Yokogawa Electric Corporation: Creación de una infraestructura de SOC global para reforzar su estrategia de DX con Elastic Cloud

Yokogawa Electric ahora ha posicionado la transformación digital (DX) como un pilar central de su estrategia empresarial. La estrategia principal de la empresa para la DX es combinar sus sistemas de control y otras tecnologías operativas (OT) con tecnología de la información (IT) para brindar servicios de soporte para fábricas inteligentes. La AI basada en el cloud se empleará para analizar cantidades masivas de datos recopilados mediante sensores IoT de los equipos de las plantas de los clientes. Se crearán simulaciones de fábrica y se proporcionarán a los clientes servicios que incluyen la predicción de fallas de dispositivos, el reemplazo proactivo de piezas/dispositivos basado en dichas predicciones y la gestión de energía (Fig. 1).

Para resumir esa estrategia, Yokogawa Electric hará pleno uso de tecnologías como el cloud, los contenedores, las analíticas de datos, AI/ML y el IIoT con el objetivo de proporcionar equipos como servicio y transformar su modelo de negocio tradicional basado en "ventas de hardware + servicios de mantenimiento" a un modelo recurrente.

Yokogawa Electric también está promoviendo la transformación digital dentro de la empresa. Por ejemplo, está creando lagos de datos derivados de distintas fuentes y usando esos datos para hacer que la gestión impulsada por los datos y la administración de sistemas sean aún más eficientes.

“Al implementar esta estrategia de DX, es sumamente importante que reforcemos la seguridad”, señaló Tetsuo Shiozaki, Subdirector de la Sede de Estrategia Digital en Yokogawa Electric.

Por ejemplo, dado que la OT se ha empleado tradicionalmente en entornos cerrados aislados de Internet y otras redes externas, hay poco riesgo de exposición a los ciberataques y, a veces, hay casos en los que no tienes defensas contra dichos ataques. A medida que la OT se combina con la IT para promover la transición a fábricas inteligentes que emplean la nube, habrá una gran necesidad de reforzar tus defensas tanto para los entornos de OT como de IT. Será necesario crear mecanismos y sistemas que eviten que las amenazas del entorno de IT invadan los entornos de OT, así como detectar rápidamente cualquier otra amenaza que pueda invadir tus entornos de OT.

“Para abordar esos problemas, era esencial que construyamos experiencia en OT y seguridad de IT. De lo contrario, pensé que sería imposible para nosotros implementar de manera confiable nuestras estrategias de DX internas y externas. Tradicionalmente, Yokogawa Electric ha externalizado la supervisión de la seguridad de los sistemas internos de la empresa a empresas de IT externas, pero revisamos ese enfoque y decidimos establecer nuestro propio SOC y llevar a cabo nuestra propia supervisión de la seguridad, incluso mientras trabajamos con empresas de IT externas", dijo el Sr. Shiozaki.

La sede de Estrategia Digital a la que pertenece el Sr. Shiozaki se escindió de la División de Sistemas de Información (División de IT) y en la actualidad es la única responsable tanto de implementar DX dentro de la empresa como de crear mecanismos para apoyar la estrategia de DX dirigida fuera de la empresa a sus clientes.

También hay divisiones regionales de IT establecidas en oficinas de todo el mundo, pero recientemente la sede de Estrategia Digital de Japón ha asumido un papel central en el cambio a servicios de IT globales compartidos y entornos de aplicaciones/infraestructura globales compartidos y optimizados. Esas iniciativas se han impulsado de la misma manera que los productos de seguridad, incluyendo el tiempo hasta el lanzamiento del SOC de la empresa. “A partir del otoño de 2018, nos propusimos seleccionar una solución compartida para establecer una infraestructura de SOC global”, dijo el Sr. Shiozaki.

Al final de este proceso de selección de soluciones, Yokogawa Electric decidió adoptar Elastic Cloud, una solución de cloud con una amplia gama de aplicaciones que incluyen soluciones SIEM, seguridad de endpoints, búsqueda de amenazas y monitoreo del cloud.

No hace falta decir que la empresa adoptó Elastic Cloud porque este servicio del cloud cumple con los requisitos necesarios para establecer una infraestructura de SOC global.

Uno de esos requisitos era permitir la recopilación y el análisis de logs de una amplia gama de dispositivos y sistemas sin depender de un producto de seguridad en particular. Por ejemplo, como se mencionó antes, Yokogawa Electric había subcontratado sus servicios de monitoreo de seguridad a empresas de IT externas, y esas empresas empleaban un sistema de detección de intrusos (IDS).

Según el Sr. Shiozaki, es difícil monitorear los ciberataques avanzados y complejos de hoy en día solo con monitoreo de IDS, y es común que se produzcan falsos positivos. Por lo tanto, al crear la infraestructura de SOC de la empresa, se necesitaba una solución que permitiera la recopilación y el análisis de logs de distintos dispositivos y sistemas de seguridad.

Sin embargo, en 2018, cuando se estaba llevando a cabo el proceso de selección de herramientas de monitoreo, no se emplearon productos de seguridad compartidos y estandarizados en las oficinas globales, y se emplearon diferentes productos de seguridad en cada ubicación. Para poder recopilar y analizar logs de productos tan diversos, se necesitaba una solución de monitoreo open source que no dependiera de ningún producto específico.

Teniendo en cuenta los requisitos descritos anteriormente, Yokogawa Electric seleccionó a Elastic Cloud como su principal candidato y realizó una prueba de concepto (PoC) durante tres meses a partir de enero de 2019. Las pruebas de la empresa consistieron en recopilar logs de IDS y servidores de autenticación (servidores AD), servidores DHCP/DNS y otras fuentes tanto en la sede central de Tokio como en las oficinas de Singapur, luego reenviar esos registros a Elastic Cloud y observar "cuánto tiempo te llevó desde la recopilación de registros hasta el análisis". Con base en los resultados de estas pruebas, la empresa determinó que los sistemas de monitoreo de seguridad que emplean Elastic Cloud funcionan de manera efectiva como infraestructura de SOC global, y, en abril de 2019, Yokogawa Electric adoptó formalmente Elastic Cloud como su solución de seguridad. El sistema utilizado para la PoC se actualizó con recursos adicionales y luego se implementó tal cual en el entorno de producción. Después, la empresa puso en marcha el desarrollo de su infraestructura de monitoreo de seguridad con el objetivo de establecer un SOC.

El primer paso que dio Yokogawa Electric en el desarrollo de su infraestructura de SOC con Elastic Cloud fue contratar a ingenieros familiarizados con Elastic. Específicamente, la empresa buscó ingenieros de Elastic a través de su centro de ingeniería de Bangalore, India, y contrató a algunas personas que se ocuparon de la configuración de la infraestructura del SOC.

Con el fin de mejorar las habilidades de sus ingenieros en este proceso, Yokogawa Electric usó servicios de capacitación y consultoría de Elastic relacionados con las definiciones de Elastic Common Scheme (ECS) y las configuraciones de filtrado de logs del servidor Logstash.

“En nuestro caso, estábamos recopilando logs de una amplia variedad de productos de seguridad, así que si estos esquemas comunes no se definían de antemano, no podíamos mejorar las velocidades de búsqueda. Por esa razón, era muy importante que nuestros ingenieros aprendieran ECS, y parece que esta estrategia fue muy efectiva”, dijo el Sr. Shiozaki.

Yokogawa Electric procedió a construir la infraestructura de SOC y los sistemas de análisis de datos lanzando el monitoreo de seguridad en las principales plantas y oficinas (Japón, Europa, América del Norte, Singapur, Medio Oriente e India) en el año fiscal 2019. Además de esto, también se centró en mejorar sus aplicaciones de monitoreo y detección. Estas iniciativas vincularon Elastic Cloud con inteligencia de amenazas e IOC (indicadores de compromiso: indicadores y evidencia de violaciones de seguridad causadas por ciberataques) para aumentar la precisión en las capacidades de monitoreo y detección de amenazas.

Además, en 2020, Yokogawa Electric amplió sus tareas de monitoreo a China, Rusia, América del Sur, Taiwán, Filipinas, Indonesia y otros sitios.

Esto tuvo como resultado la cobertura de monitoreo de PC (software antivirus y EDR), servidores clave (servidores AD, servidores DHCP/DNS, etc.), IDS y Microsoft Azure/AWS Web Application Firewalls (WAF) en 15 sitios de todo el mundo. Los logs y los datos de eventos recopilados de esos dispositivos y sistemas también se almacenaron en un entorno de servicio gestionado de Elastic Cloud. A medida que esos datos se analizan en tiempo real, este marco de monitoreo de seguridad predice los ciberataques y detecta las violaciones de seguridad a diario (Fig. 2).

De los dispositivos y sistemas monitoreados, solo las PC suman alrededor de 30 000 en todo el mundo, de las cuales se recopilan entre 5 y 6 millones de datos de eventos cada día, lo que suma entre 250 y 300 GB. Esto constituye un verdadero lago de datos de seguridad de logs de seguridad de una variedad de dispositivos.

Como se describió anteriormente, Yokogawa Electric usó Elastic Cloud para configurar su infraestructura de SOC global y aumentó constantemente su cobertura de monitoreo con el tiempo. Al recordar esas iniciativas, el Sr. Shiozaki resume los beneficios de la implementación de Elastic Cloud de la siguiente manera.

"El mayor beneficio de implementar Elastic Cloud fue que pudimos visualizar nuestra amplia variedad de logs diferentes y analizarlos en tiempo real. Además, al adoptar el servicio de Elastic Cloud, pudimos configurar nuestra infraestructura de SOC global con mayor rapidez. Ese fue otro beneficio sumamente significativo para nuestra empresa".

En el futuro, Yokogawa Electric planea fortalecer sus operaciones de monitoreo de seguridad con Elastic Cloud. Ya adoptó el servicio SIEM de Elastic Cloud, desarrolló un programa de detección avanzada que incluye machine learning y está promoviendo el uso de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge: una base de conocimiento en la que las vulnerabilidades y los ataques se categorizan por tácticas, tecnología y método).

Además, Yokogawa Electric conectó su infraestructura de SOC con la herramienta de gestión de IT (herramienta ITSM) ServiceNow, y ha configurado y comenzado a usar mecanismos para agregar comentarios y métodos de solución a las alertas de incidentes producidas por el SOC, así como enviar notificaciones automáticamente al personal relevante.

Además, la experiencia en monitoreo de seguridad de Elastic desarrollada en el curso de la configuración de esta infraestructura de SOC también se comparte con los departamentos operativos de Yokogawa Electric, que brindan servicios de monitoreo de seguridad a los clientes, con el fin de reforzar también la calidad de esos servicios.

Actualmente, Elastic Cloud continúa respaldando la estrategia de DX de Yokogawa Electric.