商进行一键式集成。

Elastic 安全可以更轻松地让我们的业务脱颖而出,并在多租户环境中为众多行业的数百个客户提供支持。最重要的是,我们可以快速扩展,同时维持目前每年大约 60% 的增速。

– Brad Taylor, Proficio 首席执行官兼联合创始人