fbpx

Elasticㄧ加拿大貝爾公司 (Bell Canada) 用 Elastic Stack 鞏固資料安全

Elastic 成功案例 成功案例 2022 年 2 月 7 日 最後更新時間 : 2024 年 1 月 19 日

公司介紹

Bell Canada 是加拿大最大的電信公司之一,為全國的大公司、中小企業和個人提供電話、電視、互聯網和固網服務。Bell Canada 的安全營運中心 (SOC) 覆蓋了每個貝爾辦公室和業務部門,他們用日誌來檢測網路威脅。  

挑戰

Bell Canada 的資安經理 Sylvain Proulx 表示,向客戶提供服務的業務部門(如 Bell TV、Bell Internet、Bell Media 或 Bell Mobility)都使用不同的技術和應用程式,因此他們收集的日誌很多樣且不常見。日誌來自路由器、防火牆、Web 日誌、OS 日誌、應用程式日誌和許多其他裝置,其中一些會變得 ”chatty” 並產生大量資料。

SOC 僅使用 ArcSight Security Information and Event Management (SIEM) 解決方案來分析日誌和事件關聯性,還有事件響應和報告。但隨著日誌量的增加,對來自各種設備的新型日誌進行標準化處理,會使系統停滯。他們的 SIEM 解決方案也只提供以規範為基礎的檢測,沒有機器學習,因此它產生很多誤報事件,會讓他們的分析師感到警覺疲勞 (alert-fatigue)。
Proulx 說他們的 SIEM 已達極限。他們發現沒有單一的供應商解決方案可以讓他們更快地提取更多資料、建立威脅偵測模型,以及將新型的日誌標準化,同時保留資料的所有權。因此,SOC 開始使用 Elastic Stack 來加強其 ArcSight SIEM,可以自動處理高日誌量和高峰值,並產生有意義的安全資料。

Elastic Stack 的新旅程

Bell Canada 從裸機伺服器、虛擬機以及越來越多的 Docker 和 Kubernetes 容器基礎架構獲取資料。他們需要一個簡單、輕量且易自動化的日誌傳輸工具,因此他們轉向了 Beats。Bell Canada 使用 FilebeatWinlogbeat 來傳送日誌,因為它們容易設定、測試和部署。 此外,他們可以對其設定進行版本控制,且確保在網路中斷的情況下不會丟失資料。

資料在 Kafka 中排列好後,SOC 必須對各種格式的日誌進行拆解和標準化,以便進行安全分析。在 OpenShift 上執行 Logstash 可以幫助它們在流量激增時快速擴展而不會丟失日誌,而且它消耗的資源比許多虛擬機少。Bell Canada 發現在容器中使用 Logstash 的另一個優勢是,他們可以先輕鬆用 RSpec 運行它來進行測試,然後再正式使用。

日誌標準化後,SOC 會將它們儲存在 Elasticsearch 中。Bell Canada 之前的解決方案無法在不丟失日誌的情況下處理這麼多的日誌量。SOC 現在使用 Elasticsearch 來實現這一點,這使他們能快速擴展,讓工作變得更容易。

在事件被記錄下來的那天,SOC 使用多個查詢和進程來搜尋資料,這給集群帶來了很大的負擔,因此他們利用一個 “hot-warm” 架構,自動部署新節點。更強大的節點會不斷提取和搜索,但是當日誌失去價值時,它們會被運送到 warm node 以進行聚合和分析。「如果你在 Elasticsearch 中丟失了一個節點,你仍可以繼續工作。這都不是問題。您可以晚點再修復它,」Bell Canada 的資安專家暨工程師 Mathew Vandystadt 說。

保護資料安全是 SOC 的首要任務。角色型存取控制 (RBAC) 是必須的,但管理 RBAC 可能會很痛苦。有了 Elastic Stack 的安全功能,SOC 可以控制誰有資料存取權,他們可以在資料傳輸上進行加密,也可以輕鬆進行 RBAC 管理 —— 還可以與他們現有的 LDAP 綁定,這意味著他們不需要花額外的時間重新定義角色,將時間專注在更重要的安全任務。
一旦他們將資料放在他們想要的地方,SOC 分析師就可以使用它來查找安全事件 —— 有優良的資料視覺化是關鍵。Kibana 直觀的界面讓 Bell Canada 繁忙的專家們不用花額外時間來學習新查詢語言。

「Kibana 在我們的客戶案例中表現出色。原因很簡單,因為我們不需進行大量培訓,就可以獲得很好的視覺化效果。」—— Mathew Vandystadt,資安軟體工程師

Bell Canada 替針對規範的檢測找到了一種靈活的告警解決方案,但他們的分析師還需要可以與不同演算法配合的智能檢測,因此他們用了開源、以機器學習為重心的內部機器學習。Bell Canada 在 OpenShift 中的容器讓他們可以輕鬆將 Python 容器綁定到 Kafka 或 Elasticsearch,以便有所有資料的權限。然後,他們使用 ArcSight SIEM 進行事件聚合和關聯,減少誤報的比率,從而讓分析師免受警報轟炸。

Bell Canada 使用不同供應商的不同軟體建立了這整個管道,這是因為 Elastic 允許與開放的安全協定進行簡單的整合。在未來,SOC 計劃將網路威脅情報平台與其新的安全架構合併。 「有了這樣的基礎架構,我們可以比一年半前僅使用 ArcSight 解決方案時做更多的事,」Proulx 說。

相關文章

screenshot-kibana-app-search-analytics
Elastic 網路與電子商務搜尋 – 輕鬆檢索和搜尋您的網站

Elastic Enterprise Search 提供建立網站和電子商務搜尋所需的工具,免維護的爬蟲使內容保持最新,直觀的客製化功能和強大的分析功能可以完全控制搜尋的相關性,透過內建分析自動完成分面搜尋,進行客製化結果排名以深入了解用戶行為,針對您的受眾進行調整。

29 4 月 2022
Elastic Webinar Image
2016.05.27 Elastic Event

根據IDC統計,預計到2020年全球數據量將超過40ZB(相當於4兆GB),約當2011年的22倍,有別於傳統數據處理,企業面對龐大數據量和複雜結構,彰顯企業經營的價值,然Elasticsearch近年來快速崛起,成為企業即時日誌及機器資料分析等資料應用的佼佼者。

27 5 月 2016
illustration-analytics-report
Elastic 讓金融服務企業在網路安全領先群雄的 4 個方式

隨著金融機構轉移到新型基礎設施和雲端,駭客也無所不用其極地攻擊和竊取資訊。金融服務公司有機會從被動檢測轉變為主動檢測,並持續進行監控。52% 的 CISO 在過去兩年中擴大了他們的數據隱私和合規責任。他們還熱衷於減少客戶和內部舞弊(40%),並在供應商、第三方和供應鏈管理方面發揮更大作用(36%)。

08 7 月 2022
Noble-Group-Logo
Elastic Search 成功案例–來寶集團 (Noble Group)

來寶集團 (Noble Group),是一家總部位於香港,但在百慕達註冊,在新加坡股票上市的企業集團。主要業務涉及多種自然資源和原材料運輸及加工。eg. 棉花、穀物、咖啡、煤炭、鐵礦石、鋼材、鋁材以及清潔油品等。

23 1 月 2018
510-Vault Webinar-社群講師
《歐立威科技 2023 研討會》5/10 | HashiCorp Vault on AWS & K8s – 雲端地端通吃的私鑰管理平台

本次活動邀請到在金融業服務的社群講師-張哲嘉,他將分享企業如何在雲端與地端部署與應用 HashiCorp Vault。

18 4 月 2023
furuno-firewall-traffic-dashboard
Elasticㄧ日本古野電器優化海上衛星通訊

日本古野電器透過 Elasticsearch 從啟航到靠岸進行資料傳輸和分析,並藉由 Elastic Observability 中的 Kibana 視覺化服務、Elastic Maps 船舶定位,提供客戶多元解決方案並降低成本。

10 12 月 2021
Omni-X-HashiCorp-Vault
《2021 系列研討會 DevOpsDays 》11/24 | HashiCorp Vault x Kubernetes – 如何在零信任環境下提高 Kubernetes 的安全性

本次研討會將介紹 K8s 的基礎面來探討其在安全性層面上的不足之處,並展示如何利用 HashiCorp Vault 解決這類安全性問題等。也將實際 demo 給各位參考。

01 11 月 2021
Elastic ㄧ The Warehouse Group ー 建立客戶忠誠與打擊詐欺

The Warehouse 用傳統的方式檢查退貨品,每間門市有各自的檢驗流程。然而查證這些紀錄十分費時,且面臨顧客的詐欺行為。所幸 Elasticsearch 的導入讓門市人員再處理退貨時能快速查證顧客的交易歷史,避免客戶在無收據情況下謊報商品。靈活擴展性也讓 The Warehouse 處理大量資料

17 11 月 2021
2023 資安大會
2023/5/9-11 CYBERSEC 資安大會

歐立威科技代表 Elastic 再次參展 2023 資安大會!我們在攤位 C108,現場有豐富的 Elastic 內容與精美好禮,歡迎點擊下方連結報名,和我們一起進入 Elastic Security 的世界吧!

18 4 月 2023
Elastic Security: 雲端安全 – Cloud Security

Elastic Cloud 服務致力於資料安全和隱私保護,仔細審查第三方供應商的同時確保強大的實體安全性控制,藉由內建邏輯安全控制,實施存取控制和日誌紀錄、提供資料可用性,並且遵循 GDPR 和 SOC 2 的營運規則進行全方位漏洞管理,保護您的帳戶。

13 4 月 2022
Elastic Internal Workplace Search – 團隊觸手可及的知識

透過在整個企業範圍進行直觀好上手的搜尋、整合並劃分存取權限,且在雲端和地端連接您的所有資料源,以提高團隊生產力,並幫助企業輕鬆、安全地查找資訊。此外,任何團隊都能靈活的運用搜尋 API,高可用與高擴展性讓企業內部和員工在任何規模上都具有非凡的相關性。

03 5 月 2022
ELK
2021.06.09 《歐立威科技 2021 系列研討會》6月| ELK – 自動化機器學習,邁向資訊安全智能化

因應疫情期間發展,許多企業由辦公室改為遠端作業,因此資訊安全更顯得需要特別關注。本次分享將會介紹 Elasticsearch 上的資訊安全模組 SIEM 以及 Machine Learning。

01 6 月 2021
Elastic Security: Limitless XDR 單一平台解決方案

Limitless XDR 整合 SIEM 及 Endpoint 安全功能,預防、檢測和響應威脅,使用 SIEM 和安全分析進行大規模防禦,並用於跨環境分析的通用資料收集、遠端主機檢查和分佈式響應來擴展端點安全性。此外,新增 Cloud Security 的 CSPM 功能提升安全性並確保符合組織策略。

12 4 月 2022
emirates-bank
Elastic APM 成功案例|阿聯酋杜拜國家銀行確保數十億資產的安全,並提高客戶滿意度和信任度

Elastic Observability 會監控 Emirates NBD 的數百個應用程式,包括 ATM 的使用體驗。透過集中可見性 (Observability),開發人員能夠立即檢測並解決客戶的問題,例如網站問題、信用卡交易問題或 ATM 故障。這種對問題的實時可見性有助於銀行更好地管理客戶關係,並建立客戶的信任和信心。例如,當 Elastic APM 提醒銀行 ATM 機台發生故障時,銀行可以馬上聯繫受影響的客戶,向他們保證已經接手並處理中。

31 3 月 2023
6/7-Elastic-Agent
《歐立威科技 2023 研討會》6/7 | 我們不要 Beats 了!? 最新數據採集器– Elastic Agent 介紹

本次研討會介紹 Fleet 和 Elastic Agent,以及如何使用它們收集和分析數據;並與傳統的 Beats 導入資料的方式做比較,告訴你應該如何評估與選擇數據收集的工具。想知道還要不要 Beats 嗎?趕快報名一探究竟吧!

24 5 月 2023