“在信息安全这一高度动态的领域,我们一直在研究其趋势,并希望及时应对不断变化的威胁形势。具备综合性和高效性的 Microsoft SOC 安全运维解决方案,可以协作我们整合现有的安全架构、设备、工具和系统,实现全球业务范围内的安全运维一体化管理。通过自动化规则、即时报表和响应通知等功能,我们可以更快速发现并评估安全威胁,及时采取措施主动应对,这极大地提升了我们的安全运营效能。”—— 宁波均胜电子股份有限公司首席数据官 (CDO)余成波
作为一家全球领先的汽车电子与汽车安全供应商,宁波均胜电子股份有限公司(简称“均胜电子”)已经与全球顶尖整车厂商建立了长期合作关系。均胜电子深知,只有持续提升产品质量和服务水平,树立卓越的品牌形象,才能赢得客户的信赖与青睐。而确保公司内信息系统、数据平台的安全可靠,则是其重中之重。均胜电子采用基于Microsoft Sentinel 及 Microsoft Defender 产品服务构成的Microsoft SOC(Security Operation Center,安全运维中心)解决方案,旨在帮助均胜电子实现以下目标:
● 提升安全管控能力:实施简单,自动收集多源头安全日志数据,并进行分析,快速了解安全威胁的最新情况及其可能造成的影响,及时采取措施应对。
● 提高安全运维效率:配置自动化规则,一旦检测到安全威胁,自动触发告警并通知相关人员,更快速地发现和处理安全事件,采用较低成本,提高运维效率。
● 增强安全风险感知度:发现公司未曾监控的安全领域,并帮助公司提高对安全风险的感知度,更早地发现潜在的安全威胁,并采取措施加以防范。
● 实现全局安全透明度:提供全球化安全态势报表,展示所有子公司安全状况概览,了解全球各子公司的安全状况,并制定、推行更具针对性的安全策略。
均胜电子是一家典型的全球化企业,总部位于中国,并负责对分布在海外的四大核心业务实体进行管理。作为一家注重业务稳健发展、并已成为汽车安全的龙头企业,均胜电子一直以来都十分重视信息安全建设,并积极投资于诸多全球领先的安全工具。
“车企对信息安全的需求其实远大于很多人的认知,一方面是公司本身的知识资产,另一方面是车主客户的信息安全,特别是智能驾驶领域。这对于公司运营连续性、客户信任和品牌信誉,以及法规遵从,具有重要意义,我们在这些方面必须要做得比以往更好。”——均胜电子首席数据官余成波
Microsoft SOC 安全运维中心使用 Microsoft Sentinel SIEM(安全信息与事件管理)能力和 Microsoft Defender XDR(扩展检测与响应)能力所生成的数据来识别威胁,并使用 Sentinel SOAR(安全编排、自动化及响应)服务处理威胁和完成修复。这让均胜电子的全球化 IT 环境,包括本地、云端、应用、网络和设备,均得到了全天候监控,并降低了本地基础结构的规模和复杂性。
提升安全管控能力
均胜电子在亚洲、北美、欧洲等主要汽车出产国均拥有生产基地布局,每个业务主体各自拥有独立的 IT 安全团队来把控信息安全决策权。因此,在信息安全标准制定、信息安全策略采用、信息安全等级落实,以及信息安全事件响应上,各子公司之间难免存在差异。“这种不对称性很可能会导致我们在遇到安全事件时,需要花费较多人力和时间来定位问题根源,并做有效处置”, 均胜电子首席数据官余成波表示。
为避免因安全风险的评判标准、预防机制和应对措施不一致而导致的潜在风险,集团总部希望采用一体化技术手段来对各子公司的信息安全实现统筹管理。均胜电子经过考察和对比,最终选择了 Microsoft SOC 解决方案,并与 Microsoft 紧密合作,共同完成部署。
“它是一个统一的安全运营中心平台,可以将来自不同国家、不同位置、不同工具的安全数据进行整合和分析,为均胜电子提供全面的安全态势感知。”。”——均胜电子首席数据官余成波
均胜电子首席数据官余成波希望借助 Microsoft SOC 解决方案,让均胜电子能够在一个统一的平台上关联并打通所有安全工具和能力,形成一个自动化安全运维的管控平台。而其中,部署 Microsoft Sentinel 并在实施后对其进行设置以连接安全服务的效率,比没有该解决方案前至少将时间缩短了 80%。“这让我们能够以全方位视角洞察全球子公司的整体安全建设情况,包括安全事件的追溯和评判。Microsoft SOC 解决方案有效提升了均胜电子的全球一体化安全管控能力,为公司的稳健发展提供了坚实的信息安全保障”。
优化安全运维效率
“在当今的网络环境中,安全运维效率极为重要”,均胜电子首席数据官余成波表示:“Microsoft SOC 解决方案为均胜电子赋予了一系列自动化 IT 运维和安全管控能力,帮助公司的信息安全团队更快速发现和评估潜在的安全威胁,及时采取措施加以预防和响应。”
在正在运行的 Microsoft SOC 解决方案中,均胜电子实现了自动化日志收集和分析。“我们很早就将 Microsoft 365 作为办公平台,现在又引入了 Microsoft SOC 解决方案,二者之间无缝集成的特性,让我们很容易掌控整个办公平台的安全态势”,均胜电子网络及安全经理谢惠超表示。“除此之外,这套解决方案还可以自动采集来自网络设备、服务器、杀毒软件和防火墙等第三方安全产品和服务,以及 Windows 客户端的安全日志,并进行综合分析,为我们的安全团队提供了重要数据支持,让他们能够快速了解安全威胁的最新情况及其可能造成的影响。”
基于 Microsoft Sentinel 实现的云原生 SIEM、SOAR和 UEBA 运维管理体系架构。
Microsoft SOC 解决方案允许均胜电子的安全运维人员配置自动化规则和警报触发响应机制。一旦触发警报,安全运维中心就会以 Teams 消息方式自动传达给所有相关人员,而且在警报中还包含了涉及影响的地理位置信息。
“这一能力大大提高了安全团队的协同能力和工作效率,使我们能够更及时了解安全威胁或安全事件的具体情况,并采取相应的应对措施,避免造成进一步损失。”——均胜电子网络及安全经理谢惠超
同时,均胜电子在 Microsoft SOC 解决方案中可即时获取全球业务实体的安全报告,展示所有子公司的安全状况,对各子公司的安全预警进行跟踪和分析,并据此制定具有针对性的安全策略。
关键的,均胜电子还根据自身安全运维管理需求,在 Microsoft SOC 解决方案中添加了自动流剧本(Playbook),这些剧本可以自动执行常见的安全运维操作。均胜电子网络及安全经理谢惠超表示:“自动流剧本让我们能够将不同的安全事件应对流程实现自动化和标准化。一旦出现安全事件,相应的 Playbook 就会被触发,自动完成一系列检查、分析和修复操作,极大减轻了安全运维人员的工作压力。”
提高安全风险感知度
一直以来,均胜电子都在公司信息安全建设上力求不断优化,特别是对各种潜在风险的感知能力。均胜电子首席数据官余成波表示:“我们投资于诸多安全工具,目的是不遗漏任何一个盲区。随着部署了 Microsoft SOC 解决方案后,我们开始意识到其实公司存在许多未曾监控的安全领域,这些地方可能存在潜在的安全风险。Microsoft SOC 的最大意义就在于它能够发掘这些我们不知道的地方,提高了对安全风险的全方位感知。”
在 Microsoft SOC 解决方案中,Microsoft Defender 是这种感知能力的具体实现手段,它为均胜电子带来了全局的安全风险感知和抵御防护。Microsoft Defender 可以自动感知并发现来自身份、设备、邮件、文档和应用等多个领域的安全风险。例如,Defender for Office 365 可以对 Microsoft 365 中信息访问和使用异常行为发出警报。均胜电子网络及安全经理谢惠超表示:“ 通过 Defender for Office 365,可以协助我们智能响应并自动抵御钓鱼邮件攻击、恶意软件带来的隐患和风险,通过安全预警提醒运维团队及时优化必要的防范策略”。除此之外,Defender 还能及时发现可疑登录、恶意软件运行等各类高风险事件,助力均胜电子稳固安全基线,提高整体安全事件响应速度。
使用 Microsoft Sentinel 中的数据连接器,自动导入 Microsoft 及其他安全产品的日志数据。
而要将这些来自不同源头的安全事件有机整合,就需要依赖 Microsoft SOC 解决方案强大的数据采集、分析和关联能力。
“我们使用 Microsoft Sentinel 作为数据平面,将 Microsoft 及第三方安全设备及产品的日志自动导入,并通过自定义警报规则和场景,及时发现各类潜在威胁。”——均胜电子网络及安全经理谢惠超
同时,Microsoft Sentinel 还为均胜电子的 IT 安全运维团队提供了多维度可视化报表,使他们能够清晰掌握关键指标,比如高风险事件的类型分布、员工行为异常比例等,从而更好地制定相应的安全策略。以此帮助安全运维团队减少了高达 79% 的误报,并将高级多点触控调查所需的工作量减少了 85%。均胜电子首席数据官余成波谈到:“更难能可贵的是,Sentinel 不仅覆盖内部安全数据,还通过对接 Microsoft 威胁情报库,为我们提供了外部威胁的实时情报,真正做到纵深防护。”
一旦出现安全事件,第一时间通过 Teams 消息将警报送达安全团队。
“在进行事件响应时,我们会结合 Sentinel 的规则和报表分析,以及 Defender 的检测结果,准确判断每一个安全事件的实际严重程度,从而高效部署资源,及时采取针对性的缓解措施,有效控制了风险扩散”,均胜电子首席数据官余成波表示,“可以说,Microsoft SOC 解决方案从根本上改变了我们的安全运营模式,使我们从过去的被动防御,转变为主动出击,切实提升了对安全风险的感知和应对能力。相信未来通过不断深化此方面的实践,我们一定能为公司的信息安全防线增添更多硬核力量。”
实现全局安全透明度
均胜电子的中国区业务占比 25%,而海外业务占比高达 75%,海外员工占比非常高。这意味着,从公司整体信息安全建设角度来看,掌握海外子公司信息安全状况的透明度至关重要。但是,在海外并购后形成的“联邦式”IT 架构下,各子公司的 IT 安全团队拥有独立性和自主性,要想了解某个子公司是否存在安全隐患,需要耗费大量时间等待他们自己的 IT 安全团队进行调查和汇总;而且,各子公司的 IT 安全团队对威胁风险的评判标准存在差异。
“作为一家高度全球化的大型企业集团,均胜电子一直希望对遍布世界各地的子公司的安全状况保持全局透明度。直到我们借助 Microsoft SOC 解决方案打造了集团层面的统一安全运维平台,一切终于有了较为圆满的答案。”——均胜电子首席数据官余成波
在均胜电子所采用的 Microsoft SOC 解决方案中,Microsoft Sentinel 负责自动导入全球子公司的安全日志数据,通过设置规则和场景,对这些数据进行智能分析和关联,及时发现不同的潜在安全事件。“同时,Sentinel 与 Microsoft XDR 检测响应平台无缝集成,确保我们能第一时间获取最新的威胁情报和异常行为检测结果”, 均胜电子首席数据官余成波表示。
更为重要的是,Microsoft SOC 能够汇聚这些源数据,为均胜电子生成直观的全球安全报表,使集团总部的 IT 安全团队可以毫无障碍地监控各个子公司和业务线的安全态势。均胜电子首席数据官余成波表示:“我们不仅能一目了然地了解每个分支机构面临的风险类型和严重程度,甚至可以针对高风险领域制定统一的防护策略和最佳实践,切实做到高位统揽。”
Microsoft Sentinel与第三方网络安全解决方案日志数据集成,全局展示并监测可能的安全隐患。
有了这种前所未有的透明度和统一视角,均胜电子的 IT 安全团队终于可以及时发现以往那些原本在可见视野之外的安全隐患,并做到防患于未然。与此同时,各子公司也摆脱了之前分散作战、重复建设的模式,整个集团的安全运维成本也随之大幅下降。均胜电子首席数据官余成波表示:“更值得骄傲的是,通过不断提升子公司的安全能力,我们不仅提高了业务运营的连续性,更增强了客户对均胜电子品牌的信赖”。
是的,正是通过 Microsoft SOC 解决方案,均胜电子实现了对集团全球化安全状况的统一监控和透明管理。
“这无疑是我们信息安全建设的一个重大里程碑。但是,我们并不会就此止步,因为在数字化转型的浪潮下,新兴技术与新型威胁齐头并进,安全防护的要求也必须日益提高。我们将继续紧密与 Microsoft 合作,不断完善和创新,努力打造一个真正可持续化完善的安全防护体系。”——均胜电子AIS部门负责人孙诚
均胜电子已经开始使用Copilot for Microsoft 365 智能服务来帮助员工提升办公效率,但与此同时,均胜电子也意识到,AI 工具的应用场景和功能边界的扩张也可能带来全新的安全挑战。因此,均胜电子首席数据官余成波表示:“我们希望借助 Microsoft 在 AI 与安全领域的双重优势,结合 Copilot for Security 安全智能副驾,为我们的 IT 安全运维团队提供更为智能化支持,全面提升信息安全管控的精准性、高效性和智能化水平。”
(来源:微软科技)
