暗号化トラフィックを含むすべてのネットワーク・トラフィックにわたるリアルタイムの可視性と脅威検知
中核となるITSMアプリケーションとのシームレスな統合、合理化された脅威検知と対応活動
システムのトレーニングを必要としない使いやすいインターフェイスが、セキュリティ・チームと運用チーム全体への迅速な導入を可能に
始まり
重要なユーティリティの提供
Verbund社はオーストリア最大の発電会社であり、同国の発電量の約40%をカバーする重要なインフラストラクチャ資産を運用しています。そのためサイバーセキュリティをきわめて真摯に受け止めており、技術トレーニング、システム、専門知識に多額の投資を行って、同社のエンタープライズ・アプリケーション、ITインフラストラクチャ、オペレーショナル・テクノロジ(OT)を保護しています。従来、Verbund社はセキュリティを各部門に任せており、各部門がその領域と運用上の役割内でセキュリティを設計、実装、管理していました。しかし、2018年に実施したサイバーセキュリティの戦略的レビューを受け、経営陣はセキュリティ機能をより一元的なセキュリティ・オペレーション・センター(SOC)に集約することを決定しました。このプロセスの一環として、Verbund社は、ネットワークでの検知と対応(NDR)を提供するいくつかのプラットフォームを評価し、新たなSOCにおいて大きな意義のある要素となるソリューションを探しました。
ExtraHopのおかげで、あらゆる状況における全体像を捉え、接続されたすべてのシステムに対して各イベントが与える影響を把握できるようになりました。これは当社にとって大きな強みです。
Florian-Sebastian Prack氏
SOCプロジェクト・マネージャ兼OTセキュリティ・スペシャリスト,
Verbund社
転換
迅速で実用的な洞察の獲得
Extrahopのツールセットは、新たなSOCの構築を支援するコンポーネントの1つです。Verbund社は、8週間の概念実証の一環として、Reveal(x)を他の有名なNDRベンダと並行して評価しました。「この評価により、何が可能なのかわかって非常に驚いたと同時に、各ソリューションの仕組みを十分に理解できました。」とFlorian-Sebastian Prack氏は語ります。ExtraHopは多数の領域でその優位性を証明し、その中心的な機能は特に優れていました。「一部のシステムはメタデータと広範なトレーニングに依存しているのに対し、ExtraHopではすぐに洞察が得られ、そこから簡単にドリルダウンして特定の項目を見つけることができます。他のシステムではどうやってもこの項目を発見できませんでした。」さらにExtraHopでは、データ・プライバシーを損なうことなくSSL/TLS 1.3の暗号化トラフィックに対する可視性も得られます。これはVerbund社の重要な検討事項でした。また、Reveal(x)が既存のシステムやワークフローと簡単に連携することもわかりました。セキュリティ・チームは、Reveal(x)を同社のSIEMおよびAtlassian Jira ITSMと統合して、プロセス主導型のアラート分析/対応管理手法を提供しています。
成果
強力なツールにより、確信的なセキュリティ運用を実現
新たなSOCのチームの育成と編成は現在も続いていますが、Verbund社は既にExtraHopを使用してセキュリティ・インシデントの検知と対応を迅速化しています。一例を挙げましょう。保護されたネットワークの外にある、安全でないサーバにリンクされた開発環境をExtraHopが自動的に識別したことがあります。さらにReveal(x)は、ネットワークとアプリケーションのデータ・フローにそれまで発見されずに潜んでいた異常も検知しました。こうしたアプリケーション層の問題の多くは、以前は特定が困難でした。このReveal(x)の包括的な可視性により、脅威検知の精度と対応の速度が大きく向上しました。SOCの構築は急ピッチで進んでおり、Verbund社はExtraHop Reveal(x)が提供する価値を確信しています。現在は、より多くの人材にトレーニングを受けてもらい、ExtraHopを日常的に利用しようとしているところです。さらに、ダッシュボードと追加のスクリプトを作成することに加え、ExtraHopをセキュリティとITサポート両方の中心要素として組織全体で統合することも検討中です。