Über Yokogawa Electric Corporation
Yokogawa Electric ist ein Fertigungsunternehmen mit mehr als hundertjähriger Geschichte und einem Umsatz von mehr als 400 Milliarden Yen pro Jahr (GJ2019/konsolidiert), hauptsächlich im Bereich der Werkssteuerungssysteme. Yokogawa Electric ist wortwörtlich ein globales Unternehmen mit Werken und Niederlassungen in 62 Ländern in aller Welt und 80 % des Umsatzes aus internationalen Verkäufen.
Moderne digitale Strategien erfordern eine verbesserte Sicherheitsüberwachung
Yokogawa Electric hat die digitale Transformation (DX) zu einem Grundpfeiler der Geschäftsstrategie des Unternehmens erklärt. Die Hauptstrategie des Unternehmens für DX besteht darin, die Steuersysteme und andere Betriebstechnologien (Operational Technology, OT) mit Informationstechnologien (IT) zu kombinieren, um Supportdienste für intelligente Fabriken anzubieten. Eine cloudbasierte KI analysiert riesige Datenmengen, die von IoT-Sensoren in Geräten in den Werken von Kunden erfasst wurden. Daraus werden Fabriksimulationen erstellt, und die Kunden erhalten verschiedene Dienste, wie etwa eine Fehlervorhersage, proaktiven Teile- und Geräteaustausch auf Basis dieser Vorhersagen sowie Energieverwaltung (Abb. 1).
Mit dieser Strategie möchte Yokogawa Electric Technologien wie Cloud, Container, Datenanalysen, KI/ML und IIoT umfassend nutzen, um Geräte als Service anzubieten und das traditionelle Geschäftsmodell des Unternehmens auf Basis von Hardwareverkäufen und Wartungsdiensten in ein wiederkehrendes Modell zu transformieren.
Yokogawa Electric fördert auch DX innerhalb des Unternehmens. Das Unternehmen erstellt beispielsweise Data Lakes aus einer Vielzahl von Quellen und nutzt diese Daten, um die Effizienz der datengesteuerten Verwaltung und Systemadministration zu optimieren.
„Für die Implementierung dieser DX-Strategie ist es extrem wichtig, dass wir unsere Sicherheit aufbessern“, kommentiert Tetsuo Shiozaki, Deputy Director of the Digital Strategy Headquarters bei Yokogawa Electric.
Da OT beispielsweise früher oft in geschlossenen Umgebungen eingesetzt wurde, die vom Internet und anderen externen Netzwerken getrennt sind, bestand nur wenig Gefahr durch Cyberangriffe, und in manchen Fällen gab es keine Verteidigungsmaßnahmen gegen solche Angriffe. Aufgrund der Kombination von OT und IT bei der Umstellung auf intelligente Fabriken mit Cloudnutzung ist es wichtig, OT- und IT-Umgebungen besser zu schützen. Es müssen Mechanismen und Systeme entwickelt werden, um zu verhindern, dass Bedrohungen aus der IT-Umgebung in OT-Umgebungen eindringen können, und um andere potenzielle Bedrohungen für OT-Umgebungen schnell zu entdecken.
„Aufgrund dieser Probleme mussten wir uns Fachwissen in den Bereichen OT- und IT-Sicherheit aneignen. Andernfalls hätten wir unsere internen und externen DX-Strategien vermutlich nicht zuverlässig implementieren können. Yokogawa Electric hat die Sicherheitsüberwachung interner Unternehmenssysteme früher an externe IT-Unternehmen ausgelagert. Wir haben diesen Ansatz jedoch überdacht und beschlossen, unser eigenes SOC einzurichten und parallel zur Arbeit mit externen IT-Unternehmen auch unsere eigene Sicherheitsüberwachung durchzuführen“, sagt Herr Shiozaki.
Vorteile von Elastic Cloud: offenes Entwicklungsmodell und keinerlei Produktabhängigkeiten
Das Digital Strategy Headquarters, zu dem Herr Shiozaki gehört, wurde aus der IT-Abteilung ausgegliedert und ist heute allein dafür verantwortlich, DX im Unternehmen zu implementieren und Mechanismen für die Unterstützung der DX-Strategie des Unternehmens für dessen Kunden zu entwickeln.
Es gibt zwar auch regionale IT-Abteilungen in Niederlassungen in aller Welt, aber in letzter Zeit hat das Digital Strategy Headquarters in Japan eine zentrale Rolle bei der Umstellung auf gemeinsam genutzte globale IT-Dienste und gemeinsame, optimierte globale Anwendungs- und Infrastrukturumgebungen übernommen. Diese Initiativen wurden auf dieselbe Weise wie Sicherheitsprodukte implementiert, inklusive des Vorlaufs zum Start des unternehmenseigenen SOC. „Im Herbst 2018 haben wir beschlossen, eine gemeinsam genutzte Lösung für die Einrichtung einer globalen SOC-Struktur einzusetzen“, sagt Herr Shiozaki.
Wir haben nach effektiven Lösungen gesucht, um verschiedene Log-Dateien erfassen und analysieren zu können und eine globale SOC-Infrastruktur für unsere umfassende DX-Strategie einzurichten. Laut unserer Einschätzung hat Elastic Cloud diese Anforderungen vollständig erfüllt.
Nach Abschluss des Auswahlverfahrens entschied sich Yokogawa Electric für Elastic Cloud, eine Cloudlösung mit vielfältigen Anwendungen, inklusive SIEM-Lösungen, Endpoint Security, Bedrohungsabwehr und Cloudüberwachung.
Das Unternehmen hat sich für Elastic Cloud entschieden, weil dieser Clouddienst alle Anforderungen für die Einrichtung einer globalen SOC-Infrastruktur erfüllt.
Eine dieser Anforderungen bestand in der Erfassung und Analyse von Logs aus einer Vielzahl von Geräten und Systemen, ohne von einem bestimmten Sicherheitsprodukt abzuhängen. Wie bereits erwähnt hatte Yokogawa Electric die Sicherheitsüberwachung des Unternehmens an externe IT-Unternehmen ausgelagert, und diese Unternehmen hatten ein Intrusion-Detection-System (IDS) eingesetzt.
Laut Herr Shiozaki ist es schwierig, moderne und komplexe Cyberangriffe allein mit IDS-Überwachung zu erkennen, und diese Lösungen liefern häufig falsche Positivmeldungen. Für die SOC-Infrastruktur des Unternehmens war daher eine Lösung erforderlich, die Logs aus einer Vielzahl von Sicherheitsgeräten und Systemen erfassen und analysieren kann.
Während des Auswahlverfahrens für ein Überwachungstool im Jahr 2018 gab es in den weltweit verteilten Büros jedoch keine gemeinsam genutzten, standardisierten Sicherheitsprodukts, und jeder Standort verwendete unterschiedliche Sicherheitsprodukte. Um die Logs aus diesen vielfältigen Produkten erfassen und analysieren zu können, wurde eine freie und offene Überwachungslösung benötigt, die von keinem bestimmten Produkt abhängt.
Angesichts der oben beschriebenen Anforderungen entschied sich Yokogawa Electric für Elastic Cloud als führenden Kandidaten und führte ab Januar 2019 eine dreimonatige Machbarkeitsstudie durch. Bei diesen Tests erfasste das Unternehmen Logs aus IDS und Authentifizierungsservern (AD-Server), DHCP- und DNS-Servern und anderen Quellen, sowohl in der Firmenzentrale in Tokio als auch in der Niederlassung in Singapur. Anschließend wurden diese Logs an Elastic Cloud weitergeleitet, und die verstrichene Zeit zwischen Logerfassung und Analyse wurde gemessen.“ Anhand der Ergebnisse dieser Tests entschied das Unternehmen, dass sich Sicherheitsüberwachungssysteme mit Elastic Cloud effektiv als globale SOC-Infrastruktur eignen, und im April 2019 führte Yokogawa Electric Elastic Cloud als offizielle Sicherheitslösung ein. Das für die Machbarkeitsstudie verwendete System wurde um zusätzliche Ressourcen erweitert und ohne weitere Änderungen in der Produktionsumgebung bereitgestellt. Anschließend begann das Unternehmen mit der Entwicklung der Sicherheitsüberwachungsinfrastruktur für die Einrichtung eines SOC.
Zentralisierte Überwachung für 30.000 PCs, wichtige Server und Netzwerke an 15 Standorten weltweit
Als ersten Schritt bei der Entwicklung der SOC-Infrastruktur mit Elastic Cloud beschloss Yokogawa Electric, Experten mit Elastic-Erfahrung einzustellen. Das Unternehmen suchte speziell nach Elastic-Experten über sein Entwicklungszentrum in Bangalore, Indien, und stellte einen Kern aus Mitarbeitern für die Einrichtung der SOC-Infrastruktur ein.
Um bei diesem Prozess die Kenntnisse der Fachkräfte zu erweitern, nutzte Yokogawa Electric die Schulungs- und Consultingdienste von Elastic für ECS-Definitionen (Elastic Common Scheme) und Filterkonfigurationen für Logstash-Serverlogs.
„Wir haben Logs aus einer Vielzahl verschiedener Sicherheitsprodukte gesammelt. Ohne diese allgemeinen Schemas vorab zu definieren hätten wir unsere Suchgeschwindigkeit nicht verbessern können. Darum mussten sich unsere Experten mit ECS vertraut machen, und diese Strategie war scheinbar sehr effektiv“, sagt Herr Shiozaki.
Yokogawa Electric setzte die Entwicklung der SOC-Infrastruktur und der Datenanalysesysteme fort und begann im GJ2019 mit der Sicherheitsüberwachung wichtiger Werke und Bürostandorte (Japan, Europa, Nordamerika, Singapur, Mittlerer Osten und Indien). Zudem konzentrierte sich das Unternehmen darauf, seine Überwachungs- und Erkennungsanwendungen zu verbessern. Diese Initiativen verknüpften Elastic Cloud mit Threat Intelligence und IOCs (Indicators of Compromise, Indikatoren und Anzeichen von Sicherheitsverletzungen durch Cyberangriffe), um die Genauigkeit der Überwachungs- und Erkennungsfunktionen für Bedrohungen zu steigern.
2020 erweiterte Yokogawa Electric die Überwachungsfunktionen außerdem auf China, Russland, Südamerika, Taiwan, die Philippinen, Indonesien und weitere Standorte.
Auf diese Weise wurde eine Überwachungsabdeckung für PCs (Antivirensoftware und EDR), wichtige Server (AD-Server, DHCP- und DNS-Server usw.), IDS und Microsoft Azure/AWS Web Application Firewalls (WAF) über 15 Standorte weltweit erreicht. Die aus diesen Geräten und Systemen erfassten Logs und Ereignisdaten wurden ebenfalls in einer verwalteten Elastic Cloud-Dienstumgebung gespeichert. Die Daten werden in Echtzeit analysiert und dieses Sicherheitsüberwachungs-Framework sagt Cyberangriffe voraus und erkennt Sicherheitsverletzungen im alltäglichen Betrieb (Abb. 2).
Unter den überwachten Geräten und Systemen sind allein etwa 30.000 PCs weltweit, und pro Tag werden fünf bis sechs Millionen Ereignisdaten erfasst, die sich auf etwa 250-300 GB belaufen. Diese Daten bilden einen echten Sicherheits-Data-Lake aus den Sicherheitslogs von einer Vielzahl von Geräten.
Entwicklung eines erweiterten Erkennungsprogramms mit einer Kombination aus Elastic SIEM und Machine Learning
Wie bereits beschrieben hat Yokogawa Electric Elastic Cloud eingesetzt, um eine globale SOC-Infrastruktur einzurichten und die Überwachungsabdeckung im Lauf der Zeit ständig zu erweitern. Im Rückblick auf diese Initiativen fasst Herr Shiozaki die Vorteile der Elastic Cloud-Implementierung wie folgt zusammen:
„Der größte Vorteil der Implementierung mit Elastic Cloud war die Möglichkeit, unsere vielfältigen Logs visualisieren und in Echtzeit analysieren zu können. Mit dem Elastic Cloud-Dienst konnten wir unsere globale SOC-Infrastruktur außerdem schneller umsetzen. Das war ein weiterer, extrem hilfreicher Vorteil für unser Unternehmen.“
Für die Zukunft hat Yokogawa Electric vor, die Sicherheitsüberwachung mit Elastic Cloud noch weiter auszubauen. Das Unternehmen hat bereits den SIEM-Dienst von Elastic Cloud eingeführt, ein erweitertes Erkennungsprogramm mit Machine Learning entwickelt und setzt MITRE ATT&CK ein (Adversarial Tactics, Techniques, and Common Knowledge: eine Wissensdatenbank, die Sicherheitslücken und Angriffe nach Taktiken, Technologien und Methoden kategorisiert).
Außerdem hat Yokogawa Electric die SOC-Infrastruktur mit dem IT-Verwaltungstool (ITSM-Tool) ServiceNow verknüpft und damit begonnen, Mechanismen für Kommentare und Lösungsmethoden zu Vorfallwarnungen aus dem SOC einzurichten und hinzuzufügen und relevante Personen automatisch zu benachrichtigen.
Die bei der Einrichtung der SOC-Infrastruktur erworbenen Fachkenntnisse im Bereich der Sicherheitsüberwachung mit Elastic werden zudem an die Betriebsabteilungen von Yokogawa Electric weitergegeben, die Sicherheitsüberwachungsdienste für Kunden anbieten, um die Qualität dieser Dienste ebenfalls zu verbessern.
Elastic Cloud unterstützt die DX-Strategie von Yokogawa Electric bis heute.