Monatliche Einsparungen von 100 Stunden beim Analyseaufwand
The Texas A&M University System spart durch die Automatisierung von Dokumentations- und anderen Sicherheitsprozessen mit Elastic Security jeden Monat über 100 Analystenstunden.
99 % schnellere Problembehebung bei Incidents
The Texas A&M University System konnte mit Elastic Security die Zeit für die Behebung von vergleichbaren Incidents von mehreren Monaten auf gerade einmal zwei Stunden verringern, was einer Reduzierung um 99 Prozent entspricht.
Schnelle Integration zusätzlicher Security-Features
Mit Elastic Security benötigt The Texas A&M University System nur noch einen SIEM-Anbieter, der zudem regelmäßig neue Versionen und Feature-Updates veröffentlicht.
The Texas A&M University System (kurz auch „The A&M System“) setzt Elastic Security ein, um Studierende, medizinische Notdienste und führende Forschungsinstitute vor staatlich unterstützten Hacker:innen and Cyberkriminellen zu schützen.
Jeden Tag kommt es weltweit zu Tausenden von Cyberangriffen und das allein macht das Verteidigen von IT-Systemen schon schwer genug. Noch komplizierter wird es, wenn man eine öffentliche Einrichtung mit Dutzenden von Partnern, Zehntausenden von Endpoints und Milliarden von Telemetrie-Ereignissen jeden Monat ist. Genau vor dieser Herausforderung steht das Cybersecurity Operations-Team bei The Texas A&M University System, einem staatlichen Verbund mehrerer Universitäten und Einrichtungen mit der zweitgrößten Studierendenschaft in den USA.
Das Cybersicherheitsteam ist für 11 Universitäten und 8 Behörden zuständig, darunter die Texas Division of Emergency Management und den Texas A&M Forest Service. Auch der Forschungssektor, zu dem einige der weltweit führenden Zentren für technische Innovationen gehören, verlässt sich beim Schutz vor Cyberbedrohungen auf die Sicherheitsvorkehrungen dieses Teams.
Braxton Williams, Security Analyst bei The Texas A&M University System Offices, erklärt: „Unsere Aufgabe besteht darin, die Daten aller unserer Mitglieder zu schützen, eine hohe Verfügbarkeit für Notfalldienste aufrechtzuerhalten und sicherzustellen, dass alle unsere Stakeholder und Partner auf Bundesebene ohne Unterbrechungen forschen können.“
The A&M System muss all dies mit einem knappen Budget erreichen und seine Position im Herzstück eines internationalen Forschungsnetzwerks macht es zu einem begehrten Ziel staatlich unterstützter Angreifer- und Hackerteams. „Wir haben Tausende Studierende und Nutzer:innen und alle haben eigene Geräte. Das ergibt eine riesige Angriffsfläche für Ransomware- und Phishing-Angriffe, die den Betrieb stören oder zur Erpressung genutzt werden können.“
Eine wichtige Rolle bei der Verteidigung von The A&M System spielen die Security Analysts. Deren Arbeit wurde in der Vergangenheit durch den Umstand behindert, dass sie sich Daten aus mehreren Security-Produkten beschaffen mussten, die alle jeweils mit einer anderen Abfragesprache arbeiteten. Lange Arbeitszeiten verstärkten den Druck auf das Team, denn es musste Informationen sammeln und mit Kolleg:innen austauschen.
Auf der Suche nach einer EDR(Endpoint Detection and Response)-Lösung, die diese Probleme löst, entschied sich The A&M System für Elastic Security for Endpoint. „Statt mehrerer Security-Produkte und Portale haben wir jetzt nur noch eine Benutzeroberfläche für alle unsere Security Analysts, die ihnen alle Tools an die Hand gibt, die sie zum Untersuchen und Bekämpfen von Security-Incidents benötigen“, so Williams.
Das Cybersicherheitsteam stellt jetzt Elastic Security automatisch auf allen Geräten in den von ihm betreuten Universitäten, Behörden, Ersthilfeteams und Forschungseinrichtungen bereit. „Wir können auf Daten aus 30 Tagen und von 25.000 Endpoints zurückgreifen, einschließlich Gerätetelemetrie-, Phishing- und Thread-Intelligence-Daten. Mit Elastic ist alles, was wir brauchen, nur eine Suchanfrage entfernt – in einer gängigen Sprache und mit nur einem Schema.“
„Wir haben uns für Elastic Security for Endpoint entschieden, weil es uns nicht nur warnt, wenn etwas Negatives passiert, sondern uns auch in die Lage versetzt, entsprechend dagegen vorzugehen.“
Zeit sparen, Burnout verhindern
Elastic Security sorgt nicht nur für eine erhebliche Reduzierung des Umfangs der Dokumentation, die während der Security-Workflows erstellt wird, sondern verringert auch Doppelerkennungen und falsch-positive Alerts. „Dadurch, dass wir unserem Dokumentationsprozess eine Automatisierungsschicht hinzufügen konnten, sparen wir jeden Monat etwa 100 Stunden Analysezeit. So können wir uns darauf konzentrieren, Ergebnisse zu erzielen, was sich außerordentlich positiv auf die Moral auswirkt“, freut sich Williams.
Zur Illustration vergleicht Williams zwei fast identische Angriffe von denselben Angreifern, die einmal vor und einmal nach der Bereitstellung von Elastic Security stattgefunden haben. Beim ersten Angriff gelang es den Angreifern, über die internen Einrichtungen der Universität Phishing-E‑Mails zu verschicken. Als dies nach mehreren Monaten entdeckt wurde, dauerte es weitere zwei Wochen, die gefährdeten Computer zu untersuchen und den Angriff einzudämmen.
Zwei Jahre danach – inzwischen lief bei The A&M System Elastic Security – starteten dieselben Angreifer einen ähnlichen Angriff. „Wir konnten den Angriff komplett ausschalten und das Problem innerhalb weniger Stunden beheben, was eine Beschleunigung von 11.000 Prozent gegenüber der vorherigen Reaktionszeit bedeutete“, berichtet Williams. „Mit den kombinierten Endpoint- und SIEM-Funktionen in der Elastic Security-Lösung haben wir eine zentralisierte, erkenntnisgestützte Lösung, die unsere SecOps weiter rationalisiert.“
Er zollt auch dem Support-Team von Elastic große Anerkennung, dessen Fachwissen es The A&M System ermöglichte, in kürzester Zeit sein SIEM zu erweitern. „In den Gesprächen mit den Elastic-Engineers haben wir immer den Eindruck, dieselbe Sprache zu sprechen. Das heißt, dass wir Probleme in einem kurzen Gespräch klären können, ohne langwierig eskalieren zu müssen.“
Die Preisgestaltung ist ebenfalls ein Vorteil, vor allem für staatliche Einrichtungen. Schließlich wird von Universitäten erwartet, dass sie vernünftig wirtschaften. Statt pro Endpoint zahlt The A&M System für die verwendeten Ressourcenkapazitäten. „Die Zahl unserer Endpoints könnte in den kommenden Jahren potenziell auf 85.000 steigen“, so Williams. „Die konsistente und transparente Preisgestaltung von Elastic hilft uns bei der sicheren Planung.“
Jetzt richtet Williams sein Augenmerk auf die neueste Welle der KI- und Machine-Learning-Technologie von Elastic. Dazu gehört auch die Anomalieerkennung, mit der neue oder unbekannte Angriffe auch dann aufgedeckt werden können, wenn sie keine Signatur haben. Die Tatsache, dass Elastic ständig durch innovative Features und neue Versionen aufgewertet wird, macht Williams zuversichtlich, dass The A&M System auch in Zukunft gut geschützt sein wird. „Elastic war schon immer führend in der Forschung und Entwicklung, sei es bei vordefinierten Erkennungsregeln oder bei der Hinzufügung neuer Funktionen zur Abwehr aufkommender Bedrohungen für die Cybersicherheit.“
Mithilfe von Elastic Security kann das Cybersecurity Operations-Team von The A&M System seine Assets vor ganz unterschiedlichen Bedrohungen schützen. „Die zu uns gehörenden Einrichtungen und Behörden werden von privaten und staatlichen Stellen mit einer beträchtlichen Anzahl von Zuschüssen finanziell unterstützt. Elastic bietet das notwendige Maß an Sicherheit, um Partnerschaften mit diesen hochrangigen Organisationen zu ermöglichen und die Forschung zu unterstützen.“