Ahorra 100 horas de trabajo de analistas al mes
The Texas A&M University System ahora más de 100 horas de trabajo de analistas al mes mediante la automatización del proceso de documentación y otros procesos de seguridad con Elastic Security.
Reduce el tiempo de resolución de incidentes en un 99 %
Con Elastic Security, The Texas A&M University System redujo el tiempo para resolver incidentes similares de meses a solo dos horas, una reducción del 99 %.
Permite la integración rápida de características de seguridad adicionales
Con Elastic Security, The Texas A&M University System tiene un solo proveedor de SIEM con lanzamientos regulares y actualizaciones de características frecuentes.
The Texas A&M University System despliega Elastic Security para proteger a estudiantes, servicios de emergencia e instituciones líderes de investigación frente a ciberdelincuentes y hackers patrocinados por el Estado.
Defender los sistemas de IT es lo suficientemente difícil cuando hay miles de ataques cibernéticos en todo el mundo cada día. Es incluso más desafiante cuando eres una organización pública con docenas de socios, decenas de miles de endpoints y miles de millones de eventos de telemetría cada mes. Ese el desafío al que se enfrenta el equipo de operaciones de ciberseguridad en The Texas A&M University System, una institución pública de investigación establecida en tierras concedidas por el estado con el segundo alumnado más grande de los Estados Unidos.
Además de proteger 11 universidades que componen The A&M System, el equipo de ciberseguridad debe defender ocho agencias estatales. Entre ellas, la División de Manejo de Emergencias de Texas y el Servicio Forestal de A&M de Texas. El sector de la investigación también depende de las defensas cibernéticas de A&M System, dado que cubre algunos de los centros líderes en el mundo de innovación de ingeniería.
Braxton Williams, analista de seguridad, de The Texas A&M University System Offices, afirma: "Nuestra misión es proteger los datos de todos nuestros miembros, mantener alta disponibilidad para los servicios de emergencia y asegurar que la investigación para todas las partes interesadas y socios federales no se vea afectada".
The A&M System debe lograr todo esto con poco presupuesto, y su posición central en una red de investigación internacional lo pone en la línea de fuego de actores y hackers patrocinados por el Estado. "Tenemos miles de estudiantes y usuarios, todos con sus propios dispositivos. La superficie de amenazas es enorme para los ataques de ransomware y phishing que amenazan con interrumpir operaciones o extorsionar a cambio de dinero", explica Williams.
Los analistas de seguridad tienen un rol fundamental en la defensa de A&M System. Antes, sus habilidades estaban obstaculizadas por la necesidad de obtener datos de varios productos de seguridad conforme a los distintos lenguajes de búsqueda. Se agregaban largas horas a la presión que recibía el equipo a medida que reunían y compartían información con los colegas.
En la búsqueda de una solución de detección y respuesta de endpoint (EDR) que abordara estos problemas, The A&M System seleccionó Elastic Security para endpoint. "En lugar de varios portales y productos de seguridad, ahora tenemos una interfaz para todos nuestros analistas de seguridad. Les brinda todas las herramientas que necesitan para investigar y remediar incidentes de seguridad", explica Williams.
El equipo de ciberseguridad ahora despliega Elastic Security de forma automática en todos los dispositivos en sus universidades, agencias, equipos de servicios de emergencia y organizaciones de investigación. "Tenemos 30 días de datos de 25 000 endpoints, incluidos datos de telemetría de dispositivos, datos de phishing y datos de inteligencia de amenazas. Con Elastic, todo lo que necesitamos está a solo una búsqueda de distancia en un lenguaje común con un esquema único".
"Seleccionamos Elastic Security para Endpoint porque no solo te alerta que algo está mal, te empodera para hacer algo al respecto, rápido".
Ahorrar tiempo, evitar el agotamiento
Elastic Security frena en gran medida el volumen de documentación creado durante los flujos de trabajo de seguridad y reduce las detecciones duplicadas y los falsos positivos. "Al agregar una capa de automatización a nuestro proceso de documentación, ahorramos alrededor de 100 horas de tiempo de los analistas por mes. Podemos enfocarnos en proporcionar resultados, lo que es un gran estímulo a la moral", comenta Williams.
Para ilustrar este punto, Williams compara dos ataques casi idénticos del mismo adversario, que se realizaron antes y después del despliegue de Elastic Security. El primer ataque tuvo éxito y envió correos electrónicos de phishing usando los relés internos de la universidad. Cuando se detectó la vulneración luego de varios meses, llevó dos semanas más investigar las computadoras comprometidas y mitigar el ataque.
Luego del despliegue de Elastic Security, dos años después, el mismo adversario intentó una campaña similar. "La detuvimos por completo y mitigamos el problema en un par de horas, lo que representa una aceleración del 11 000 % en comparación con el tiempo de respuesta anterior", explica Williams. "Con las capacidades de endpoint y SIEM combinadas en la solución Elastic Security, nos proporciona una solución única guiada por la inteligencia, que optimiza aún más nuestras operaciones de seguridad", agrega.
También le da mucho crédito al equipo de soporte de Elastic, cuya experiencia permitió a The A&M System ampliar su SIEM con rapidez. "Cada vez que hablamos con un ingeniero de Elastic, se siente como si habláramos el mismo idioma, lo que significa que podemos solucionar problemas durante una conversación breve, en lugar de un proceso de escalado prolongado".
El precio también es una ventaja, en especial en el sector gubernamental, en donde se espera que las universidades gestionen los presupuestos de forma inteligente. En lugar de cargos por endpoint, The A&M System paga por capacidad de recursos. "Esperamos que la cantidad de nuestros endpoints aumente a 85 000 en los próximos años, potencialmente", dice Williams. "El marco de trabajo consistente y transparente de precios de Elastic nos ayuda a planificar con certeza".
Ahora, Williams dirige su atención a la ronda más reciente de tecnología de machine learning y AI de Elastic. Esto incluye detección basada en anomalías que potencialmente puede descubrir ataques nuevos o desconocidos, incluso si no tienen una firma. Agregar características innovadoras y lanzamientos también le da confianza en la defensa continua de The A&M System. "Elastic siempre estuvo al frente de la investigación y el despliegue, ya sea con detecciones listas para usar o con el agregado de capacidades nuevas que abordan amenazas de ciberseguridad emergentes", agrega.
Por encima de todo, Elastic Security permite al equipo de operaciones de ciberseguridad de The A&M System defender los activos frente a una enormidad de amenazas. "Las agencias e instituciones de The A&M System tienen patrocinadores privados y federales que nos otorgan una gran cantidad de subvenciones. Elastic proporciona los niveles necesarios de seguridad para permitir asociaciones con estas organizaciones de alto nivel y brindar soporte a la investigación".