«Використовуючи Splunk Enterprise на AWS, ми маємо набагато кращий спосіб захисту Shell… ніж будь-коли раніше».
Оскар БрінкМенеджер із кіберзахисту, Shell Information Technology International BV
Британсько-голландська компанія зі штаб-квартирою в Нідерландах працює в більш ніж 70 країнах.
Залишатись поперед у сфері кібербезпеки
Shell Information Technology International BV , іменована в цій статті як Shell, є міжнародною енергетичною компанією, яка має досвід у розвідці, видобутку, переробці та маркетингу нафти та природного газу, а також у виробництві та маркетингу хімічних речовин. Британсько-голландська компанія зі штаб-квартирою в Нідерландах працює в більш ніж 70 країнах. Як і будь-яка велика корпорація з міжнародною популярністю, Shell має захищати себе від постійного шквалу загроз кібербезпеці. Зокрема, в нафтогазовій промисловості останніми роками спостерігається зростання кібератак, і в результаті Shell критично поглянула на своє рішення для управління інформацією та подіями безпеки (SIEM) і розглянула шляхи його покращення.
«У нас було традиційне локальне рішення SIEM, яке не можна було масштабувати відповідно до майбутніх вимог», – каже Оскар Брінк, менеджер CyberDefence в Shell. «Перехід на хмарне рішення забезпечить масштабоване та економічно ефективне рішення, що дозволить нам також інтегруватися з розширеною аналітикою».
Компанія хотіла дивитися на тенденції та проводити детальний аналіз протягом більш тривалого періоду часу, що вимагає більшого набору історичних даних.
Shell також хотіла включити пошук кіберзагроз — можливість аналізувати дані для проактивного виявлення вразливостей. «Для полювання вам в першу чергу потрібно аналізувати дані старше семи днів», — каже Стефан Хазенбрук, аналітик CyberDefence. «Наше рішення SIEM не змогло задовольнити ці вимоги, оскільки воно мало обмежені можливості для зберігання історичних даних».
Рішення компанії SIEM також досягло фізичних меж можливостей. «Ми вже передавали через нього більше даних, ніж могла впоратися архітектура», — каже Хазенбрук. «Нам потрібне середовище SIEM, яке ми могли б легко масштабувати».
Перехід до хмари AWS
Shell вирішила розширити своє рішення SIEM, застосувавши Splunk Enterprise і Splunk Enterprise Security, платформу, яку компанія могла б використовувати для швидкого пошуку та аналізу історичних даних машин і журналів зі своїх різних систем. Він вирішив розмістити Splunk на Amazon Web Services (AWS), оскільки AWS запропонував масштабованість і гнучкість, необхідні для забезпечення глобального впливу Shell.
Компанія передбачала збирати кілька терабайт даних журналів на день зі своїх різних систем, і вона хотіла зберігати більше даних для історичного аналізу. «Ми швидко прийшли до висновку, що локальне рішення не буде рентабельним, оскільки щотижня нам знадобляться додаткові сервери та сховище», — каже Хазенбрук.
Хоча спочатку вона мала намір зберегти своє рішення SIEM в реальному часі на місці — і додати Splunk на AWS для історичного аналізу — Shell в кінцевому підсумку вирішила інтегрувати два рішення (історичне та в режимі реального часу) зі Splunk на AWS.
«Ми зрозуміли, що запуск нашого рішення SIEM в реальному часі на AWS дасть нам більш надійне та масштабоване рішення, ніж локальне, де ми продовжуємо боротися з потрібними апаратними компонентами», — каже Брінк. «Краще було мати інтегроване рішення, яке дозволило б нам здійснювати моніторинг у режимі реального часу, а також глибокий аналіз історичних даних і мати всі наші дані в одній системі».
Розширення можливостей швидкого аналізу за допомогою Amazon EBS
Shell використовує приблизно 100 екземплярів Amazon Elastic Compute Cloud (Amazon EC2) для запуску інфраструктури Splunk на AWS. «Ми використовуємо екземпляри Amazon EC2 c4.2 для переадресаторів Splunk, екземпляри c4.8 для індексаторів Splunk і екземпляри c4.4 для пошукових програм Splunk», — каже Хазенбрук.
Він також має кілька локальних екземплярів для переміщення даних на платформу Splunk, а також використовує автентифікацію клієнта SSL, щоб забезпечити надійне з’єднання. «Ми вирішили не використовувати VPN між ними, тому що не хотіли бути обмеженими швидкістю з’єднання», – каже Хазенбрук. «Ми знали, що будемо надсилати кілька терабайт на день через це з’єднання».
Для індексаторів — компонентів Splunk, які зберігають дані та обробляють пошукові запити — Shell використовує два типи томів Amazon Elastic Block Store (Amazon EBS) для оптимальної продуктивності та вартості. «Індексатори Splunk вимагають дійсно швидких дисків і великої кількості IOPS», — каже Хазенбрук. Shell виявила, що томи Amazon EBS gp2 забезпечують швидкість, необхідну для даних за останні 30 днів, які найчастіше шукають. Протягом решти 11 місяців даних, які шукаються рідше, він використовує томи sc1, які забезпечують найнижчу вартість за гігабайт з усіх типів томів Amazon EBS.
Створення масштабованого рішення для кібербезпеки
Завдяки масштабованості AWS і функціональності Splunk Enterprise Security, Shell має комплексне рішення SIEM і засоби для аналізу даних в реальному часі та історичних даних, а також для того, щоб залишатися попереду постійно мінливого ландшафту кібербезпеки.
«Наше оригінальне локальне рішення SIEM мало масштабованість, і ми не змогли обробити всі події необхідним чином», — каже Брінк. «Ми не могли підтримувати дані більше двох днів і не мали можливості перевірити або подивитися на тенденції. Це означало, що певні зловмисні спроби тривали довше, перш ніж їх помітили».
Зараз Shell завантажує кілька терабайт даних щодня в Splunk і має озеро даних у кілька петабайт для використання для історичного аналізу, а це означає, що її команда CyberDefence може брати участь у визначенні тенденцій та активному пошуку кіберзагроз. «Використовуючи Splunk Enterprise на AWS, ми маємо набагато кращий спосіб захисту Shell і периметра Shell — як внутрішнього, так і зовнішнього, — оскільки ми маємо набагато більші можливості, ніж будь-коли раніше», — каже Брінк.
Сьогодні компанія може запобігти виникненню інцидентів, виявляючи вразливі місця за допомогою аналізу даних та закриваючи їх заздалегідь. «Наша команда CyberDefence зараз знаходить більш ніж вдвічі більше подій, які могли б призвести до інцидентів та порушень безпеки», — каже Брінк. «Ми дійсно задоволені гнучкістю, масштабованістю та функціональністю нашого рішення Splunk SIEM на AWS порівняно з нашим старим локальним рішенням».
Можна довго розповідати про переваги хмарних сервісів AWS, але краще один раз самому переконатися у цьому.
Зателефонуйте нам за номером +38 (044) 277-23-23 або надішліть нам листа за адресою aws@wiseit.com.ua, і ми детальніше розповімо вам про хмарні рішення AWS, так їх переваги.