Security
Governo

Contando com o Elastic para caçar ameaças digitais

Como uma força policial europeia caça ameaças digitais com o Elastic

Há vários anos, uma agência policial nacional europeia de 22 mil policiais e 1.000 funcionários de TI iniciou uma jornada de transformação, que incluiu a consolidação da burocracia, a modernização dos equipamentos de policiamento e a transformação digital da infraestrutura de TI.

Um elemento-chave desse projeto de transformação digital foi proteger a nova empresa modernizada, que envolve cerca de 35 mil computadores conectados e 250 sistemas de TI. Outros elementos do projeto de modernização incluíram uma nova loja de apps para os smartphones dos policiais, novos drones com câmeras, um centro de comando atualizado e telecomunicações especializadas para contatar as embaixadas.

“Tudo isso precisa estar protegido e funcionar todos dia e noite durante todo o ano”, explica o gerente do centro de operações de segurança da agência.

O cenário interno e externo das ameaças

Em uma delegacia de polícia, o cenário de ameaças é semelhante ao da maioria das empresas. Essa agência policial europeia afirma que está usando o Elastic para se defender de:

  • Ciberataques direcionados de atores externos que procuram roubar dados
  • Atores externos que procuram destruir dados e impedir o funcionamento da infraestrutura policial
  • Insiders mal-intencionados que procuram roubar informações, sabotar dados ou impedir que a infraestrutura policial opere

Em resposta, a agência adotou uma estratégia de segurança que se baseia no Elastic Security para prevenir, detectar e responder a essas ameaças.

"Só atingiremos o nível de segurança, o nível de segurança exigido, se todos esses três componentes funcionarem juntos”, revela o especialista sênior em cibersegurança da agência.

Usando machine learning para aprimorar a caça às ameaças

Para aumentar a visibilidade, reduzir o tempo entre a detecção e a resposta e melhorar a capacidade de busca das ameaças, a agência criou um cluster do Elasticsearch com camadas de balanceamento de carga e enfileiramento de mensagens. Eles agora podem buscar e ver dados brutos de log para busca de ameaças, criar regras avançadas de detecção e aplicar machine learning para melhorar e acelerar a detecção de anomalias. No geral, a agência aumentou em dez vezes a capacidade de receber eventos por segundo (EPS) de fluxos de dados de segurança.

A jornada do departamento na Elastic começou em 2019, quando eles testaram a versão open source da Elastic para registrar dados de endpoint. Um ano depois, eles mudaram para uma assinatura Empresarial paga e começaram a migrar fontes de dados para o SIEM da Elastic, com o objetivo de abandonar o SIEM antigo da agência.

“Basicamente, coletamos dez vezes mais dados do que no SIEM anterior. Temos uma visibilidade totalmente diferente e muito melhorada no nível do sistema operacional. Estamos coletando registros de log de nossos 35 mil endpoints e sensores de rede", comemora o especialista sênior em cibersegurança da agência. “Estamos falando de vários bilhões de registros de log. Todos os dados de que precisamos para detectar anomalias, agora temos em mãos.”