VERBUND è la principale utility austriaca e uno dei maggiori produttori di energia idroelettrica in Europa. Per monitorare il traffico di rete in tempo reale ha scelto di affidarsi alla piattaforma ExtraHop Reveal(x), così da rilevare le anomalie e fornire in tempo reale i risultati al Security Operation Center centrale. Nell’uso quotidiano, Reveal(x) ha migliorato significativamente la capacità di rintracciare i problemi di sicurezza, dando la possibilità di rispondere più rapidamente e con maggiore precisione alle minacce, fornendo quello che l’InfoSec-team di VERBUND ha descritto come una visibilità “senza precedenti” all’interno di un flusso di lavoro altamente integrato.
L’inizio
VERBUND è il più grande produttore di elettricità in Austria e gestisce molti asset di infrastrutture critiche, coprendo circa il 40% della produzione di elettricità del paese. Come tale, l’azienda prende estremamente sul serio la cybersecurity, e ha investito in modo significativo in formazione tecnica, sistemi e competenze per proteggere le sue applicazioni aziendali, l’infrastruttura IT e la tecnologia operativa (OT).
VERBUND ha da sempre fatto affidamento su singoli dipartimenti per progettare, implementare e gestire la sicurezza all’interno dei rispettivi domini e ruoli operativi. Nel 2018 però, a seguito di una revisione strategica della propria sicurezza informatica, l’alta dirigenza dell’azienda ha deciso di consolidare le funzioni di sicurezza in un Security Operations Centre (SOC) centralizzato. Come parte di questo processo, sono state prese in esame diverse piattaforme di rilevamento e risposta di rete (NDR) cercando una soluzione definitiva che avrebbe costituito una componente molto rilevante del nuovo SOC.
La trasformazione
Il set di strumenti ExtraHop è una componente che aiuta a costruire un nuovo SOC. VERBUND ha valutato Reveal(x) insieme ad altri noti fornitori NDR in un test durato otto settimane. “Ci ha davvero aperto gli occhi su ciò che è possibile fare e ci ha permesso di capire bene funzionamento di ogni soluzione“, dichiara Florian-Sebastian Prack, OT-Security Specialist di Verbund.
ExtraHop si è dimostrato superiore in diverse aree, soprattutto in termini di capacità di base. “Alcuni sistemi si basano solo sui metadati e su un’ampia formazione, mentre ExtraHop è in grado di dare rapidamente degli approfondimenti permettendo di effettuare facilmente il drill down per trovare elementi specifici che gli altri sistemi non erano in grado di scoprire. Inoltre, dà anche visibilità al traffico criptato SSL/TLS 1.3 senza compromettere la privacy dei dati” – continua Prack.
VERBUND ha anche scoperto che Reveal(x) si combinava facilmente con i suoi sistemi e flussi di lavoro esistenti. Il team di sicurezza ha integrato Reveal(x) con il suo SIEM e il suo Atlassian Jira ITSM per fornire un metodo guidato dei processi di analisi degli avvisi e di gestione delle risposte.
Il risultato
Anche se lo sviluppo e l’organizzazione dei team per il nuovo SOC sono ancora in corso, VERBUND utilizza già ExtraHop per individuare e rispondere più rapidamente agli incidenti di sicurezza. Per esempio, la piattaforma ha identificato automaticamente un ambiente di sviluppo collegato a un server non sicuro al di fuori della rete protetta di VERBUND.
Reveal(x) ha anche rilevato anomalie precedentemente non scoperte all’interno della rete e dei flussi di dati delle applicazioni. Questa visibilità completa ha migliorato notevolmente l’accuratezza dei rilevamenti delle minacce e la velocità dei tempi di risposta.
Lo sviluppo del SOC sta procedendo rapidamente e VERBUND è fiducioso sul valore che ExtraHop Reveal(x) è in grado di offrire. L’azienda è in procinto di formare più persone per farne un utilizzo giornaliero e per creare dashboard, script aggiuntivi integrando ExtraHop come parte centrale della sicurezza e del supporto IT in tutta l’organizzazione.