Yokogawa Electric Corporation: criação de uma infraestrutura de SOC global para reforçar sua estratégia de transformação digital com o Elastic Cloud

A Yokogawa Electric posicionou a transformação digital como um pilar central de sua estratégia de negócios. A principal estratégia da empresa para transformação digital é combinar seus sistemas de controle e outras tecnologias operacionais com a tecnologia da informação (TI) para fornecer serviços de suporte para fábricas inteligentes. A IA baseada na nuvem será usada para analisar grandes quantidades de dados coletados usando sensores de IoT de equipamentos nas fábricas dos clientes. Simulações de fábrica serão criadas, e os clientes receberão serviços que incluirão previsão de falha do dispositivo, substituição proativa de peça/dispositivo com base em tais previsões e gerenciamento de energia (Fig. 1).

Para resumir essa estratégia, a Yokogawa Electric fará pleno uso de tecnologias como nuvem, containers, analítica de dados, IA/ML e IIoT com o objetivo de fornecer equipamentos como serviço e transformar seu modelo de negócios tradicional baseado em “vendas de hardware + serviços de manutenção” em um modelo recorrente.

A Yokogawa Electric também está promovendo a transformação digital dentro da empresa. Por exemplo, está criando data lakes derivados de uma variedade de fontes e colocando esses dados em uso para tornar o gerenciamento orientado por dados e a administração de sistemas ainda mais eficientes.

“Ao implementar essa estratégia de transformação digital, é extremamente importante que reforcemos a segurança”, observou Tetsuo Shiozaki, vice-diretor da Sede de Estratégia Digital da Yokogawa Electric.

Por exemplo, como a tecnologia operacional tem sido tradicionalmente usada em ambientes fechados, isolados da Internet e de outras redes externas, há pouco risco de exposição a ataques cibernéticos e, às vezes, houve casos em que faltaram defesas contra esses ataques. À medida que a tecnologia operacional for combinada com a TI para promover a transição para fábricas inteligentes usando a nuvem, haverá uma forte necessidade de reforçar as defesas para ambientes de tecnologia operacional e de TI. Mecanismos e sistemas precisarão ser criados para impedir que ameaças ambientais de TI invadam ambientes de tecnologia operacional, bem como detectar rapidamente quaisquer outras ameaças que possam invadir tais ambientes.

“Para resolver esses problemas, era essencial que acumulássemos expertise em segurança de tecnologia operacional e TI. Caso contrário, pensei que seria impossível implementarmos de forma confiável nossas estratégias de transformação digital internas e externas. Tradicionalmente, a Yokogawa Electric terceirizava o monitoramento de segurança de sistemas internos da empresa para empresas de TI externas, mas revisitamos essa abordagem e decidimos estabelecer nosso próprio SOC e conduzir nosso próprio monitoramento de segurança, mesmo quando trabalhamos com empresas de TI externas”, disse Shiozaki.

A Sede de Estratégia Digital à qual pertence Shiozaki foi desmembrada da Divisão de Sistemas de Informação (Divisão de TI) e hoje é a única responsável tanto pela implementação da transformação digital dentro da empresa quanto pela criação de mecanismos de apoio à estratégia de transformação digital direcionada fora da empresa para seus clientes.

Há também divisões regionais de TI estabelecidas em escritórios em todo o mundo, mas recentemente a Sede da Estratégia Digital no Japão assumiu um papel central na mudança para serviços de TI globais compartilhados e ambientes de infraestrutura/aplicações globais otimizados e compartilhados. Essas iniciativas foram promovidas da mesma forma que os produtos de segurança, incluindo a preparação para o lançamento do SOC da empresa. “A partir do terceiro trimestre de 2018, decidimos selecionar uma solução compartilhada para estabelecer uma infraestrutura de SOC global”, disse Shiozaki.

Ao final desse processo de seleção de soluções, a Yokogawa Electric optou pela adoção do Elastic Cloud, uma solução em nuvem com uma ampla variedade de aplicações, incluindo soluções de SIEM, segurança de endpoint, caça a ameaças e monitoramento de nuvem.

Nem é preciso dizer que a empresa adotou o Elastic Cloud porque esse serviço em nuvem atendia aos requisitos necessários para estabelecer uma infraestrutura de SOC global.

Um desses requisitos era permitir a coleta e análise de logs de uma ampla variedade de dispositivos e sistemas sem dependência de um produto de segurança específico. Por exemplo, como mencionado anteriormente, a Yokogawa Electric já havia terceirizado seus serviços de monitoramento de segurança para empresas externas de TI, e essas empresas usavam um sistema de detecção de intrusão (IDS).

De acordo com Shiozaki, é difícil monitorar os complexos e avançados ataques cibernéticos de hoje apenas com o monitoramento de IDS, e falsos positivos são uma ocorrência comum. Portanto, ao construir a infraestrutura de SOC da empresa, era necessária uma solução que permitisse a coleta e análise de logs de uma variedade de dispositivos e sistemas de segurança.

No entanto, em 2018, quando o processo de seleção de ferramentas de monitoramento estava em andamento, não havia produtos de segurança compartilhados e padronizados em uso nos escritórios globais, e diferentes produtos de segurança foram usados em cada local. Para poder coletar e analisar logs de produtos tão diversos, era necessária uma solução de monitoramento gratuita e aberta que não dependesse de nenhum produto específico.

Levando em consideração os requisitos descritos acima, a Yokogawa Electric selecionou o Elastic Cloud como seu principal candidato e realizou uma prova de conceito (PoC) por três meses com início em janeiro de 2019. Os testes da empresa envolveram a coleta de logs de IDS e servidores de autenticação (servidores AD), servidores DHCP/DNS e outras fontes tanto na sede de Tóquio quanto nos escritórios de Singapura, depois o encaminhamento desses logs para o Elastic Cloud e a verificação de “quanto tempo foi necessário desde a coleta de log até a análise”. Com base nos resultados desses testes, a empresa determinou que os sistemas de monitoramento de segurança usando o Elastic Cloud funcionavam com eficácia como infraestrutura de SOC global e, em abril de 2019, a Yokogawa Electric adotou formalmente o Elastic Cloud como sua solução de segurança. O sistema usado para a prova de conceito recebeu um upgrade com recursos adicionais e, em seguida, foi implantado dessa forma no ambiente de produção. Então, a empresa lançou o desenvolvimento de sua infraestrutura de monitoramento de segurança com o objetivo de configurar um SOC.

O primeiro passo que a Yokogawa Electric deu no desenvolvimento de sua infraestrutura de SOC usando o Elastic Cloud foi contratar engenheiros familiarizados com a Elastic. Especificamente, a empresa buscou engenheiros Elastic por meio de seu centro de engenharia em Bangalore, na Índia, e fez algumas contratações que assumiram a liderança na configuração da infraestrutura de SOC.

Para aprimorar as habilidades de seus engenheiros nesse processo, a Yokogawa Electric utilizou os serviços de treinamento e consultoria da Elastic relacionados às definições do Elastic Common Scheme (ECS) e às configurações de filtragem de log do servidor Logstash.

“No nosso caso, estávamos coletando logs de uma ampla variedade de produtos de segurança diferentes; portanto, se esses esquemas comuns não fossem definidos antecipadamente, não conseguiríamos melhorar a velocidade da busca. Por essa razão, era muito importante que nossos engenheiros aprendessem o ECS, e parece que essa estratégia foi muito eficaz”, disse Shiozaki.

A Yokogawa Electric prosseguiu com a construção dos sistemas de análise de dados e infraestrutura de SOC, lançando o monitoramento de segurança nas principais fábricas e escritórios (Japão, Europa, América do Norte, Singapura, Oriente Médio e Índia) no ano fiscal de 2019. Paralelamente, concentrou-se também na melhoria de suas aplicações de monitoramento e detecção. Essas iniciativas vincularam o Elastic Cloud à inteligência de ameaças e a IOCs (indicadores de comprometimento: indicadores e evidências de violações de segurança causadas por ataques cibernéticos) para aumentar a precisão das funcionalidades de monitoramento e detecção de ameaças.

Além disso, em 2020, a Yokogawa Electric expandiu seus esforços de monitoramento para China, Rússia, América do Sul, Taiwan, Filipinas, Indonésia e outros locais.

Isso resultou na cobertura de monitoramento de PCs (software antivírus e EDR), servidores principais (servidores AD, servidores DHCP/DNS etc.), IDS e firewalls de aplicações web (WAF) do Microsoft Azure/da AWS em 15 locais em todo o mundo. Os logs e dados de eventos coletados desses dispositivos e sistemas também foram armazenados em um ambiente de serviço gerenciado no Elastic Cloud. Como esses dados são analisados em tempo real, esse framework de monitoramento de segurança prevê ataques cibernéticos e detecta violações de segurança diariamente (Fig. 2).

Dos dispositivos e sistemas monitorados, apenas os PCs totalizam cerca de 30 mil máquinas em todo o mundo, das quais são coletados de 5 a 6 milhões de dados de eventos todos os dias, totalizando 250 a 300 GB. Isso constitui um verdadeiro data lake de logs de segurança de uma variedade de dispositivos.

Conforme descrevemos acima, a Yokogawa Electric usou o Elastic Cloud para configurar sua infraestrutura de SOC global e aumentou continuamente sua cobertura de monitoramento ao longo do tempo. Analisando essas iniciativas, Shiozaki resume os benefícios da implementação do Elastic Cloud da seguinte forma:

“O maior benefício da implementação do Elastic Cloud foi que conseguimos visualizar nossa ampla variedade de diferentes logs e analisá-los em tempo real. Além disso, a adoção do serviço Elastic Cloud nos permitiu configurar nossa infraestrutura de SOC global mais rapidamente. Esse foi outro benefício extremamente significativo para nossa empresa.”

No futuro, a Yokogawa Electric planeja fortalecer suas operações de monitoramento de segurança usando o Elastic Cloud. A empresa já adotou o serviço SIEM do Elastic Cloud, desenvolveu um programa avançado de detecção que inclui machine learning e está promovendo o uso do MITRE ATT&CK (um acrônimo para Adversarial Tactics, Techniques, and Common Knowledge, ou seja, uma base de conhecimento na qual vulnerabilidades e ataques são categorizados por tática, tecnologia e método).

Além disso, a Yokogawa Electric vinculou sua infraestrutura de SOC à ferramenta de gerenciamento de TI (ferramenta ITSM) ServiceNow, e configurou e começou a usar mecanismos para adicionar comentários e métodos de solução a alertas de incidentes produzidos pelo SOC, bem como enviar notificações automaticamente para o pessoal relevante.

A expertise em monitoramento de segurança da Elastic desenvolvida durante a configuração dessa infraestrutura de SOC também está sendo compartilhada com os departamentos operacionais da Yokogawa Electric, que prestam serviços de monitoramento de segurança aos clientes, a fim de reforçar a qualidade desses serviços também.

O Elastic Cloud continua a dar suporte à estratégia de transformação de digital da Yokogawa Electric.