A Yokogawa Electric reduz significativamente os tempos de resposta e de recuperação de ameaças

Sistema global de monitoramento de segurança de TI
A Yokogawa Electric desenvolve e fabrica equipamentos de medição e controle para as indústrias de petróleo, gás, química e outras. Desde sua fundação em 1915, a empresa fornece equipamentos indispensáveis para a operação de plantas no Japão e no mundo. Atualmente, os sistemas de controle são responsáveis por aproximadamente 90% das vendas, e os negócios no exterior representam cerca de 70% das vendas totais.

A Yokogawa Electric está se expandindo globalmente. Mas seus escritórios no mundo inteiro estão instalando diferentes equipamentos e softwares de TI e monitorando a segurança de acordo com suas próprias políticas. Isso gerou inconsistência no gerenciamento da segurança de TI e se tornou um desafio para as operações globais da empresa.

A empresa criou o Yokogawa Security Operation Center (Y-SOC) para monitorar a segurança de forma centralizada e melhorar as operações globais. Desde junho de 2020, o centro abrange 15 locais em todo o mundo.

"Criamos um sistema que compila eventos e logs de segurança de cerca de 35.000 itens de configuração de infraestrutura de TI, incluindo PCs, servidores e gateways usados em cada local. Ele detecta e analisa automaticamente comunicações e eventos suspeitos e emite alertas. Os analistas de segurança do Y-SOC usam o sistema para monitorar a segurança de TI de forma centralizada. Se um alerta é emitido, os engenheiros locais precisam agir", diz Tetsuo Shiozaki, vice-chefe da sede de estratégia digital da Yokogawa Electric Corporation.

Visibilidade dos status de ativos de TI em todos os locais
É importante conhecer todas as configurações de infraestrutura de TI usadas por cada local para criar um sistema automatizado de detecção e análise.

Em janeiro de 2020, a Yokogawa Electric implementou o ServiceNow IT Operations Management (ITOM) com um recurso de gerenciamento de ativos de TI. Isso facilitou o gerenciamento geral e permitiu que a empresa tivesse visibilidade total dos ativos de infraestrutura de TI. Ao mesmo tempo, o escopo do monitoramento de segurança do Y-SOC expandiu de 6 para 15 locais globalmente, cobrindo a maior parte do mundo.

"Estou grato por conseguir ter visibilidade dos status dos ativos de TI de locais situados em países com restrições de acesso internacional rigorosas, como a China e a Rússia", diz Shiozaki.

Ter uma boa compreensão do status de instalação de ativos de TI de todos os 35.000 locais elimina as lacunas no monitoramento de segurança e melhora a governança, otimiza a seleção de fornecedores e aplicativos e simplifica os planos globais de investimento em TI.

Criação de um fluxo de trabalho de resposta a incidentes
A Yokogawa Electric também implantou o ServiceNow Security Operations para otimizar seu fluxo de trabalho de resposta do incidente.

O ServiceNow Security Operations oferece vários aplicativos que simplificam as medidas de resposta de segurança. Isso inclui o Threat Intelligence, que realiza pesquisas eficientes e reúne relatórios de várias fontes de inteligência. O ServiceNow Security Incident Response é um aplicativo que gerencia os ciclos de vida dos incidentes de segurança, abrangendo todos os aspectos: análise do incidente, contenção, eliminação, recuperação e revisão.

Um inventário de informações de ativos de TI de destino é indispensável para o monitoramento de segurança. Ao unir o ITOM e o Security Operations, a Yokogawa Electric criou um sistema central para determinar o impacto de incidentes e as respostas adequadas com base nas informações de ativos de todos os locais.

A conexão com as várias ferramentas do Y-SOC permite que o Configuration Management Database (CMDB) defina prioridades quando ocorrem incidentes de segurança. Isso reduz os tempos de resposta e simplifica 30% as ações de resposta.

"No passado, muitas vezes era difícil entender informações de perfil, como dispositivos, usuários e sistemas operacionais que eram possíveis alvos de ataques", diz Shiozaki. "Quando unimos as operações de segurança ITOM e ServiceNow Security Operations ao Y-SOC por meio de nossas APIs, o processo de identificação ficou mais simples, e agora consigo entender melhor o impactos de qualquer incidente."

Proteção automatizada contra ameaças
O Security Operations e o sistema automatizado de detecção e análise desenvolvido pela empresa juntos evitam automaticamente violações de segurança mais graves. Ou seja, sempre que notificações de alerta em tempo real são enviadas para o Security Operations a partir do sistema automatizado de detecção e análise, várias fontes de dados de inteligência de ameaças cibernéticas são agregadas para fornecer referências. IPs, URLs e nomes de domínio com altos níveis de ameaça são identificados, e as comunicações são bloqueadas automaticamente por esse mecanismo. Como resultado, fluxos de trabalho, como revisões regulares de incidentes, podem ser realizados. O tempo do fluxo de trabalho de identificação de incidências de ameaças e bloqueio passou de três semanas para cerca de um minuto.

Além disso, os diagnósticos de vulnerabilidade são incorporados ao módulo Vulnerability Response do Security Operations. A priorização é baseada na presença ou ausência de vulnerabilidades no sistema de destino e na avaliação de risco com referência ao log de gerenciamento de ativos de TI no ITOM. Um fluxo de trabalho de resposta à vulnerabilidade também é criado.

"Estou muito satisfeito com a solução da ServiceNow", diz Shiozaki. "No futuro, nosso objetivo é fornecer soluções de segurança de TI e OT aos nossos clientes com base em nossa experiência e conhecimento para apoiar a expansão global."