VERBUND es la principal empresa de servicios públicos de Austria y uno de los mayores productores de energía hidroeléctrica de Europa. Tras una revisión de sus procesos de ciberseguridad, VERBUND seleccionó ExtraHop Reveal(x) para ayudar a supervisar el tráfico de la red en tiempo real, detectar anomalías y alimentar los resultados en el Centro de Operaciones de Seguridad central. En el uso diario, Reveal(x) mejoró significativamente la capacidad de rastrear los problemas de seguridad y responder más rápidamente con mayor precisión, dando lo que el equipo de InfoSec de VERBUND describió como una visibilidad «sin precedentes» dentro de un flujo de trabajo altamente integrado
El comienzo
VERBUND es el mayor productor de electricidad de Austria y gestiona activos de infraestructuras críticas que cubren aproximadamente el 40% de la generación de electricidad del país. Como tal, la empresa se toma la ciberseguridad muy en serio y ha invertido significativamente en formación técnica, sistemas y experiencia para proteger sus aplicaciones empresariales, su infraestructura de TI y su tecnología operativa (OT).
Tradicionalmente, VERBUND ha confiado en departamentos individuales para diseñar, implementar y gestionar la seguridad dentro de sus respectivos dominios y funciones operativas. Sin embargo, tras una revisión estratégica de la ciberseguridad en 2018, la alta dirección decidió consolidar las funciones de seguridad en un Centro de Operaciones de Seguridad (SOC) más centralizado. Como parte de este proceso, VERBUND evaluó varias plataformas de detección y respuesta a la red (NDR) en busca de la solución que formaría un componente muy relevante componente de su nuevo SOC.
La transformación
El conjunto de herramientas Extrahop es un componente que ayuda a construir el nuevo SOC. VERBUND evaluó Reveal(x) junto con otros conocidos proveedores de NDR como parte de una prueba de concepto de ocho semanas. «Realmente nos abrió los ojos a lo que es posible y nos dio una buena comprensión de cómo funcionaba cada solución», dijo Florian-Sebastian Prack.
ExtraHop demostró ser superior en varias áreas, especialmente en lo que respecta a sus capacidades básicas. «Algunos de los otros sistemas se basan únicamente en los metadatos y en una amplia formación, mientras que ExtraHop es capaz de ofrecer rápidamente información y de profundizar en ella para encontrar elementos específicos que los otros sistemas simplemente no podían descubrir. También da visibilidad al tráfico cifrado SSL/TLS 1.3 sin comprometer la privacidad de los datos, una consideración importante para VERBUND.
VERBUND también descubrió que Reveal(x) se acoplaba fácilmente a sus sistemas y flujos de trabajo existentes. El equipo de seguridad ha integrado Reveal(x) con su SIEM y su ITSM Atlassian Jira para proporcionar un método basado en procesos para analizar las alertas y gestionar las respuestas.
El resultado
Aunque el desarrollo y la organización de equipos para el nuevo SOC están en curso, VERBUND ya utiliza ExtraHop para detectar y responder más rápidamente a los incidentes de seguridad.
En un ejemplo, ExtraHop identificó automáticamente un entorno de desarrollo vinculado a un servidor no seguro fuera de su red protegida.
Reveal(x) también ha detectado anomalías no descubiertas anteriormente en la red y en los flujos de datos de las aplicaciones. Muchos de estos problemas en la capa de aplicación eran difíciles de detectar antes.
Esta amplia visibilidad ha mejorado notablemente la precisión de las detecciones de amenazas y la velocidad de los tiempos de respuesta.
El desarrollo del SOC avanza rápidamente y VERBUND confía en el valor que aporta ExtraHop Reveal(x). Ahora están en proceso de conseguir que más personas reciban formación y utilicen ExtraHop a diario. También están estudiando la creación de cuadros de mando, scripts adicionales y la integración de ExtraHop como parte fundamental de la seguridad y el soporte de TI en toda la organización. toda la organización.