Cuando los ciberataques vulneran incluso los sistemas de seguridad de TI más sólidos, la detección rápida es fundamental para gestionar y recuperarse de la intrusión. Mohawk trabajó con el asociado de negocios de IBM GlassHouse Systems para implementar la solución IBM Security® QRadar® Security Information and Event Management (SIEM) y detectar rápidamente filtraciones y priorizar su respuesta a incidentes.
Mohawk College quería implementar una solución SIEM líder en la industria para gestionar la defensa contra las crecientes amenazas que pudieran vulnerar al sólido sistema de protección de su complejo entorno de TI.
La universidad colaboró con GlassHouse para implementar la plataforma QRadar SIEM y ayudarle a obtener visibilidad en su entorno para detectar, investigar y responder a filtraciones de ciberseguridad.
Las instituciones de educación superior son uno de los objetivos más frecuentes para los ciberdelincuentes. Ofrecen los frutos de la propiedad intelectual, la investigación y la información personal tanto de estudiantes como de profesores. Y, por lo general, los malhechores cosechan esos frutos maduros, ya que las medidas y la tecnología de ciberseguridad suelen aplicarse de forma fragmentada, sin tener en cuenta la prevención y la respuesta sistemáticas en múltiples departamentos de la universidad o escuela superior.
"Hay tantos departamentos enfocados en diferentes cosas que se vuelve algo muy complicado", afirma Andrew Frank, Gerente de Servicios de Seguridad de TI en Mohawk College en Hamilton, Ontario. “Normalmente, si usted no cuenta con un programa de seguridad bien diseñado, los técnicos harán todo lo posible para proteger el entorno.Rápidamente comprarán algún antimalware, o tal vez instalarán firewalls nuevos y sofisticados de última generación. Y si bien esas acciones son muy importantes, solo son una parte de la lucha contra los ciberataques en una universidad como Mohawk”.
No es de extrañar que Mohawk adopte un enfoque integral de la ciberseguridad.La universidad se enfoca en la investigación aplicada, con múltiples líneas de estudio que permiten a los estudiantes adquirir experiencia del mundo real con negocios en Hamilton y el área metropolitana de Toronto. Es conocida por la innovación en sus propias operaciones, con edificios ecológicos y sistemas de calefacción y refrigeración que cuentan con la certificación LEED.
En Mohawk también se imparten clases de ciberseguridad y cuenta con un amplio departamento central de TI que supervisa la ciberseguridad de la institución. Hace varios años, quedó claro que la universidad necesitaba utilizar herramientas de ciberseguridad de última generación para protegerse y defenderse contra atacantes maliciosos.
Frank recuerda cómo evolucionó el entorno de ciberseguridad de la universidad. "Nuestro consejo universitario estaba empezando a hacer preguntas al respecto, querían saber cómo podríamos crear un programa para proteger nuestros activos críticos", afirmó. Central IT comenzó por analizar diferentes marcos industriales de seguridad, incluidos los estándares ISO 27001 e ISO 27002 para gestionar la seguridad de la información. Luego utilizó el Marco de ciberseguridad del National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) para realizar un análisis de las deficiencias y calcular su calificación en sus cinco pilares: identificar, proteger, detectar, responder y recuperar.
La universidad sabía que había hecho bien en identificar los activos que necesitaba proteger y en proteger esos activos de manera general. Sin embargo, su puntuación en detección no fue tan buena, por lo que si sus controles fallaban, no podría identificar rápidamente la filtración ni responder y recuperarse de esta. “Se puede enfocar toda esta inversión en mecanismos de protección, pero no existe una solución milagrosa”, afirma Frank."Con el tiempo, existe un alto riesgo de compromiso y un panorama complejo"..
Mohawk decidió centrarse e invertir en detección. "Queríamos asegurarnos de que, si alguien vulneraba nuestra protección, pudiéramos detectarlo y erradicarlo rápidamente de nuestra red", afirma Frank.En la educación superior, a veces pueden pasar meses antes de que alguien se dé cuenta de que los atacantes se han infiltrado en un sistema. "No queríamos que eso sucediera si nuestros sistemas eran vulnerados", afirma.
“Para nosotros era importante realizar una rápida detección, pero también las acciones siguientes”, señala Frank. "Uno quisiera poder... recrear las acciones para identificar exactamente qué sucedió y exactamente qué sistemas fueron vulnerados, para reconstruir sus sistemas después y volver a proteger su red después de una filtración".
Mohawk inició la búsqueda de una plataforma de detección líder en la industria. En ese momento, ya estaba trabajando con IBM para desarrollar su historial de ciberseguridad para incluir herramientas SIEM como la solución QRadar. Con esta sinergia en mente, Frank y sus colegas comenzaron a explorar soluciones SIEM para la universidad.
Frank describe los criterios de la universidad: "Queríamos una herramienta que fuera fácil de usar, que no requiriera demasiada capacitación para que los usuarios pudieran hacer cambios y buscar datos para ver registros de eventos y analizar el tráfico de la red". La universidad necesitaba una herramienta que no solo almacenara la información para las búsquedas, sino que también identificara y priorizara los incidentes y ofreciera la opción de aplicar IA para investigar las filtraciones más rápidamente.
QRadar se situó rápidamente a la cabeza de las soluciones que había analizado Mohawk. La herramienta se destacó de entre las demás que se habían considerado porque Gartner la había nombrado líder SIEM en su informe Magic Quadrant para SIEM, además de que tenía buena reputación con los proveedores de nube pública y había recibido sólidas referencias de otras instituciones de educación superior.
Mohawk decidió implementar la plataforma QRadar SIEM para ayudarle a detectar y priorizar más rápidamente las amenazas en su red de TI diversa y distribuida. “Así que QRadar realmente cumplió muchos requisitos una vez que determinamos qué herramienta queríamos”, afirma Frank. "Lo que necesitábamos era encontrar a alguien que, además de vendérnoslo, también pudiera prestarnos servicios profesionales relacionados con la instalación".
Mohawk seleccionó a GlassHouse, un asociado de negocios local de IBM, para implementar la solución QRadar y brindar soporte continuo personalizado a la universidad.
"Nos dimos cuenta desde el principio que todo el mundo era extremadamente profesional en GlassHouse", dice Frank. “No se limitaron a vendernos un producto e irse. Establecieron una relación con nosotros”.
GlassHouse implementó la solución QRadar y desarrolló la infraestructura en tres campus y su centro de datos principal para ayudar a la universidad a incorporar y analizar datos de múltiples sistemas y departamentos. El asociado de negocios de IBM también capacitó al equipo de Mohawk y proporcionó toda la documentación y diagramas necesarios.
La plataforma QRadar proporciona a Mohawk un panel consolidado que ayuda a su personal de seguridad de TI a visualizar la seguridad de su red. Cuando ocurre una filtración o un delito, los analistas de seguridad pueden utilizar el panel de delitos para obtener insight sobre cómo, cuándo y dónde ocurrió. La solución QRadar también prioriza los delitos según su relevancia, credibilidad y gravedad, de modo que Mohawk pueda concentrarse en responder primero a los delitos de mayor prioridad.
La solución también ofrece muchos ajustes para su personalización según las necesidades específicas de los usuarios. Por ejemplo, en la universidad hay una gran cantidad de ataques de phishing por correo electrónico contra profesores, personal y estudiantes. “Pudimos crear un panel específico para nosotros”, dice Frank. “Cuando llega un ataque de phishing y atraviesa nuestra barrera de protección, podemos rápidamente revisar los datos, ya sea la línea de asunto, los remitentes, los destinatarios o el contenido de un mensaje, seleccionar rápidamente esos mensajes y saber qué tan profundo llegaron en nuestra organización, cuál fue la propagación y cuántos usuarios se vieron afectados”.
Luego, el equipo de seguridad puede hacer un seguimiento de los usuarios para alertarlos sobre el hecho de que recibieron un mensaje de phishing y solicitar que le informen al equipo si interactuaron con este. El equipo de Mohawk también puede eliminar los mensajes del servidor de correo electrónico antes de que otros usuarios interactúen con ellos.
Mohawk también miraba hacia el futuro cuando eligió la solución QRadar. Aunque actualmente no ejecuta QRadar en la nube, Mohawk puede aprovechar la aplicación QRadar Cloud Visibility. "Queríamos asegurarnos de elegir una solución preparada para el futuro para poder incorporar información de las nubes públicas, en caso de que estuviéramos en esa posición", dice Frank. "Si decidimos colocar nuestra instancia en la nube, en lugar de ejecutarla en el sitio, QRadar realmente satisface esas necesidades para nosotros haciendo la diferencia".
Mohawk también puede establecer fácilmente un lago de datos de seguridad dentro de QRadar para casos de uso de gestión de registros y uso de SIEM con QRadar Data Store. Con QRadar Data Store, Mohawk puede recopilar, analizar y almacenar de forma rentable grandes volúmenes de datos de seguridad y operaciones de TI. Con todos los datos de seguridad en un solo lugar, Mohawk puede lograr informes de cumplimiento más sencillos, obtener resultados más reveladores y proporcionar a los equipos un conjunto de datos más sólido para consultar. Esto simplificó la implementación y redujo los costos para Mohawk, lo que fue otro diferenciador que ayudó a la universidad a elegir la solución QRadar.
GlassHouse trabajó con el equipo de seguridad para ajustar el sistema de modo que detectara las alertas que no requieren solución inmediata. Según Jeff Wilson, director de ventas de Cloud and Managed Services Sales en GlassHouse: "Queremos obtener datos procesables ... el 10 % en el que es necesario centrarse, descubrir la causa raíz y solucionarlo rápidamente".
Frank está satisfecho con la asistencia práctica de GlassHouse. “Necesitábamos servicios profesionales para poder llegar a ese punto”, afirma. “Realmente trabajamos con GlassHouse para ... asegurarnos de que estaba adaptado adecuadamente a nuestro entorno. Así que ahora sabemos que cuando tengamos un compromiso potencial en el futuro, no estaremos examinando tantos datos y tendremos una interfaz bastante limpia”.
Incluso si se cuenta con los mejores sistemas de protección de ciberseguridad, algunas amenazas logran filtrarse. Y si el equipo de seguridad no puede ver la amenaza, no puede responder a esta. Ahora, después de implementar QRadar, Mohawk puede detectar y responder rápidamente a las filtraciones de ciberseguridad.
“Todo es cuestión de visibilidad”, dice Frank. “Poder ver lo que sucede en la red, poder ver cómo las diferentes máquinas se conectan y comunican entre sí. Se trata de crear alertas para poder ver si hay un riesgo potencial en la red que requiera investigación. Con QRadar, hay una capa de visibilidad que antes no teníamos”.
Frank compara la complejidad que tenían antes al tener que supervisar el sistema de seguridad de Mohawk y la sencillez que tienen al verlo con el panel de QRadar. “Como puede imaginar, en una organización grande, puede tener muchas herramientas y dispositivos de seguridad diferentes”, afirma. "Desde antimalware en endpoints, hasta el centro de datos, pasando por firewalls (externos a la organización y también internos en diferentes ubicaciones), sensores de prevención de intrusiones, entre otros”. Anteriormente, todos estos elementos tenían sus propias interfaces únicas en las que el equipo de seguridad tenía que iniciar sesión individualmente para visualizar posibles amenazas. Y había muchas de cada tipo, repartidas en toda la organización en diferentes departamentos, campus y ubicaciones.
“Ahora, QRadar procesa todos esos datos en un solo panel para que podamos verlos“, afirma Frank. “Y luego, todas las alertas, advertencias y amenazas potenciales que surgen de esas soluciones, realmente se priorizan en un enfoque basado en riesgos para que las investiguemos. Así pues, nos ayuda a filtrar la información, agiliza el proceso y garantiza que nos centremos en los principales riesgos o amenazas”.
Mohawk también utiliza QRadar Data Store para proporcionar una gestión centralizada de registros, lo que impulsa el cumplimiento del Payment Card Industry Data Security Standard (PCI DSS) para la universidad. Según Frank, el registro centralizado también ayuda al equipo de operaciones. “Cuando en el centro de datos resolvemos problemas que no están relacionados con la seguridad, el equipo de operaciones tiene ahora acceso para poder indagar en los detalles”, afirma. “Pueden realizar búsquedas para encontrar la información que necesitan rápidamente sin tener que ingresar manualmente a todas y cada una de las máquinas e intentar revisar manualmente los registros. Creo que anticipa una serie de desafíos que enfrentará el equipo promedio de infraestructura”.
Frank se alegra de que la universidad haya elegido trabajar con un asociado de negocios de IBM como GlassHouse y elogia al equipo de GlassHouse: “Además de que tenían personal técnico, especializado y de alta calidad sobre QRadar, también contaban con personal de ciberseguridad en general. Quedamos absolutamente impresionados”.
Jeff Wilson, de GlassHouse, explica a su vez por qué tener una relación estrecha con Mohawk ha tenido éxito. “No hay nada en el entorno de Mohawk que haya sido difícil de integrar en QRadar”, afirma. “En cuestiones de seguridad, tener una relación estrecha y eficaz con un cliente (comprender sus procesos, su infraestructura y su entorno de software y donde están sus datos más críticos) es realmente importante para brindar seguridad y encontrar formas de reparar las fallas que existen. Y creo que la coincidencia entre una empresa mediana como GlassHouse y un cliente mediano como Mohawk contribuye a que este tipo de relación sea exitosa”.
El compromiso también ha sido exitoso gracias al apoyo del consejo universitario y la participación de otros departamentos, como los equipos de operaciones e infraestructura, que ya han obtenido beneficios de la solución QRadar. “Entienden qué es la herramienta, cómo funciona y cómo, en sus departamentos específicos, pueden comenzar a ver los beneficios de la herramienta en sí”, dice Frank. "Creo que fue un factor crítico de éxito, además de lograr que todos subieran al autobús y lo condujeran juntos para encontrar la solución adecuada de forma interna en la universidad".
La universidad está generando sinergia entre su departamento de seguridad entre bastidores y sus programas académicos al ofrecer cursos de ciberseguridad que incluyen SIEM. En última instancia, el uso de la plataforma QRadar puede convertirse en una herramienta de reclutamiento, ya que los estudiantes que quieran desarrollar habilidades en un ámbito de alta demanda como la ciberseguridad verán que la universidad está practicando lo que enseña mediante la implementación de una solución SIEM de última generación.
Fundada en 1966 y ubicada en Hamilton, Ontario, Canadá, Mohawk (enlace externo a ibm.com) se posiciona como un destino de educación superior reconocido por su cultura de innovación. Su misión es formar y preparar a graduados altamente capacitados para el éxito y contribuir a la comunidad. Mohawk College ofrece formación académica a más de 32.500 alumnos de tiempo completo, tiempo parcial, en formación y estudiantes internacionales, con aproximadamente 1000 profesores. Opera tres campus principales: Fennell, Stoney Creek y el Mohawk-McMaster Institute for Applied Health Sciences en la Universidad de McMaster.
Fundada en 1993 en Toronto, Canadá, la empresa que funge como asociado de negocios de IBM GlassHouse (enlace externo a ibm.com) ha estado ayudando a sus clientes de los sectores público y privado a reducir la complejidad y los costos operativos de sus entornos de TI. La empresa tiene experiencia y ofrece soluciones para la nube, servicios gestionados, seguridad empresarial, infraestructura y más. Opera desde sus oficinas corporativas en Toronto, Canadá y en Lisle, Illinois, en los EE. UU. y cuenta con aproximadamente a 80 empleados.
Legal
© Copyright IBM Corporation 2021. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504
Producido en los Estados Unidos de América, abril de 2021.
IBM, el logo de IBM, ibm.com, IBM Security y Trusteer son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden ser marcas comerciales de IBM u otras empresas. Puede consultar una lista actualizada de marcas registradas de IBM en la web, en “Información de derechos de autor y marcas comerciales” en www.ibm.com/mx-es/legal/copytrade.shtml.
Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. Los socios de negocios de IBM establecen sus propios precios, que pueden variar. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento. Es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier otro producto o programa con los productos y programas de IBM.LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.
El cliente es responsable de garantizar el cumplimiento de las leyes y regulaciones que le sean aplicables. IBM no brinda asesoría legal ni declara que sus servicios o productos garantizarán que el cliente cumpla con cualquier ley o regulación.
Declaración de buenas prácticas de seguridad. La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. El acceso inadecuado puede resultar en la alteración, destrucción, apropiación indebida o mal uso de la información o puede resultar en daños o mal uso de sus sistemas, incluso para su uso en ataques a otros. Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido. Los sistemas, productos y servicios de IBM están diseñados para ser parte de un enfoque de seguridad legal e integral, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más efectivos. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS, NI QUE VAYAN A HACER QUE SU EMPRESA SEA INMUNE A DICHA CONDUCTA.