Quando os ciberataques violam até mesmo os sistemas de segurança de TI mais fortes, a detecção rápida é fundamental para o gerenciamento e a recuperação da intrusão. A Mohawk trabalhou com a GlassHouse Systems, parceira de negócios da IBM, para implementar a solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) da IBM Security® QRadar® para detectar rapidamente violações e priorizar sua resposta a incidentes.
A Mohawk College queria implementar uma solução SIEM líder do setor para gerenciar as defesas contra ameaças crescentes que poderiam violar o sistema já robusto que protege seu ambiente de TI complexo.
A faculdade trabalhou com a GlassHouse para implementar a plataforma QRadar SIEM para ajudá-la a obter visibilidade em seu ambiente para detectar, investigar e responder a violações de cibersegurança.
As instituições de ensino superior são um dos alvos mais ricos e propensos a ataques cibernéticos. Elas oferecem o fruto de propriedade intelectual, pesquisas e informações pessoais, tanto de alunos quanto de professores. E geralmente, esse alvo fácil é facilmente explorado por indivíduos mal-intencionados, pois as medidas de cibersegurança e tecnologia são frequentemente implementadas de forma fragmentada, sem uma abordagem sistemática de prevenção e resposta em vários departamentos universitários.
"Há muitos departamentos fazendo coisas diferentes, e isso se torna um cenário complicado de proteger", declara Andrew Frank, Gerente de Serviços de Segurança da TI da Mohawk College, em Hamilton, Ontário. "Normalmente, se você não tem um programa de segurança bem pensado, o pessoal técnico fará de tudo para proteger o ambiente. Eles rapidamente comprarão algum antivírus ou talvez instalarão firewalls de sofisticados última geração. E embora essas correções sejam muito importantes, são apenas parte do combate aos ciberataques em faculdades como a Mohawk".
Não é uma surpresa que a Mohawk adote uma abordagem abrangente para a cibersegurança. A faculdade se concentra na pesquisa aplicada, com múltiplas linhas de estudo que permitem aos alunos obter experiência do mundo real com empresas em Hamilton e na área metropolitana de Toronto. Ela é conhecida pela inovação em suas próprias operações, com edifícios verdes com certificação LEED e sistemas de aquecimento e resfriamento.
A Mohawk também ministra cursos de cibersegurança e possui um extenso departamento de TI central que supervisiona a cibersegurança da instituição. Há vários anos, ficou claro que o colégio precisava usar ferramentas de cibersegurança de última geração para proteger e se defender contra invasores maliciosos.
Frank lembra como o ambiente de cibersegurança da faculdade evoluiu. "Nosso conselho estava começando a fazer perguntas sobre isso, perguntando como poderíamos criar um programa em torno da proteção de nossos ativos críticos", comenta. A TI central começou examinando diferentes estruturas do setor para segurança, incluindo os padrões ISO 27001 e ISO 27002 para gerenciamento de segurança da informação. Em seguida, usou a estrutura de cibersegurança do National Institute of Standards and Technology (NIST CSF) para conduzir uma análise de diferença e classificar-se em cinco pilares: identificar, proteger, detectar, responder e recuperar.
A faculdade sabia que havia feito um bom trabalho na identificação dos ativos que precisava proteger e na proteção desses ativos de maneira geral. No entanto, não teve um desempenho tão bom na detecção, portanto, se seus controles falhassem, não poderia identificar rapidamente a violação e avançar para responder e recuperar-se da violação. "Você pode investir em todos esses mecanismos de proteção, mas não existe uma solução mágica", afirma Frank. "No fim das contas, há um alto risco de comprometimento e um cenário complexo."
A Mohawk decidiu concentrar-se na detecção e investir nessa área. "Queríamos ter certeza de que, se alguém ultrapassasse nossa proteção, poderíamos detectá-lo e erradicá-lo rapidamente da nossa rede", afirma Frank. No ensino superior, às vezes pode levar meses até alguém perceber que os invasores se infiltraram em um sistema. "Não queríamos que isso acontecesse se nossos sistemas fossem violados", diz ele.
“A detecção rápida era importante para nós, mas o que acontecia depois do fato também era”, observa Frank. “É preciso ser capaz de... reproduzir os eventos para identificar exatamente o que aconteceu e exatamente quais sistemas foram afetados, para reconstruir seus sistemas após o fato e proteger sua rede novamente após uma violação".
A Mohawk iniciou uma busca por uma plataforma de detecção líder do setor. Na época, a empresa já estava trabalhando com a IBM para desenvolver seu currículo de cibersegurança para incluir ferramentas de SIEM, como a solução QRadar. Foi com essa sinergia em mente que Frank e seus colegas começaram a explorar soluções de SIEM para a faculdade.
Frank descreve os critérios da faculdade: "Queríamos uma ferramenta de fácil uso, que não exigisse quantidades substanciais de treinamento para que os usuários pudessem navegar e pesquisar dados para ver registros de eventos e analisar o tráfego da rede". A faculdade precisava de uma ferramenta que não apenas armazenasse informações para pesquisas, mas também identificasse e priorizasse os incidentes e oferecesse a opção de aplicar IA para investigar violações mais rápido.
O QRadar rapidamente se destacou entre as soluções investigadas pela Mohawk. A ferramenta destacou-se entre as outras consideradas porque a Gartner a elegeu líder de SIEM em seu relatório Magic Quadrant for SIEM, tinha boa relação com provedores de nuvem pública e havia recebido boas referências de outras instituições de ensino superior.
A Mohawk decidiu implementar a plataforma QRadar SIEM para ajudá-la a detectar e priorizar rapidamente as ameaças em sua rede de TI diversificada e distribuída. "Portanto o QRadar realmente atendeu a muitas de nossas necessidades assim que determinamos qual ferramenta queríamos", diz Frank. "Precisávamos apenas encontrar alguém que pudesse não somente nos vender, mas também fornecer serviços profissionais de instalação."
A Mohawk selecionou a GlassHouse, uma parceira de negócios local da IBM, para implementar a solução QRadar e fornecer suporte contínuo personalizado à faculdade.
"Desde o início, percebemos que todos na GlassHouse eram extremamente profissionais", diz Frank. "Eles não estavam lá apenas para nos vender algo e dar o fora. Eles estabeleceram um relacionamento com a gente".
A GlassHouse implementou a solução QRadar, construindo a infraestrutura em três campi e em seu data center principal para ajudar a faculdade a colher e analisar dados de vários sistemas e departamentos. O parceiro de negócios da IBM também treinou a equipe da Mohawk e forneceu toda a documentação e diagramação necessária.
A plataforma QRadar fornece à Mohawk um painel consolidado que ajuda sua equipe de segurança de TI a visualizar a segurança de sua rede. Quando ocorre uma violação ou delito, os analistas de segurança podem usar o painel de incidentes para obter insights sobre como, quando e onde ocorreu. A solução QRadar também prioriza os delitos com base em sua relevância, credibilidade e gravidade, para que a Mohawk possa se concentrar em responder primeiro aos delitos de maior prioridade.
A solução também é altamente configurável de acordo com as necessidades específicas dos usuários. Por exemplo, a faculdade enfrenta uma grande quantidade de ataques de phishing por e-mail direcionados a professores, funcionários e alunos. Conseguimos criar um painel para nós mesmos", diz Frank. "Quando um ataque de phishing entra e ultrapassa nossa barreira de proteção, podemos rapidamente analisar os dados, seja o assunto, os remetentes, os destinatários ou o conteúdo de uma mensagem, e rapidamente identificar essas mensagens e entender o quanto elas penetraram em nossa organização, qual foi a propagação e quantos usuários foram afetados."
A equipe de segurança pode então acompanhar os usuários para alertá-los sobre o fato de terem recebido uma mensagem de phishing e solicitar que informem a equipe se interagiram com ela. A equipe do Mohawk também pode remover as mensagens do servidor de e-mail antes que outros usuários interajam com elas.
A Mohawk também estava considerando o futuro quando escolheu a solução QRadar. Embora atualmente não esteja executando o QRadar na nuvem, a Mohawk pode utilizar o aplicativo QRadar Cloud Visibility. "Queríamos ter certeza de que estávamos escolhendo uma solução que estivesse preparada para o futuro para ser capaz de captar informações das nuvens públicas, caso acabemos nessa posição", diz Frank. "Se decidirmos colocar nossa instância na nuvem, em vez de executá-la no local, o QRadar realmente atende a essas necessidades para nós e realmente se diferenciou."
A Mohawk também pode estabelecer facilmente um data lake de segurança no QRadar para gerenciamento de log e casos de uso de SIEM com o QRadar Data Store. Com o QRadar Data Store, a Mohawk pode coletar, analisar e armazenar, com economia, grandes volumes de dados de segurança e operações de TI. Com todos os dados de segurança em um só lugar, a Mohawk pode obter relatórios de conformidade mais fáceis, obter resultados mais esclarecedores e fornecer às equipes um conjunto de dados mais robusto para consultas. Isso simplificou a implementação e reduziu os custos para a Mohawk, o que foi outro diferencial que ajudou a faculdade a escolher a solução QRadar.<br>
A GlassHouse trabalhou com a equipe de segurança para ajustar o sistema para filtrar os alertas que não requerem remediação imediata. Segundo Jeff Wilson, diretor de vendas de serviços em nuvem e gerenciados da GlassHouse, "queremos chegar aos dados práticos ...os 10% nos quais é preciso se concentrar, descobrir a causa raiz e remediar rapidamente."
Frank está satisfeito com a assistência prática da GlassHouse. "Realmente precisávamos de serviços profissionais para chegar a esse ponto", diz ele. "Trabalhamos muito com a GlassHouse para garantir que tivéssemos tudo ajustado corretamente para o nosso ambiente. Agora sabemos que, se tivermos uma possível violação no futuro, não teremos que vasculhar tantos dados e teremos uma interface bastante limpa."
Mesmo com os melhores sistemas de proteção de cibersegurança, algumas ameaças conseguem passar. E se a equipe de segurança não conseguir ver a ameaça, não poderá responder a ela. Agora, após a implementação do QRadar, a Mohawk pode identificar rapidamente e responder a violações de cibersegurança.
"O objetivo principal é visibilidade", diz Frank. "Poder ver o que está acontecendo na rede, poder ver como as diversas máquinas se conectam e se comunicam entre si. A ideia é criar alertas para poder ver se há uma possível violação na rede que exija investigação. Com o QRadar, há uma camada de visibilidade que não tínhamos anteriormente."
Frank compara a complexidade anterior de supervisionar o sistema de segurança Mohawk e a atual simplicidade de consultá-la com o painel do QRadar. "Se você puder imaginar, em uma grande organização, poderá ter muitas ferramentas e dispositivos de segurança diferentes", diz ele. “Dos antimalware nos endpoints ao data center e aos firewalls, externos à organização e também internamente em diversos locais, sensores de prevenção de intrusão e outros". Anteriormente, todos esses elementos tinham suas próprias interfaces únicas em cujas contas a equipe de segurança tinha que entrar individualmente para ver possíveis ameaças. E havia muitos de cada elemento, espalhados por toda a organização em diversos departamentos, campi e locais.
“Agora, o QRadar reúne todos esses dados em um painel para podermos ver”, afirma Frank. "E então todos os alertas, avisos e ameaças potenciais que surgem dessas soluções são realmente priorizados de acordo com uma abordagem baseada em risco para podermos investigar. Portanto isso realmente ajuda a filtrar as informações; torna tudo rápido e garante que estamos concentrados nos principais riscos e ameaças".
A Mohawk utiliza o QRadar Data Store para oferecer gerenciamento de logs centralizado, o que aumenta a conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) da faculdade. O registro centralizado também ajuda a equipe de operações, de acordo com Frank. "Quando estamos resolvendo problemas no data center não relacionados à segurança, a equipe de operações agora tem acesso para analisar os detalhes", diz ele. "Eles podem fazer buscas para encontrar as informações de que precisam rapidamente, sem precisarem entrar manualmente em cada máquina e tentar revisar os registros manualmente. Acredito que isso acelera várias dificuldades que a média das equipes de infraestrutura enfrenta."
Frank está satisfeito com o fato de a faculdade ter optado por trabalhar com um parceiro de negócios da IBM como a GlassHouse e elogia a equipe da GlassHouse: "Eles não só tinham uma equipe técnica bem informada e de alta qualidade envolvida com o QRadar, mas também cibersegurança em geral. Ficamos muitíssimo impressionados.”
Jeff Wilson, da GlassHouse, por sua vez, explica por que ter um relacionamento próximo com a Mohawk tem gerado sucesso. "Não há nada no ambiente da Mohawk que tenha sido difícil em termos de integração com o QRadar", afirma. "Em segurança, ter um envolvimento próximo e eficaz com um cliente, conhecer seus processos, sua infraestrutura e seu ambiente de software e onde se encontram seus dados mais críticos, é realmente importante para oferecer segurança e encontrar maneiras de corrigir as lacunas existentes. E essa adequação entre uma empresa de médio porte como a GlassHouse e um cliente de médio porte como a Mohawk, acho que contribui para esse tipo de envolvimento bem-sucedido."
O engajamento também teve sucesso graças ao apoio do conselho da faculdade e à adesão de outros departamentos, como as equipes de operações e infraestrutura, que já colheram benefícios da solução QRadar. "Eles entendem o que é a ferramenta, como funciona e como podem começar a ver benefícios da própria ferramenta em seus departamentos exclusivos", afirma Frank. "Acho que isso também foi um fator de sucesso importante, assim como levar todos a embarcarem no mesmo barco e navegarem juntos para encontrar a solução certa internamente na faculdade."
A faculdade está criando sinergia entre seu departamento de segurança nos bastidores e seus programas acadêmicos, oferecendo cursos de cibersegurança que incluem SIEM. Em última análise, o uso da plataforma QRadar pode se tornar uma ferramenta de recrutamento, pois os alunos que desejam desenvolver habilidades em uma área de alta demanda, como cibersegurança, verão que a faculdade está praticando o que ensina ao implementar uma solução SIEM de última geração.
Fundada em 1966, a Mohawk (link fora do site ibm.com), localizada em Hamilton, Ontário, no Canadá, posiciona-se como um destino pós-secundário conhecido por sua cultura de inovação. Sua missão é educar e preparar graduados altamente qualificados para o sucesso e a contribuição para a comunidade. A Mohawk College educa mais de 32.500 estudantes em período integral, meio período, aprendizes e estudantes internacionais, com aproximadamente mil professores. Opera três campi principais: Fennell, Stoney Creek e o Mohawk-McMaster Institute for Applied Health Sciences na McMaster University.
Fundada em 1993 em Toronto, no Canadá, a GlassHouse, parceira de negócios da IBM (link fora do site da ibm.com) , tem ajudado seus clientes nos setores público e privado a reduzir a complexidade e os custos operacionais de seus ambientes de TI. A empresa possui experiência e fornece soluções para nuvem, serviços gerenciados, segurança corporativa, infraestrutura e outros. Opera a partir de sua sede corporativa canadense em Toronto e de sua sede nos Estados Unidos em Lisle, Illinois, e emprega aproximadamente 80 pessoas.
Legal
© Copyright IBM Corporation 2021. IBM corporation, IBM security, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América, abril de 2021.
IBM, o logotipo da IBM, ibm.com, IBM Security e Trusteer são marcas comerciais da International Business Machines Corp., registradas em diversas jurisdições em todo o mundo. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Há uma lista atual de marcas registradas da IBM disponível na web em “Copyright and trademark information" em www.ibm.com/br-pt/legal/copytrade.shtml.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Os parceiros de negócios da IBM definem seus próprios preços, que podem variar. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Os dados de desempenho e os exemplos de clientes citados são apresentados apenas para fins ilustrativos. Os resultados reais de desempenho podem variar de acordo com configurações e condições operacionais específicas. É responsabilidade do usuário avaliar e verificar a operação de qualquer outro produto ou programa com produtos e programas IBM. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO FORNECIDAS NO ESTADO EM QUE SEM ENCONTRAM, SEM QUALQUER GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO SEM QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.
O cliente é responsável por garantir a conformidade com as leis e regulamentações aplicáveis a ele. A IBM não fornece conselho jurídico ou representa ou garante que seus serviços ou produtos garantirão que o cliente esteja em conformidade com qualquer lei ou regulamento.
Declaração de boas práticas de segurança: a segurança do sistema de TI envolve proteger sistemas e informações por meio da prevenção, detecção e resposta a acessos inadequados de dentro e fora da empresa. O acesso indevido pode resultar na alteração, destruição, apropriação indevida ou uso indevido de informações ou pode resultar em danos ou uso indevido de seus sistemas, inclusive para uso em ataques a terceiros. Nenhum sistema ou produto de TI deve ser considerado completamente seguro e nenhum produto, serviço ou medida de segurança pode ser completamente eficaz na prevenção de uso ou acesso impróprio. Os sistemas, produtos e serviços IBM são projetados para fazer parte de uma abordagem de segurança legal e abrangente, que necessariamente envolverá procedimentos operacionais adicionais, e podem exigir outros sistemas, produtos ou serviços para serem mais eficazes. A IBM NÃO GARANTE QUE NENHUM DE SEUS SISTEMAS, PRODUTOS OU SERVIÇOS ESTEJA IMUNE NEM QUE TORNARÁ SUA EMPRESA IMUNE A CONDUTAS MALICIOSAS OU ILEGAIS POR PARTE DE TERCEIROS.