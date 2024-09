Fin dall'inizio, ANDRITZ aveva un obiettivo chiaro e ben definito che andava oltre la semplice implementazione di una raccolta di strumenti di cybersecurity gestiti da terzi. L'azienda aveva bisogno di un'organizzazione di servizi che comprendesse le sue esigenze e fosse in grado di integrare il team e la struttura esistenti.

Nel luglio 2020, dopo aver esaminato diversi fornitori, ANDRITZ ha sostituito il suo precedente MSSP con MSS. IBM ha progettato e implementato una soluzione completa in meno di sei mesi, inclusa l'integrazione del software, l'implementazione dei servizi di sicurezza e il completamento dell'adozione a livello mondiale per dimostrare i vantaggi del modello SaaS (Software as a Service). Poiché la pandemia da COVID-19 non ha permesso ai team globali di incontrarsi di persona, tutto il lavoro è stato svolto da remoto e tramite riunioni virtuali. Ciò ha richiesto ancora maggiore professionalità e fiducia da entrambe le parti.

"Il nostro primo pensiero è stato che IBM fosse un'azienda troppo grande, troppo burocratica e probabilmente non adatta a noi", ammette Strieder. “Ma dopo aver lavorato insieme, ci siamo dovuti ricredere. IBM ha fatto esattamente quello che ci aspettavamo. Sono stati flessibili, hanno ascoltato le nostre richieste e hanno trovato le soluzioni adatte".

Per la gestione delle informazioni e degli eventi di sicurezza (SIEM), ANDRITZ ha scelto la tecnologia IBM® Security QRadar on Cloud implementata come SaaS. La piattaforma aiuta il security operations center (SOC) di ANDRITZ, con sede in Polonia, a concentrarsi sull'individuazione e la correzione delle minacce, mentre i professionisti della sicurezza IBM forniscono una gestione dell'infrastruttura 24 ore su 24. Il SIEM acquisisce i dati e gli eventi di log da più origini all'interno della rete. Applicando analytics e correlazioni avanzate tra i tipi di dati (rete, endpoint, asset, vulnerabilità, dati sulle minacce e altro ancora) il SOC ottiene una visione olistica della sicurezza.

Quando il sistema rileva attività o pattern sospetti, come nel caso di diversi tentativi di accesso non riusciti, attiva un avviso automatico. A seconda del livello di gravità, il team IBM Security crea un ticket o collabora direttamente con il SOC per fornire consigli sulle azioni di risposta. ANDRITZ può anche chiedere al team IBM Incident Response Services di eseguire un'indagine diretta.

"La soluzione ci garantisce una protezione adeguata", afferma Glatz. “Abbiamo molte più informazioni e una maggiore trasparenza. In genere, abbiamo milioni di eventi al giorno, quindi è importante che i nostri dipendenti individuino e selezionino i 25 o i 30 eventi più critici che potrebbero essere ad alto rischio per l'ambiente".

Il servizio SIEM è integrato da due servizi aggiuntivi: IBM® X-Force Red Vulnerability Management Services, con supporto per la classificazione e la correzione, e IBM Managed Detection and Response Services, che è integrato con la tecnologia antivirus CrowdStrike Falcon Prevent per accelerare il rilevamento e la correzione delle minacce.

I servizi di gestione delle vulnerabilità di X-Force Red scansionano i sistemi di ANDRITZ e ne valutano la vulnerabilità in termini di sicurezza. Ogni scansione produce un report che classifica le vulnerabilità in base alla gravità in base al Common Vulnerability Scoring System (CVSS). Ciò aiuta ANDRITZ a definire le priorità nella risposta agli incidenti.

"Per noi la componente proattiva è la gestione delle vulnerabilità", spiega Strieder. "Con la gestione delle vulnerabilità si possono sbagliare molte cose. Avevamo bisogno di qualcuno che lavorasse con noi su queste vulnerabilità e definisse le azioni da intraprendere prioritariamente. È un lavoro di squadra".

I Managed Detection and Response Services emettono avvisi che vengono raccolti dal servizio SIEM. Utilizzano il machine learning e l'AI per valutare le attività svolte su laptop, telefoni cellulari e altre interfacce dei dipendenti. Se rilevano un comportamento anomalo, possono bloccare i sistemi, dando ad ANDRITZ il tempo di indagare.

Per migliorare le funzionalità del proprio SIEM e del programma di sicurezza, ANDRITZ si avvale di IBM Security X-Force Threat Management Services, un'offerta completa che integra le funzionalità di analisi, protezione, rilevamento, risposta e recupero dalle minacce.