A principios de 2020, ANDRITZ comenzó a ver un aumento en los incidentes de seguridad cibernética en su entorno de TI. En ese momento, el entorno era supervisado por un proveedor de servicios gestionados de seguridad (MSSP). Pero el aumento de las filtraciones señaló que era momento de hacer un cambio. En menos de seis meses tras contratar IBM Security® y desplegar un conjunto integrado de IBM® Managed Security Services (MSS), todo de forma virtual, la empresa disponía de una nueva solución de servicios de seguridad integral.
Para ANDRITZ, proveedor líder de plantas, equipos y soluciones industriales, mantenerse al día con las amenazas cibernéticas se había vuelto cada vez más difícil. Una de los motivos era que su entorno de TI incluía una variedad de sistemas y políticas de seguridad que complicaban las iniciativas de seguridad. Pero un problema mayor era la inmensidad del perímetro de seguridad y la superficie de ataque de la empresa: ANDRITZ cuenta con más de 280 centros de producción y organizaciones de servicio/ventas en todo el mundo. Aproximadamente el 50 % de sus 27 000 empleados viajan y utilizan las opciones de red y conectividad remota de la empresa para acceder automáticamente a los recursos de TI. Una gran cantidad de contratistas e ingenieros externos también tienen acceso a los sistemas clave de TI.
Klaus Glatz, director digital de ANDRITZ, reconoció los riesgos. “Tenemos todas estas conexiones remotas con nuestro equipo. No solo son empleados de ANDRITZ, también son muchas empresas externas. Por eso se trata de transparencia, visibilidad y obtener una comprensión holística de lo que está sucediendo. No puedes arriesgar las operaciones de un cliente”.
Los clientes de ANDRITZ operan centrales hidroeléctricas, fábricas de celulosa y papel, plantas químicas y fábricas metalúrgicas que dependen de las plantas, el equipo y los sistemas de la empresa para funcionar. Potencialmente, una violación de seguridad o vulnerabilidad en TI podría proporcionar abrir una vía hacia algo de mayor alcance o más catastrófico, especialmente si las intenciones de un actor de amenazas van más allá de robar datos.
Visibilidad mejorada
Obtuvo una visibilidad del 100 % en toda la red
Grandes volúmenes
La plataforma procesa millones de eventos por día
Thomas Strieder, vicepresidente de Servicios de Operaciones y Seguridad de TI del Grupo en ANDRITZ, explica: “TI proporciona infraestructura básica y servicios y aplicaciones a todos nuestros empleados, a nivel mundial. Al mismo tiempo, nuestros equipos brindan servicios de OT [tecnología operativa] a nuestros clientes. Estas dos áreas están conectadas y se conectarán mucho más en el futuro”.
Teniendo en cuenta estos riesgos y reconociendo la convergencia de TI y OT, ANDRITZ fundó su propia empresa de seguridad cibernética en OT, OTORIO, en 2018. Hoy en día, OTORIO es un pilar fundamental en la estrategia de ciberseguridad de la empresa. Pero a principios de 2020, una vez implementadas las medidas de seguridad de OT, la empresa centró su atención en TI.
Desde el principio, ANDRITZ tenía un objetivo claro y bien definido que fue más allá de simplemente implementar una colección de herramientas de seguridad cibernética operadas por un tercero. La empresa necesitaba una organización de servicios que comprendiera sus requisitos y pudiera complementar el equipo y la configuración existentes.
En julio de 2020, después de investigar a varios proveedores, ANDRITZ reemplazó su antiguo MSSP por MSS. IBM diseñó y desplegó una solución integral en menos de seis meses, incluida la integración del software, la implementación de los servicios de seguridad y la finalización de un despliegue mundial para demostrar los beneficios del modelo de software como servicio (SaaS). Como la pandemia COVID-19 no permitió a los equipos mundiales reunirse en persona, todo el trabajo se realizó a distancia y mediante reuniones virtuales. Esto exigió aún más profesionalismo y confianza de ambas partes.
“Lo primero que pensamos fue que IBM era una empresa demasiado grande, demasiado burocrática y probablemente no encajaba bien con nosotros”, admite Strieder. “Pero después de trabajar juntos, tuvimos que reajustar nuestras ideas. IBM hizo exactamente lo que esperábamos. Fueron súper flexibles. Escucharon nuestras solicitudes. Y se les ocurrieron las soluciones adecuadas”.
Para la gestión de eventos e información de seguridad (SIEM), ANDRITZ eligió la tecnología IBM Security QRadar® on Cloud desplegada como SaaS. La plataforma ayuda al centro de operaciones de seguridad (SOC) de ANDRITZ, con sede en Polonia, a centrarse en la detección y corrección de amenazas, mientras que los profesionales de IBM Security proporcionan una gestión de la infraestructura las 24 horas del día. La SIEM consume datos y registra eventos de varias fuentes en toda la red. Al aplicar analytics avanzados y correlaciones entre los tipos de datos (red, endpoint, activos, vulnerabilidad, datos de amenazas y más), el SOC obtiene un panorama integral de la seguridad.
Cuando el sistema detecta actividad o patrones sospechosos, como múltiples intentos fallidos de inicio de sesión, activa una alerta automática. Dependiendo del nivel de gravedad, el equipo de IBM Security crea un ticket o trabaja directamente con el SOC para brindar recomendaciones de respuesta. ANDRITZ también puede recurrir al equipo de IBM Incident Response Services para llevar a cabo una investigación directa.
“La solución garantiza que estemos protegidos adecuadamente”, afirma Glatz. “Tenemos mucha más información y transparencia. Por lo general, tenemos millones de eventos al día, por lo que es importante que nuestro personal comprenda y seleccione los 25 o 30 eventos más críticos que podrían ser de alto riesgo para el entorno”.
El servicio SIEM se complementa con dos servicios adicionales: IBM X-Force® Red Vulnerability Management Services más soporte de clasificación y corrección, e IBM Managed Detection and Response Services, que se integra con la tecnología antivirus CrowdStrike Falcon Prevent para acelerar la detección y corrección de amenazas.
Los servicios de gestión de vulnerabilidades X-Force Red analizan los sistemas de ANDRITZ y evalúan las vulnerabilidades de seguridad. Cada análisis produce un informe que clasifica las vulnerabilidades por gravedad con el sistema común de puntuación de vulnerabilidades (CVSS). Esto ayuda a ANDRITZ a priorizar la respuesta ante incidentes.
“Para nosotros, el componente proactivo aquí es la gestión de vulnerabilidades”, explica Strieder. “Con la gestión de vulnerabilidades se pueden hacer muchas cosas mal. Necesitábamos a alguien que trabajara con nosotros a través de estas vulnerabilidades y priorizara lo que debemos solucionar primero. Es un esfuerzo conjunto”.
Managed Detection and Response Service emite alertas que el servicio SIEM atiende. Utiliza el aprendizaje automático y la IA para evaluar las actividades que tienen lugar en las computadoras portátiles, los teléfonos celulares y otras interfaces de los empleados. Si detecta un comportamiento anómalo, puede bloquear los sistemas, lo que le da tiempo a ANDRITZ para investigar.
A fin de aumentar las capacidades de su SIEM y su programa de seguridad, ANDRITZ se beneficia de IBM Security X-Force Threat Management Services, una oferta completa que integra capacidades de insights de amenazas, protección, detección, respuesta y recuperación.
Con la tecnología y los servicios de IBM Security, ANDRITZ puede detectar y comprender de forma proactiva la gravedad, el alcance y la causa principal de las amenazas antes de que afecten a la empresa. Un único panel centralizado proporciona visibilidad e insights sin precedentes de toda la red.
“Hemos podido minimizar el impacto de los ataques porque creamos muchas fuentes bloqueadas”, dice Glatz. “Analizamos nuestra red de manera continua. IBM Security ofrece una base sólida en la que tenemos un 100 % de visibilidad y transparencia, lo que nos ayuda a resolver las amenazas en muy poco tiempo”.
Con Managed Detection and Response Services, ANDRITZ puede detectar más fácilmente comportamientos que podrían infectar potencialmente los sistemas de usuario final. Para Strieder, esto fue especialmente importante durante la pandemia. “La mayor recompensa es que estamos mejor protegidos y mucho mejor preparados en caso de que algo suceda”, afirma. “Nuestros 27 000 usuarios pudieron trabajar desde casa y pudimos protegerlos mientras trabajábamos en la implementación con IBM”.
Para ayudar a ANDRITZ a comprender y combatir las amenazas emergentes, IBM lleva a cabo una sesión de innovación y mejora continua de dos horas con la compañía cada trimestre. Para Glatz, vislumbrar el escenario de amenazas futuras es clave. “En seguridad, es necesario comprender lo que podría suceder el próximo mes o el próximo año”, afirma. “Con IBM nos hemos asociado con una empresa que tiene el poder y el potencial para anticipar lo que podría suceder dentro de seis meses”.
En el futuro, ANDRITZ busca integrar su información de OT y la inteligencia de amenazas cibernéticas de OTORIO con su SOC para obtener una visión aún más amplia del entorno de seguridad. “ANDRITZ se está transformando en un proveedor de servicios digitales”, concluye Strieder.
"Con todo lo que ofrecemos hoy en día, nuestras fábricas de papel, instalaciones hidroeléctricas, metales, etc., tenemos que prestar aún más atención a la seguridad cibernética de TI y OT. Es un camino sin fin que nunca se acabará”.
Con sede en Graz, Austria, ANDRITZ (enlace externo a IBM.com) es un proveedor internacional de plantas, equipo y servicios para centrales hidroeléctricas y fábricas de celulosa, papel y metalurgia. También ofrece soluciones para la separación sólidos/líquidos en los sectores municipal e industrial. ANDRITZ se fundó en 1852 y hoy emplea a más de 27 000 personas en más de 40 países.
OTORIO (enlace externo a ibm.com) diseña y comercializa la próxima generación de soluciones de seguridad de OT y gestión de riesgos digitales.Con sede en Tel Aviv, Israel, y oficinas en Austria y Estados Unidos, OTORIO es una parte integral de la estrategia integral de ciberseguridad de ANDRITZ.Su equipo de administración principal consiste en exmiembros del personal de Israel Defense Forces (IDF) que construyó y dio mantenimiento a su unidad de defensa cibernética.
Legal
© Copyright IBM Corporation 2022. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504
Producido en los Estados Unidos de América, marzo de 2018.
IBM, el logotipo de IBM, ibm.com,IBM Security, QRadar, y X-Force son marcas comerciales de International Business Machines Corp., registradas en diversas jurisdicciones de todo mundo.Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas.Puede consultar una lista actual de marcas comerciales de IBM en la web, en “Información sobre derechos de autor y marca registrada” en ibm.com/legal/al/trademark.
Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.
Declaración de buenas prácticas de seguridad. La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. El acceso inadecuado puede resultar en la alteración, destrucción, apropiación indebida o mal uso de la información o puede resultar en daños o mal uso de sus sistemas, incluso para su uso en ataques a otros. Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido. Los sistemas, productos y servicios de IBM están diseñados para ser parte de un enfoque de seguridad legal e integral, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más efectivos. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS, NI QUE VAYAN A HACER QUE SU EMPRESA SEA INMUNE A DICHA CONDUCTA.