No início de 2020, a ANDRITZ começou a ver um aumento nos incidentes de cibersegurança em seu ambiente de TI. Na época, o ambiente foi monitorado por um provedor de serviços de segurança gerenciada (MSSP). Mas o aumento das violações sinalizou que era hora de mudança. Em menos de seis meses após o contato com a IBM® Security e a implementação de um conjunto integrado do IBM® Managed Security Services (MSS) — tudo feito virtualmente — a empresa tinha uma nova e abrangente solução de serviços de segurança.
Para a ANDRITZ, uma fornecedora líder de plantas industriais, equipamentos e soluções, acompanhar as ameaças cibernéticas tornou-se cada vez mais difícil. Uma das razões era que seu ambiente de TI incluía uma variedade de sistemas e políticas de segurança que complicavam os esforços de segurança. Mas um problema maior era a vastidão do perímetro de segurança da empresa e a área de superfície de ataque: a ANDRITZ possui mais de 280 locais de produção e organizações de serviço/vendas em todo o mundo. Aproximadamente 50% dos seus 27.000 funcionários viajam e usam a rede da empresa e opções de conectividade remota para acessar automaticamente recursos de TI. Uma série de terceiros, contratados e engenheiros, também têm acesso a sistemas de TI chave.
Klaus Glatz, diretor digital da ANDRITZ, reconheceu os riscos. "Temos todas essas conexões remotas com nosso equipamento. Não se trata apenas de funcionários da ANDRITZ, mas também de muitas empresas externas. É por isso que tudo se resume a transparência, visibilidade e obtenção de uma compreensão abrangente do que está acontecendo. Você não pode arriscar a operação de um cliente."
Os clientes da ANDRITZ operam usinas hidrelétricas, fábricas de papel e celulose, fábricas químicas e metalúrgicas que dependem das plantas, equipamentos e sistemas da empresa para funcionar. Potencialmente, uma violação de segurança ou vulnerabilidade em TI pode fornecer um caminho para algo muito mais abrangente ou catastrófico, especialmente se as intenções de um agente de ameaça vão além do roubo de dados.
Visibilidade aprimorada
Obteve 100% de visibilidade em toda a rede
Volumes enormes
A plataforma processa milhões de eventos por dia
Thomas Strieder, vice-presidente do grupo de serviços de pperação e segurança de TI da ANDRITZ, detalha: "A TI fornece infraestrutura e serviços e aplicações básicas a todos os nossos funcionários, globalmente. Ao mesmo tempo, nossas equipes estão prestando serviços de TO [tecnologia operacional] aos nossos clientes. Essas duas áreas estão conectadas e ficando muito mais conectadas no futuro.""
Com esses riscos em mente e reconhecendo a convergência de TI e TO, a ANDRITZ fundou sua própria empresa de segurança cibernética de TO, a OTORIO, em 2018. Hoje, o OTORIO é um pilar crucial na estratégia de segurança cibernética da empresa. Mas, no início de 2020, com as medidas de segurança de TO implementadas, a empresa voltou sua atenção para a TI.
Desde o início, a ANDRITZ tinha um objetivo claro e bem definido que ultrapassou a simples implementação de uma coleção de ferramentas de segurança cibernética operadas por terceiros. A empresa precisava de uma organização de serviços que entendesse seus requisitos e pudesse complementar a equipe e a configuração existentes.
Em julho de 2020, após investigar vários provedores, a ANDRITZ substituiu seu antigo MSSP por MSS. A IBM projetou e implementou uma solução abrangente em menos de seis meses, incluindo a integração do software, a implementação dos serviços de segurança e a conclusão de uma implementação mundial para demonstrar os benefícios do modelo de software como serviço (SaaS). Como a pandemia COVID-19 não permitiu que as equipes globais se encontrassem pessoalmente, todo o trabalho foi feito remotamente e por meio de reuniões virtuais. Isso exigia ainda mais profissionalismo e confiança de ambos os partidos.
"Nosso primeiro pensamento foi que a IBM era uma empresa muito grande, muito burocrática e que provavelmente não seria uma boa opção para nós", admite Strieder. “Mas depois de trabalharmos juntos, tivemos que reajustar nossos pensamentos. A IBM fez exatamente o que queríamos. Eles foram muito flexíveis, ouviram nossas demandas e vieram com as soluções certas."
Para o gerenciamento de eventos e informações de segurança (SIEM), a ANDRITZ escolheu a tecnologia IBM® Security QRadar on Cloud, implantada como SaaS.A plataforma ajuda o centro de operações de segurança baseado na Polônia (SOC) da ANDRITZ a se concentrar na detecção e correção de ameaças, enquanto os profissionais de segurança da IBM fornecem gerenciamento ininterrupto da infraestrutura.O SIEM ingere dados e registra eventos de várias fontes em toda a rede.Ao aplicar funções analíticas avançadas e correlações entre tipos de dados (redes, endpoints, ativos, vulnerabilidades, dados de ameaças e muito mais), o SOC dá uma visão abrangente da segurança.
Quando o sistema detecta atividades ou padrões suspeitos, como várias tentativas de login fracassadas, ele aciona um alerta automatizado. Dependendo do nível de gravidade, a equipe de segurança da IBM cria um ticket ou trabalha diretamente com o SOC para fornecer recomendações de resposta. A ANDRITZ também pode chamar a equipe do IBM® Incident Response Services para realizar uma investigação direta.
"A solução garante a proteção adequada", diz Glatz. "Temos muito mais informações e transparência. Normalmente, temos milhões de eventos por dia, por isso é importante que nossos funcionários entendam e selecionem os 25 ou 30 eventos mais críticos que podem ser de alto risco para o meio ambiente."
O serviço SIEM é complementado por dois serviços adicionais: IBM® X-Force Red Vulnerability Management Services, além de suporte a classificação e correção, e IBM® Managed Detection and Response Services, que está integrado à tecnologia antivírus CrowdStrike Falcon Prevent para acelerar a detecção e a correção de ameaças.
O X-Force Red Vulnerability Management Services verifica os sistemas da ANDRITZ e avalia as vulnerabilidades de segurança. A cada verificação é gerado um relatório que avalia as vulnerabilidades conforme a gravidade usando o sistema comum de pontuação de vulnerabilidades (CVSS). Isso ajuda a ANDRITZ a priorizar a resposta a incidentes.
“Para nós, o componente proativo aqui é o gerenciamento de vulnerabilidades”, explica Strieder. “Com o gerenciamento de vulnerabilidades, é possível fazer muitas coisas erradas. Precisávamos de alguém que trabalhasse conosco nessas vulnerabilidades e priorizasse o que precisávamos resolver primeiro. É um esforço conjunto."
O Managed Detection and Response Services identifica alertas que são coletados pelo serviço SIEM. Ele usa aprendizado de máquina e IA para avaliar as atividades que acontecem nos notebooks, celulares e outras interfaces dos funcionários. Se detectar comportamento anômalo, ele poderá bloquear sistemas, dando tempo ANDRITZ para investigar.
Para aumentar os recursos de seu SIEM e programa de segurança, a ANDRITZ aproveita o IBM® Security X-Force Threat Management Services, uma oferta abrangente que integra insights de ameaças, proteção, detecção, resposta e recursos de recuperação.
Com os serviços e a tecnologia da IBM® Security, a ANDRITZ pode detectar proativamente a gravidade, o escopo e a causa raiz das ameaças antes que elas afetem os negócios. Um único painel centralizado oferece visibilidade e insights sem precedentes de toda a rede.
"Conseguimos minimizar o impacto dos ataques porque criamos muitas fontes bloqueadas", diz Glatz. "Analisamos nossa rede continuamente. O IBM® Security oferece uma base sólida onde temos 100% de visibilidade e transparência, o que nos ajuda a solucionar ameaças em um período de tempo muito curto."
Com o Managed Detection and Response Services, a ANDRITZ pode detectar mais facilmente comportamentos que podem potencialmente infectar os sistemas do usuário final. Para Strieder, isso foi especialmente importante durante a pandemia. "A maior recompensa é que estamos mais seguros e estamos muito mais preparados caso algo aconteça", diz ele. "Nossos 27.000 usuários puderam trabalhar em casa e conseguimos protegê-los — enquanto estávamos trabalhando com a implementação com a IBM."
Para ajudar a ANDRITZ a entender e combater ameaças emergentes, a IBM realiza uma sessão de inovação e melhoria contínua de duas horas com a empresa a cada trimestre. Para Glatz, é fundamental ter uma visão do futuro cenário de ameaças. "Em segurança, você precisa entender o que pode acontecer no próximo mês ou no próximo ano", diz ele. “Com a IBM, fizemos uma parceria com uma empresa que tem o poder e o potencial de antecipar o que pode acontecer daqui a seis meses.”
No futuro, a ANDRITZ busca integrar suas informações de TO e a inteligência de ameaças cibernéticas da OTORIO com seu SOC para obter uma visão ainda mais ampla do ambiente de segurança. "A ANDRITZ está se transformando em uma provedora de serviços digitais", conclui Strieder."
“Com tudo o que fornecemos hoje — nossas fábricas de papel, instalações hidrelétricas, metais e assim por diante — precisamos prestar ainda mais atenção à segurança cibernética de TI e TO. É uma jornada contínua que nunca vai parar.”
Com sede em Graz, Áustria, a ANDRITZ (link fora de ibm.com) é uma fornecedora internacional de plantas, equipamentos e serviços para estações de hidráulico e para as indústrias de papel e metalurgia. Ele também oferece soluções para separação sólida/líquida nos setores municipal e industrial. A ANDRITZ foi fundada em 1852 e hoje emprega mais de 27.000 pessoas em mais de 40 países.
A OTORIO (link fora de ibm.com) projeta e comercializa a próxima geração de soluções de gerenciamento de riscos digitais e segurança de TO.Sediada em Tel Aviv, Israel, com escritórios na Áustria e nos EUA, a OTORIO é uma parte integrada da estratégia holística de segurança cibernética da ANDRITZ.Sua equipe de gerenciamento principal consiste em ex-funcionários das Forças de Defesa de Israel (IDF) que construíram e mantiveram sua unidade de defesa cibernética.
Legal
© Copyright IBM Corporation 2022. IBM corporation, IBM security, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América, março de 2022.
IBM, o logotipo IBM, ibm.com, IBM Security, QRadar e X-Force são marcas comerciais da International Business Machines Corp., registradas em diversas jurisdições em todo o mundo. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Há uma lista atualizada de marcas comerciais da IBM disponível na Web em "Informações de direitos autorais e marcas comerciais" em ibm.com/legal/copyright-tradem.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Os dados de desempenho e exemplos de clientes citados são apresentados apenas para fins ilustrativos. Os resultados reais de desempenho podem variar de acordo com configurações e condições operacionais específicas. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO FORNECIDAS NO ESTADO EM QUE SEM ENCONTRAM, SEM QUALQUER GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO SEM QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.
Declaração de boas práticas de segurança: a segurança do sistema de TI envolve proteger sistemas e informações por meio da prevenção, detecção e resposta a acessos inadequados de dentro e fora da empresa. O acesso indevido pode resultar na alteração, destruição, apropriação indevida ou uso indevido de informações ou pode resultar em danos ou uso indevido de seus sistemas, inclusive para uso em ataques a terceiros. Nenhum sistema ou produto de TI deve ser considerado completamente seguro e nenhum produto, serviço ou medida de segurança pode ser completamente eficaz na prevenção de uso ou acesso impróprio. Os sistemas, produtos e serviços IBM são projetados para fazer parte de uma abordagem de segurança legal e abrangente, que necessariamente envolverá procedimentos operacionais adicionais, e podem exigir outros sistemas, produtos ou serviços para serem mais eficazes. A IBM NÃO GARANTE QUE NENHUM DE SEUS SISTEMAS, PRODUTOS OU SERVIÇOS ESTEJA IMUNE NEM QUE TORNARÁ SUA EMPRESA IMUNE A CONDUTAS MALICIOSAS OU ILEGAIS POR PARTE DE TERCEIROS.