All’inizio del 2020, ANDRITZ ha iniziato a registrare un aumento degli incidenti di cybersecurity nel proprio ambiente IT. All'epoca, l'ambiente veniva monitorato da un provider di servizi di sicurezza gestiti (MSSP). Ma l'aumento delle violazioni indicava che era giunto il momento di cambiare. In meno di sei mesi, dopo essersi rivolta a IBM® Security e aver implementato un set integrato di IBM® Managed Security Services (MSS), il tutto in modo virtuale, l'azienda disponeva di una nuova soluzione completa di servizi di sicurezza.
Per ANDRITZ, fornitore leader di impianti, apparecchiature e soluzioni industriali, tenere il passo con le minacce informatiche era diventato sempre più difficile. Uno dei motivi era che il suo ambiente IT includeva una varietà di sistemi e politiche di sicurezza che rendevano le procedure di sicurezza più complesse. Ma un problema più grande era la vastità del perimetro di sicurezza e della superficie di attacco dell'azienda: ANDRITZ vanta oltre 280 siti di produzione e organizzazioni di assistenza/vendita in tutto il mondo. Circa il 50% dei 27.000 dipendenti viaggia e utilizza la rete e le opzioni di connettività remota dell'azienda per accedere automaticamente alle risorse IT. Anche una serie di appaltatori e ingegneri terzi ha accesso ai principali sistemi informatici.
Klaus Glatz, Chief Digital Officer di ANDRITZ, si è reso conto dei rischi. “Abbiamo molte connessioni remote alle nostre apparecchiature. Non sono solo da parte dei dipendenti di ANDRITZ, ma anche da molte aziende esterne. Per questo sono fondamentali la trasparenza, la visibilità e la comprensione globale di ciò che sta accadendo. Non possiamo mettere a rischio le operazioni di un cliente".
I clienti di ANDRITZ gestiscono centrali idroelettriche, cartiere, impianti chimici e fabbriche di lavorazione dei metalli che si affidano agli impianti, alle apparecchiature e ai sistemi dell'azienda per funzionare. Potenzialmente, una violazione della sicurezza o una vulnerabilità nell'IT potrebbero fornire una via d'accesso a qualcosa di molto più esteso o catastrofico, soprattutto se le intenzioni degli attori delle minacce vanno oltre il furto di dati.
Visibilità migliorata
100% di visibilità ottenuta su tutta la rete
Volumi enormi
La piattaforma elabora milioni di eventi al giorno
Thomas Strieder, VP Group IT Security and Operation Services presso ANDRITZ, spiega: “L’IT fornisce infrastrutture, servizi e applicazioni di base a tutti i nostri dipendenti, a livello globale. Allo stesso tempo, i nostri team forniscono servizi OT [tecnologia operativa] ai nostri clienti. Queste due aree sono connesse e lo saranno sempre di più in futuro”.
Tenendo conto di questi rischi e riconoscendo la convergenza di IT e OT, nel 2018 ANDRITZ ha fondato la propria società di cybersecurity OT, OTORIO. Oggi, OTORIO è un pilastro fondamentale della strategia di sicurezza informatica dell'azienda. Ma all'inizio del 2020, dopo aver messo in atto le misure di sicurezza OT, l'azienda ha rivolto la sua attenzione all'IT.
Fin dall'inizio, ANDRITZ aveva un obiettivo chiaro e ben definito che andava oltre la semplice implementazione di una raccolta di strumenti di cybersecurity gestiti da terzi. L'azienda aveva bisogno di un'organizzazione di servizi che comprendesse le sue esigenze e fosse in grado di integrare il team e la struttura esistenti.
Nel luglio 2020, dopo aver esaminato diversi fornitori, ANDRITZ ha sostituito il suo precedente MSSP con MSS. IBM ha progettato e implementato una soluzione completa in meno di sei mesi, inclusa l'integrazione del software, l'implementazione dei servizi di sicurezza e il completamento dell'adozione a livello mondiale per dimostrare i vantaggi del modello SaaS (Software as a Service). Poiché la pandemia da COVID-19 non ha permesso ai team globali di incontrarsi di persona, tutto il lavoro è stato svolto da remoto e tramite riunioni virtuali. Ciò ha richiesto ancora maggiore professionalità e fiducia da entrambe le parti.
"Il nostro primo pensiero è stato che IBM fosse un'azienda troppo grande, troppo burocratica e probabilmente non adatta a noi", ammette Strieder. “Ma dopo aver lavorato insieme, ci siamo dovuti ricredere. IBM ha fatto esattamente quello che ci aspettavamo. Sono stati flessibili, hanno ascoltato le nostre richieste e hanno trovato le soluzioni adatte".
Per la gestione delle informazioni e degli eventi di sicurezza (SIEM), ANDRITZ ha scelto la tecnologia IBM® Security QRadar on Cloud implementata come SaaS. La piattaforma aiuta il security operations center (SOC) di ANDRITZ, con sede in Polonia, a concentrarsi sull'individuazione e la correzione delle minacce, mentre i professionisti della sicurezza IBM forniscono una gestione dell'infrastruttura 24 ore su 24. Il SIEM acquisisce i dati e gli eventi di log da più origini all'interno della rete. Applicando analytics e correlazioni avanzate tra i tipi di dati (rete, endpoint, asset, vulnerabilità, dati sulle minacce e altro ancora) il SOC ottiene una visione olistica della sicurezza.
Quando il sistema rileva attività o pattern sospetti, come nel caso di diversi tentativi di accesso non riusciti, attiva un avviso automatico. A seconda del livello di gravità, il team IBM Security crea un ticket o collabora direttamente con il SOC per fornire consigli sulle azioni di risposta. ANDRITZ può anche chiedere al team IBM Incident Response Services di eseguire un'indagine diretta.
"La soluzione ci garantisce una protezione adeguata", afferma Glatz. “Abbiamo molte più informazioni e una maggiore trasparenza. In genere, abbiamo milioni di eventi al giorno, quindi è importante che i nostri dipendenti individuino e selezionino i 25 o i 30 eventi più critici che potrebbero essere ad alto rischio per l'ambiente".
Il servizio SIEM è integrato da due servizi aggiuntivi: IBM® X-Force Red Vulnerability Management Services, con supporto per la classificazione e la correzione, e IBM Managed Detection and Response Services, che è integrato con la tecnologia antivirus CrowdStrike Falcon Prevent per accelerare il rilevamento e la correzione delle minacce.
I servizi di gestione delle vulnerabilità di X-Force Red scansionano i sistemi di ANDRITZ e ne valutano la vulnerabilità in termini di sicurezza. Ogni scansione produce un report che classifica le vulnerabilità in base alla gravità in base al Common Vulnerability Scoring System (CVSS). Ciò aiuta ANDRITZ a definire le priorità nella risposta agli incidenti.
"Per noi la componente proattiva è la gestione delle vulnerabilità", spiega Strieder. "Con la gestione delle vulnerabilità si possono sbagliare molte cose. Avevamo bisogno di qualcuno che lavorasse con noi su queste vulnerabilità e definisse le azioni da intraprendere prioritariamente. È un lavoro di squadra".
I Managed Detection and Response Services emettono avvisi che vengono raccolti dal servizio SIEM. Utilizzano il machine learning e l'AI per valutare le attività svolte su laptop, telefoni cellulari e altre interfacce dei dipendenti. Se rilevano un comportamento anomalo, possono bloccare i sistemi, dando ad ANDRITZ il tempo di indagare.
Per migliorare le funzionalità del proprio SIEM e del programma di sicurezza, ANDRITZ si avvale di IBM Security X-Force Threat Management Services, un'offerta completa che integra le funzionalità di analisi, protezione, rilevamento, risposta e recupero dalle minacce.
Grazie ai servizi e alla tecnologia di IBM Security, ANDRITZ può rilevare e comprendere in modo proattivo la gravità, l’entità e la causa principale delle minacce prima che colpiscano l’azienda. Un'unica dashboard centralizzata offre visibilità e insight senza precedenti provenienti dall'intera rete.
"Siamo stati in grado di ridurre al minimo l'impatto degli attacchi creando molte fonti bloccate", afferma Glatz. "Analizziamo la nostra rete costantemente. IBM Security offre una base solida caratterizzata da visibilità e trasparenza al 100%, che ci aiuta a risolvere le minacce in un periodo di tempo molto breve.
Con i Managed Detection and Response Services, ANDRITZ è in grado di rilevare più facilmente i comportamenti che potrebbero potenzialmente infettare i sistemi degli utenti finali. Per Strieder questo è stato particolarmente importante durante la pandemia. "Il vantaggio più grande è che siamo più sicuri e più preparati nel caso in cui succeda qualcosa", dice. "I nostri 27.000 utenti hanno potuto lavorare da casa e siamo riusciti a proteggerli mentre lavoravamo all'implementazione con IBM".
Per aiutare ANDRITZ a individuare e combattere le minacce emergenti, ogni trimestre IBM organizza con l'azienda una sessione di due ore dedicata al miglioramento continuo e all'innovazione. Per Glatz, avere uno sguardo sul panorama delle minacce future è fondamentale. “Nella sicurezza, è importante capire cosa potrebbe accadere il prossimo mese o il prossimo anno”, afferma. "Collaborando con IBM, abbiamo trovato un'azienda che ha il potere e la capacità di anticipare ciò che potrebbe accadere da qui a sei mesi".
In futuro, ANDRITZ intende integrare le informazioni OT e la cyber threat intelligence di OTORIO con il proprio SOC per ottenere una visione ancora più ampia dell'ambiente di sicurezza. "ANDRITZ si sta trasformando in un provider di servizi digitali", conclude Strieder.
"Con tutto ciò che forniamo oggi, le nostre cartiere, gli impianti idroelettrici, i metalli e così via, dobbiamo prestare ancora più attenzione alla sicurezza informatica IT e OT. È un viaggio continuo che non avrà mai fine".
Con sede a Graz, Austria, ANDRITZ (link esterno a ibm.com) è un fornitore internazionale di impianti, attrezzature e servizi per le centrali idroelettriche e per le industrie della cellulosa e della carta e della lavorazione dei metalli. Offre inoltre soluzioni per la separazione solido/liquido per il settore pubblico e industriale. ANDRITZ è stata fondata nel 1852 e oggi impiega oltre 27.000 persone in più di 40 paesi.
OTORIO (link esterno a ibm.com) progetta e commercializza l'ultima generazione di soluzioni di sicurezza OT e gestione del rischio digitale. Con sede a Tel Aviv, Israele, con uffici in Austria e negli Stati Uniti, OTORIO è parte integrante della strategia olistica di cybersecurity di ANDRITZ. Il suo gruppo dirigente principale è costituito da ex membri del personale delle Forze di difesa israeliane (IDF) che hanno costruito e gestito la sua unità di difesa informatica.
Legale
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, marzo 2022.
IBM, il logo IBM, ibm.com, IBM Security, QRadar e X-Force sono marchi di International Business Machines Corp., registrati in diverse giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web alla pagina "Copyright and trademark information" all'indirizzo ibm.com/legal/copyright-trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati e danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato totalmente sicuro e nessun singolo prodotto, servizio o misura di sicurezza è da considerarsi completamente efficace nella prevenzione dell’uso o dell’accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE SISTEMI, PRODOTTI O SERVIZI SIANO ESENTI DA O RENDERANNO L’AZIENDA ESENTE DA CONDOTTA MALEVOLA O ILLEGALE DI UNA QUALSIASI PARTE.