Acerca de Yokogawa Electric Corporation
Yokogawa Electric es una empresa manufacturera con más de un siglo de historia y se jacta de alcanzar ventas anuales de más de 400 000 millones de yenes (año fiscal 2019/consolidado), principalmente a partir de sus sistemas de control de plantas. Yokogawa Electric es una empresa global, literalmente: posee plantas y oficinas en 62 países en todo el mundo y ventas internacionales que representan el 80 % de las ventas totales.
El avance de las estrategias digitales hacen que sea fundamental mejorar el monitoreo de seguridad
Yokogawa Electric ahora posicionó la transformación digital (DX) como un pilar fundamental en su estrategia comercial. La principal estrategia de DX de la empresa es combinar sus sistemas de control y otra tecnología operativa (OT) con tecnología de la información (IT) a fin de proporcionar servicios de soporte para fábricas inteligentes. La AI basada en el cloud se usará para analizar grandes cantidades de datos recopilados con sensores de IoT de los equipos en las plantas de los clientes. Se crearán simulaciones de fábricas y se proporcionará a los clientes servicios que incluyen la predicción de fallas de dispositivos, reemplazo proactivo de piezas/dispositivos basado en tales predicciones y gestión de la energía (Fig, 1).
A modo de resumen de esa estrategia, Yokogawa Electric usará en su totalidad las tecnologías como el cloud, contenedores, analíticas de datos, IA/ML e IIoT con el objetivo de proporcionar equipos como servicio y transformar su modelo de negocios tradicional basado en "ventas de hardware + servicios de mantenimiento" en un modelo recurrente.
Yokogawa Electric también está promocionando la DX dentro de la empresa. Por ejemplo, está creando lagos de datos derivados de una variedad de fuentes y poniendo esos datos en uso para que la administración de sistemas y gestión impulsada por los datos sean incluso más eficientes.
"Al implementar esta estrategia de DX, es extremadamente importante que fortalezcamos la seguridad", aclaró Tetsuo Shiozaki, subdirector de la Sede de Estrategia Digital en Yokogawa Electric.
Por ejemplo, como la OT se ha usado tradicionalmente en entornos cerrados separados de internet y otras redes externas, existe un bajo riesgo de exposición a ciberataques, y hubo algunos casos en los que la defensa contra dichos ataques no fue suficiente. Como la OT se combina con la IT para promocionar la transición a fábricas inteligentes que usan el cloud, habrá una gran necesidad de reafirmar las defensas tanto en entornos de OT como de IT. Se tendrán que crear mecanismos y sistemas para prevenir que las amenazas del entorno de IT invadan los entornos de OT y para detectar con rapidez cualquier otra amenaza que pueda invadir los entornos de OT.
"A fin de abordar estas cuestiones, era fundamental que acumuláramos experiencia en la seguridad de OT e IT. De lo contrario, creo que hubiera sido imposible para nosotros implementar de forma confiable tanto nuestras estrategias de DX interna como externa. Yokogawa Electric tradicionalmente ha terciarizado el monitoreo de seguridad de los sistemas internos de la empresa a compañías de IT externas, pero revisamos dicho enfoque y decidimos establecer nuestro propio SOC y realizar nuestro propio monitoreo de seguridad, incluso cuando trabajamos con empresas de IT externas", explicó el Sr. Shiozaki.
Selección de Elastic Cloud para su modelo de desarrollo abierto y falta de dependencias de producto
La Sede de Estrategia Digital a la que pertenece el Sr. Shiozaki se derivó de la División de Sistemas de la Información (División de IT) y actualmente es la única responsable tanto de implementar la DX dentro de la empresa como de crear mecanismos para brindar soporte a la estrategia de DX orientada hacia el exterior de la empresa a los clientes.
También hay divisiones de IT regionales establecidas en oficinas de todo el mundo, pero la Sede de Estrategia Digital de Japón recientemente tomó un rol central en el cambio a servicios de IT globales compartidos y entornos de infraestructura/aplicaciones globales compartidos y optimizados. Dichas iniciativas se impulsaron de la misma forma que los productos de seguridad, incluido el período previo al lanzamiento del SOC de la empresa. "A comienzos del tercer trimestre de 2018, nos propusimos seleccionar una solución compartida para establecer una infraestructura de SOC global", dijo el Sr. Shiozaki.
Se necesitaban soluciones efectivas para la recopilación y el análisis de varios archivos de log a fin de establecer la infraestructura de SOC global para brindar soporte a nuestra estrategia de DX más amplia. Según nuestra estimación, Elastic Cloud satisfacía todas esas necesidades.
Al final de este proceso de selección de la solución, Yokogawa Electric optó por adoptar Elastic Cloud, una solución en el cloud con una amplia gama de aplicaciones que incluyen soluciones de SIEM, seguridad de endpoint, búsqueda de amenazas y monitoreo del cloud.
No hace falta mencionar que la empresa adoptó Elastic Cloud porque este servicio en el cloud satisface los requisitos necesarios para establecer una infraestructura de SOC global.
Uno de esos requisitos era permitir la recopilación y el análisis de logs de una amplia gama de dispositivos y sistemas sin depender de un producto de seguridad en particular. Por ejemplo, como ya se mencionó, Yokogawa Electric previamente terciarizaba sus servicios de monitoreo de seguridad a empresas de IT externas, y dichas empresas usaban un sistema de detección de intrusiones (IDS).
Según el Sr. Shiozaki, es difícil monitorear los ciberataques complejos y avanzados actuales solo con monitoreo de IDS, y los falsos positivos son frecuentes. Por lo tanto, al crear la infraestructura de SOC de la empresa, se necesitó una solución que permitiera la recopilación y el análisis de logs de una variedad de dispositivos y sistemas de seguridad.
Sin embargo, en 2018 cuando estaba en proceso la selección de la herramienta de monitoreo, no había productos de seguridad estandarizados y compartidos en uso en las oficinas globales, sino que se usaban productos de seguridad diferentes en cada ubicación. Para poder recopilar y analizar los logs de estos diversos productos, se necesitaba una solución de monitoreo gratuita y abierta que no dependiera de ningún producto en particular.
Teniendo en cuenta los requisitos antes descritos, Yokogawa Electric seleccionó Elastic Cloud como su candidato líder y realizó una prueba de concepto (PoC) durante tres meses a partir de enero de 2019. Las pruebas de la empresa incluyeron la recopilación de logs de IDS y servidores de autenticación (servidores AD), servidores DHCP/DNS y otras fuentes tanto en la sede de Tokio como en las oficinas de Singapur, y luego el envío de dichos logs a Elastic Cloud y la observación de "cuánto tiempo se necesitó desde la recopilación del log hasta el análisis". Con base en los resultados de estas pruebas, la empresa determinó que los sistemas de monitoreo de seguridad con Elastic Cloud son tan efectivos como la infraestructura de SOC global, y en abril de 2019, Yokogawa Electric adoptó formalmente Elastic Cloud como su solución de seguridad. El sistema usado para la PoC se actualizó con recursos adicionales y luego se desplegó tal cual en el entorno de producción. A continuación, la empresa lanzó el desarrollo de infraestructura de monitoreo de seguridad con el objetivo de establecer un SOC.
Monitoreo centralizado de 30 000 PC, servidores clave y redes en 15 ubicaciones en todo el mundo
El primer paso de Yokogawa Electric en el desarrollo de su infraestructura de SOC con Elastic Cloud fue contratar ingenieros familiarizados con Elastic. Específicamente, la empresa buscó ingenieros de Elastic a través de su centro de ingeniería en Bangalore, India, y realizó algunas contrataciones para tomar el liderazgo en la creación de la infraestructura de SOC.
Para refrescar las habilidades de sus ingenieros en este proceso, Yokogawa Electric usó los servicios de consultoría y capacitación de Elastic relacionados con las definiciones de Elastic Common Scheme (ECS) y las configuraciones de filtrado de registros de servidor de Logstash.
"En nuestro caso, recopilábamos logs de una gran variedad de productos de seguridad diferentes, por lo que si estos esquemas comunes no estaban definidos por adelantado, no podríamos mejorar las velocidades de búsqueda. Por tal motivo, era muy importante que nuestros ingenieros aprendieran ECS, y parece que esta estrategia fue muy efectiva", explicó el Sr. Shiozaki.
Yokogawa Electric avanzó con la creación de la infraestructura de SOC y sistemas de análisis de datos, y lanzó el monitoreo de seguridad en las principales plantas y oficinas (Japón, Europa, Norteamérica, Singapur, Oriente Medio e India) en el año fiscal 2019. Además, se enfocó en mejorar sus aplicaciones de detección y monitoreo. Estas iniciativas vincularon Elastic Cloud con la inteligencia de amenazas e IOC (indicadores de compromiso: indicadores y evidencia de infracciones de seguridad producto de ciberataques) para aumentar la precisión de las capacidades de detección y monitoreo de amenazas.
Además, en 2020, Yokogawa Electric amplió sus esfuerzos de monitoreo a China, Rusia, América del Sur, Taiwán, Filipinas, Indonesia y otros sitios.
Esto dio como resultado la cobertura de monitoreo de PC (software antivirus y EDR), servidores clave (servidores AD, servidores DHCP/DNS, etc.) IDS y Microsoft Azure/AWS Web Application Firewalls (WAF) en 15 sitios en todo el mundo. Los logs y datos de eventos recopilados de dichos dispositivos y sistemas también se almacenaron en un entorno de servicio gestionado de Elastic Cloud. Como dichos datos se analizan en tiempo real, este marco de trabajo de monitoreo de seguridad predice ciberataques y detecta infracciones de seguridad a diario (Fig. 2).
De los dispositivos y sistemas monitoreados, solo las PC suman aproximadamente 30 000 unidades en todo el mundo, de las cuales se recopilan a diario entre 5 y 6 millones de datos de eventos, lo que suma un total de entre 250 y 300 GB. Esto constituye un verdadero lago de datos de seguridad de logs de seguridad de diversos dispositivos.
Desarrollo de un programa de detección avanzada que combina Elastic SIEM y machine learning
Como ya se describió, Yokogawa Electric usó Elastic Cloud para configurar su infraestructura de SOC global y aumentó de manera constante su cobertura de monitoreo con el tiempo. Al reflexionar sobre esas iniciativas, el Sr. Shiozaki resume los beneficios de la implementación de Elastic Cloud de la siguiente manera.
"El principal beneficio de implementar Elastic Cloud fue que pudimos visualizar nuestra amplia variedad de logs y analizarlos en tiempo real. Además, adoptar el servicio de Elastic Cloud nos permitió crear nuestra infraestructura de SOC global más rápido. Ese fue otro beneficio sumamente importante para nuestra empresa".
En adelante, Yokogawa Electric planea fortalecer sus operaciones de monitoreo de seguridad con Elastic Cloud. Ya adoptó el servicio de SIEM de Elastic Cloud, desarrolló un programa de detección avanzado que incluye machine learning y está promoviendo el uso de MITRE ATT&CK (Tácticas y técnicas del adversario, y conocimiento común: una base de conocimientos en el que las vulnerabilidades y los ataques se categorizan por tácticas, tecnología y método).
Además, Yokogawa Electric vinculó su infraestructura de SOC con la herramienta de gestión de IT (herramienta de ITSM) ServiceNow y configuró y comenzó a usar mecanismos para agregar comentarios y métodos de solución a alertas sobre incidentes generadas por el SOC, además de enviar automáticamente notificaciones al personal relevante.
La experiencia de monitoreo de seguridad de Elastic desarrollada en el transcurso de la configuración de esta infraestructura de SOC también se comparte con los departamentos operativos de Yokogawa Electric, que proporcionan servicios de monitoreo de seguridad a los clientes, a fin de reafirmar la calidad de dichos servicios.
Elastic Cloud continúa brindando soporte a la estrategia de DX de Yokogawa Electric en la actualidad.