Security
Gobierno

Aprovechar Elastic para encontrar amenazas digitales

Cómo una fuerza policial europea rastrea amenazas digitales con Elastic

Hace varios años, este organismo policial nacional europeo de 22 000 oficiales y 1000 empleados de IT comenzó un viaje de transformación que incluyó la consolidación de la burocracia, la modernización de su equipo de policía y la transformación digital de su infraestructura de IT.

Un elemento clave para ese proyecto de transformación digital fue proteger la nueva y modernizada empresa que incluye alrededor de 35 000 computadoras conectadas y 250 sistemas de IT. Otros elementos del proyecto de modernización fueron una nueva tienda de aplicaciones para los smartphones de los policías, nuevos drones con cámaras, un centro de comando mejorado y telecomunicaciones especializadas para conectarse con las embajadas.

“Todas estas cosas deben ser seguras y deben funcionar todos los días, todas las noches y todo el año”, dice el gerente del centro de operaciones de seguridad del organismo.

El panorama de las amenazas internas y externas

El panorama de las amenazas para un departamento de policía es similar al que enfrentan la mayoría de las empresas. Este organismo policial europeo dice que está aprovechando Elastic para defenderse de lo siguiente:

  • Ciberataques dirigidos de actores externos que quieren robar datos
  • Actores externos que quieren destruir datos e impedir que la infraestructura policial funcione
  • Informantes malintencionados que quieren robar información, sabotear datos o evitar que la infraestructura policial funcione

En respuesta, el organismo adoptó una estrategia de seguridad que se basa en Elastic Security para prevenir, detectar y responder a estas amenazas.

"No alcanzaremos el nivel de seguridad necesario, a menos que estos tres componentes trabajen juntos", afirma el especialista en ciberseguridad del organismo.

Mejorar la búsqueda de amenazas con machine learning

Para aumentar la visibilidad, reducir el tiempo desde la detección hasta la respuesta y mejorar la capacidad de búsqueda de amenazas, el organismo creó un cluster de Elasticsearch con capas de balanceo de carga y cola de mensajes. Ahora pueden buscar y visualizar datos de logs sin procesar para la búsqueda de amenazas, crear reglas de detección avanzadas y aplicar machine learning para mejorar y acelerar la detección de anomalías. En general, la agencia multiplicó por diez su capacidad para recibir eventos por segundo (EPS) de flujos de datos de seguridad relevantes.

El proceso del departamento con Elastic comenzó en 2019 cuando probaron la versión open source de Elastic para registrar datos de endpoints. Un año después, cambiaron a una suscripción Enterprise paga y comenzaron a migrar las fuentes de datos al SIEM de Elastic con el objetivo de eliminar el SIEM heredado del organismo.

“Básicamente, podemos tomar 10 veces más datos que en el SIEM anterior. Tenemos una visibilidad totalmente diferente, muy mejorada en cuanto al sistema operativo. Estamos recopilando registros de logs de nuestros 35 000 endpoints y sensores de red”, dice el especialista sénior en seguridad cibernética del organismo. “Estamos hablando de varios miles de millones de logs. Todos los datos que necesitamos para detectar anomalías, ahora los tenemos en nuestras manos”.