Security
Regierungsbehörden

Elastic nutzen, um digitale Bedrohungen zu jagen

Wie eine europäische Polizeibehörde mit Elastic auf die Jagd nach digitalen Bedrohungen geht

Vor einigen Jahren begann diese europäische nationale Polizeibehörde mit 22.000 Beamt:innen und 1.000 IT-Mitarbeitenden eine Transformationsreise, die die Konsolidierung der Bürokratie, die Modernisierung der Polizeiausrüstung und die digitale Umgestaltung der IT-Infrastruktur umfasste.

Ein Schlüsselelement dieses digitalen Transformationsprojekts war die Sicherung des neuen, modernisierten Unternehmens, das etwa 35.000 vernetzte Computer und 250 IT-Systeme umfasst. Zu den weiteren Elementen des Modernisierungsprojekts gehörten ein neuer App Store für die Smartphones von Polizeibeamten, neue Drohnen mit Kameras, eine verbesserte Kommandozentrale und spezielle Telekommunikation zur Verbindung mit Botschaften.

„All diese Dinge müssen sicher sein, und sie müssen jeden Tag, jede Nacht, das ganze Jahr über funktionieren“, sagt der Leiter des Sicherheitseinsatzzentrums der Agentur.

Die interne, externe Bedrohungslandschaft

Die Bedrohungslage für eine Polizeibehörde ähnelt derjenigen, mit der die meisten Unternehmen konfrontiert sind. Diese europäische Polizeibehörde nutzt Elastic zur Verteidigung gegen:

  • Gezielte Cyberangriffe von externen Akteuren, die Daten stehlen möchten
  • Externe Akteure, die Daten zerstören und verhindern wollen, dass die polizeiliche Infrastruktur funktioniert
  • Böswillige Insider, die Informationen stehlen, Daten sabotieren oder den Betrieb der Polizeiinfrastruktur verhindern wollen

Als Reaktion darauf hat die Behörde eine Sicherheitsstrategie eingeführt, die sich auf Elastic Security stützt, um diese Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren .

„Wir werden das Sicherheitsniveau, das erforderliche Sicherheitsniveau, nicht erreichen, es sei denn, all diese drei Komponenten arbeiten zusammen“, sagt der leitende Cybersicherheitsspezialist der Behörde.

Verbesserung der Bedrohungssuche mit maschinellem Lernen

Um die Sichtbarkeit zu erhöhen, die Zeit von der Erkennung bis zur Reaktion zu verkürzen und die Fähigkeit zur Bedrohungsjagd zu verbessern, baute die Behörde einen Elasticsearch-Cluster mit Lastausgleich und Message-Queueing-Schichten auf. Sie sind jetzt in der Lage, rohe Protokolldaten für die Bedrohungssuche zu durchsuchen und zu visualisieren, erweiterte Erkennungsregeln zu erstellen und maschinelles Lernen anzuwenden, um die Erkennung von Anomalien zu verbessern und zu beschleunigen. Insgesamt hat die Agentur ihre Kapazität zum Empfang von Ereignissen pro Sekunde (EPS) aus relevanten Sicherheitsdatenströmen um das Zehnfache erhöht.

Die Reise der Abteilung mit Elastic begann 2019, als sie die Open-Source-Version von Elastic zur Protokollierung von Endpunktdaten testeten. Ein Jahr später wechselten sie zu einem kostenpflichtigen Enterprise-Abonnement und begannen mit der Migration von Datenquellen zu SIEM von Elastic, mit dem Ziel, das alte SIEM der Agentur zu löschen.

„Im Grunde genommen können wir 10-mal mehr Daten aufnehmen als mit dem vorherigen SIEM. Wir haben eine völlig andere, viel bessere Sicht auf der Ebene des Betriebssystems. Wir sammeln Protokolldatensätze von unseren 35.000 Endpunkten und Netzwerksensoren“, sagt der leitende Cybersicherheitsspezialist der Agentur. „Wir sprechen hier von mehreren Milliarden Log-Datensätzen. Wir haben nun alle Daten zur Hand, die wir brauchen, um Anomalien zu erkennen.“