Yokogawa Electric riduce significativamente i tempi di risposta alle minacce e di recupero

Sistema di monitoraggio della sicurezza IT globale
Yokogawa Electric sviluppa e produce apparecchiature di misurazione e controllo per le industrie petrolifere, del gas e chimiche, tra le altre. Fin dalla sua costituzione nel 1915, l'azienda fornisce apparecchiature indispensabili per il funzionamento degli impianti in Giappone e in tutto il mondo. Attualmente, i sistemi di controllo rappresentano circa il 90% delle sue vendite e le attività all'estero rappresentano circa il 70% delle vendite totali.

Yokogawa Electric si sta espandendo a livello globale; tuttavia, le sedi distribuite nel mondo hanno installato software e apparecchiature IT diverse e monitorano la sicurezza in base alle politiche locali. La conseguente gestione incoerente della sicurezza IT ha rappresentato una sfida per le operazioni globali dell'azienda.

La società ha istituito lo Yokogawa Security Operation Center (Y-SOC), il cui scopo è monitorare la sicurezza a livello centrale e migliorare le operazioni globali. A partire da giugno 2020, il centro copre 15 sedi in tutto il mondo.

"Abbiamo creato un sistema che raggruppa eventi e registri di sicurezza da circa 35.000 elementi di configurazione dell'infrastruttura IT, tra cui PC, server e gateway utilizzati in ciascuna sede. Rileva e analizza automaticamente le comunicazioni e gli eventi sospetti e invia avvisi. Gli analisti della sicurezza Y-SOC utilizzano il sistema per monitorare la sicurezza IT a livello centrale. Se viene emesso un avviso, viene chiesto ai tecnici in loco di intervenire", afferma Tetsuo Shiozaki, Deputy Head of Digital Strategy Headquarters, Yokogawa Electric Corporation.

Visibilità degli stati degli asset IT in tutte le sedi
È importante conoscere tutte le configurazioni dell'infrastruttura IT utilizzate da ciascuna sede per creare un sistema di rilevazione e analisi automatizzato.

A gennaio 2020, Yokogawa Electric ha implementato ServiceNow IT Operations Management (ITOM) con una funzione di gestione degli asset IT. Questa iniziativa ha facilitato la gestione generale e ha fornito all'azienda la piena visibilità degli asset dell'infrastruttura IT. Allo stesso tempo, l'ambito del monitoraggio della sicurezza Y-SOC si è ampliato da sei a 15 sedi, coprendo la maggior parte del territorio mondiale.

"Sono grato di avere visibilità sugli stati degli asset IT per le sedi in Paesi con severe restrizioni di accesso dall'estero, come la Cina e la Russia", afferma Shiozaki.

Una buona conoscenza degli stati di installazione degli asset IT per tutte le 35.000 sedi elimina le lacune nel monitoraggio della sicurezza e consente inoltre una buona governance, aiuta a ottimizzare la selezione dei fornitori, le applicazioni e semplifica i piani d'investimento IT globali.

Creazione di un workflow di risposta agli incidenti
Yokogawa Electric ha anche distribuito ServiceNow Security Operations per ottimizzare il workflow di risposta agli incidenti.

ServiceNow Security Operations offre varie applicazioni che semplificano le misure di risposta di sicurezza, come Threat Intelligence, che esegue ricerche efficienti e raccoglie report da più fonti di intelligence. Un'altra applicazione è ServiceNow Security Incident Response, che gestisce il ciclo di vita degli incidenti di sicurezza, coprendo tutti gli aspetti, dall'analisi degli incidenti fino al contenimento, l'eliminazione, il recupero e la revisione.

Un inventario di informazioni sugli asset IT di destinazione è indispensabile per il monitoraggio della sicurezza. Collegando ITOM e Security Operations, Yokogawa Electric ha creato un sistema centrale per determinare l'impatto degli incidenti e le risposte appropriate in base alle informazioni sugli asset provenienti da tutte le sedi.

Il collegamento ai vari strumenti Y-SOC consente a Configuration Management Database (CMDB) di assegnare la priorità quando si verificano incidenti di sicurezza, riducendo in tal modo i tempi di risposta e semplificando le azioni conseguenti del 30%.

"In passato, spesso era difficile comprendere le informazioni sui profili, come i dispositivi, gli utenti e i sistemi operativi potenzialmente colpiti da un attacco", afferma Shiozaki. "Il collegamento di ITM e ServiceNow Security Operations con Y-SOC tramite le nostre API ha semplificato il processo di identificazione e ora ho gli strumenti per comprendere meglio l'impatto di qualsiasi incidente."

Protezione automatica dalle minacce
È possibile prevenire automaticamente un maggior numero di gravi violazioni della sicurezza collegando Security Operations con il sistema automatizzato di rilevazione e analisi sviluppato dall'azienda. Nello specifico, ogni volta che vengono inviate notifiche di avviso in tempo reale a Security Operations dal sistema automatizzato di rilevazione e analisi, vengono aggregate per riferimento più fonti di dati di intelligence sulle minacce informatiche. Vengono identificati indirizzi IP, URL e nomi di dominio con livelli di minaccia elevati e, grazie a questo meccanismo, è possibile bloccare automaticamente le comunicazioni. Di conseguenza, i workflow come le revisioni regolari degli incidenti possono essere eseguiti. Il periodo tra l'incidenza delle minacce e il blocco, che in passato poteva arrivare a tre settimane, è stato ridotto a circa un minuto grazie a questo workflow.

Inoltre, le diagnosi di vulnerabilità sono incorporate nel modulo Security Operations Vulnerability Response. La definizione delle priorità si basa sulla presenza o sull'assenza di vulnerabilità nel sistema di destinazione e sulla valutazione del rischio con riferimento al log di gestione degli asset IT in ITOM. Viene inoltre stabilito un workflow per la risposta alle vulnerabilità.

"Sono soddisfatto della soluzione ServiceNow", afferma Shiozaki. "In futuro, puntiamo a fornire alla nostra clientela soluzioni di sicurezza OT e IT basate sulla nostra esperienza e sul nostro know-how per supportare la loro espansione globale."