Amikor a belső fenyegetések rejtve maradnak
A szervezet legfőbb kihívását a hálózat belsejében tapasztalható korlátozott átláthatóság jelentette. Bár a meglévő biztonsági eszközök segítettek a külső határok védelmében, csak korlátozott rálátást biztosítottak az operatív technológiák, a vállalati rendszerek és a hálózati környezetek közötti belső kommunikációra. Ez három működési hiányosságot eredményezett a biztonsági operációs központban (SOC), amelyek növelték a kockázatot és lassították a reagálást.
1. Az OT és az IT területén átívelő kelet–nyugati forgalom nyomon követése nehéz volt
A vezérlőrendszerek, az ipari eszközök és a felügyeleti platformok folyamatos belső kommunikációt generálnak, amelynek nagy része rutinszerűnek tűnik. Ebben a környezetben a hagyományos felügyeleti eszközök nem biztosítottak elegendő átláthatóságot ahhoz, hogy megkülönböztessék a jogos üzemeltetési forgalmat a gyanús belső mozgásoktól. Ennek következtében a biztonsági operációs központ (SOC) csak korlátozott mértékben tudta figyelemmel kísérni az OT-szegmensek belsejében, illetve az üzemeltetési és a vállalati hálózatok közötti határon átnyúló oldalirányú tevékenységeket.
2. A SOC a fenyegetések felismeréséhez késleltetett mutatókra támaszkodott
A hálózati szintű folyamatos átláthatóság hiányában az elemzőknek gyakran a végpontokról érkező riasztásokra vagy a rendszer rendellenes viselkedésére kellett támaszkodniuk a gyanús tevékenységek felismeréséhez. Ezek a jelek általában a támadás életciklusának későbbi szakaszában jelentek meg, miután a támadó már megvetette a lábát és megkezdte a belső rendszerek közötti terjedést. Ez korlátozta a csapat képességét a fenyegetések korai felismerésére és a kockázat kiterjedése előtti beavatkozásra.
3. A nyomozás hiányos háttérinformációk alapján indult
Mivel a belső fenyegetések tevékenysége a hálózati rétegen nem volt egyértelműen látható, a biztonsági operációs központnak (SOC) több eszközből származó részleges bizonyítékok alapján kellett rekonstruálnia az incidenseket. Ez lassította a kiváltó okok elemzését, és megnehezítette a potenciális incidens hatókörének gyors felmérését. A kritikus infrastruktúrák környezetében ez a kontextus hiánya növelte az operatív nyomást, és csökkentette a korai reagálási döntésekbe vetett bizalmat.
Mire volt szüksége a szervezetnek a hiányosságok pótlásához
A szervezetnek nem csupán további felügyeletre volt szüksége. Olyan észlelési képességre volt szüksége, amelyet kifejezetten olyan összetett, vegyes OT- és IT-környezetekre terveztek, ahol a fenyegető tevékenységek úgy vannak kialakítva, hogy beleolvadjanak a környezetbe.
Folyamatos, belső hálózati átláthatóság
A legfontosabb követelmény az volt, hogy egyetlen platformon belül egyszerre lehessen figyelemmel kísérni a kelet-nyugati irányú forgalmat az OT-környezetekben, a vezérlőhálózatokban és a vállalati rendszerekben, beleértve a titkosított forgalom elemzését is titkosítás feloldása nélkül.
Olyan viselkedésalapú észlelés, amely képes a finom eltéréseket felismerni
Az aláírásalapú eszközök már korábban is elégtelennek bizonyultak. A szervezetnek olyan elemző eszközökre volt szüksége, amelyek folyamatosan elemezhetik a hálózati viselkedést az OT- és IT-rendszerek vegyes környezetében, és jelzik az oldalirányú mozgásra vagy parancs- és vezérlési tevékenységre utaló eltéréseket, még akkor is, ha az adott tevékenység a legitim operatív forgalmat utánozza.
Olyan hálózati felderítési képesség, amely a támadási ciklus korai szakaszában azonosítja a fenyegetéseket
A SOC-nak el kellett mozdulnia a késleltetett végpont-riasztásoktól való függőségtől. Ehhez olyan megoldásra volt szükség, amely képes elemezni a belső forgalmi mintákat, és felismerni a rendellenes hálózati viselkedést, még mielőtt az a rendszerre észlelhető hatást gyakorolna.
A hálózati intelligencia a bizonytalanságot átláthatósággal váltotta fel
A szervezetnek egy kifejezetten erre a célra kifejlesztett hálózati felderítési megoldásra volt szüksége, hogy kiküszöbölje azokat a láthatósági hiányosságokat, amelyeket a hagyományos eszközökkel nem tudtak orvosolni. A SOCNDR MetaDefender NDR telepítette,NDR egységes, szinte valós idejű áttekintést kapjon a belső kommunikációról.
A rendszerbevezetés során érzékelőket helyeztek el az OT-infrastruktúra, az irányítóhálózatok és a vállalati szegmensek főbb hálózati összekötő pontjain. Az elemzők így először tudták egységes felületen figyelemmel kísérni az irányító rendszerek, az alállomások és a vállalati platformok közötti kommunikációt. A korábban láthatatlan belső hálózati tevékenységek ezentúl is részét képezték az észlelési képnek.
A platform egyszerre három területen kezdett el dolgozni:
- A viselkedéselemzés, az integrált fenyegetési hírszerzéssel és a mesterséges intelligencián alapuló rendellenesség-felismeréssel kombinálva, folyamatosan futott az élő hálózati telemetriai adatokon, és azonosította a laterális mozgással, jelzésküldéssel, valamint a parancs- és vezérlő kommunikációval kapcsolatos mintákat
- A riasztások MetaDefender segítségével kontextusinformációkkal lettek kiegészítve, ami gyorsabb osztályozást tesz lehetővé anélkül, hogy az eszközök között manuálisan kellene keresztreferenciákat keresni
- A hálózati szintű eredmények közvetlenül beépültek a meglévő SOC-munkafolyamatokba, így a több rendszerre kiterjedő, széttagolt riasztás-összefüggés-elemzés helyébe egy egységes vizsgálati nézet lépett
A működési átállás azonnal megtörtént.NDR MetaDefender NDR részletes hálózati telemetriai adatokat és kontextusfüggő információkatNDR , amelyeknek köszönhetően az elemzők a támadói tevékenységekről már nem csupán széttagolt végpont-riasztások alapján, hanem egy átfogóbb hálózati szintű áttekintéssel kezdhették meg a vizsgálatokat. Az egységesített fenyegetési információk és a mesterséges intelligencián alapuló vizsgálati munkafolyamatok révén a potenciális incidensek hatóköre gyorsabban és nagyobb bizonyossággal határozható meg.
A SOC megszerezte a korábbi beavatkozáshoz szükséges áttekintést
MetaDefender NDR egyértelmű javulástNDR a láthatóság, az észlelés és a vizsgálati munkafolyamatok terén. A korábban észrevétlenül maradt fenyegetések most már a támadási ciklus korábbi szakaszában láthatóvá váltak. Az elemzők így hamarabb felismerhették a fenyegetéseket, gyorsabban tudták kivizsgálni azokat, és magabiztosabban tudtak reagálni.
Hálózati átláthatóság: az OT-szegmensek, a vezérlőhálózatok és a vállalati rendszerek egyszerre, először voltak megfigyelhetők. A korábban észrevétlenül maradt támadói tevékenységek most már azonnal azonosíthatók voltak, amint azok bekövetkeztek.
Fenyegetésfelismerés: A viselkedéselemzés és a mesterséges intelligencián alapuló rendellenességfelismerés még azelőtt azonosította a gyanús forgalmi mintákat, hogy azok elérték volna a végpontok rétegét. Az oldalirányú mozgásokat és a parancs- és vezérlő kommunikációt nem csupán az ismert szignatúrák, hanem a viselkedési eltérések alapján is jelölték meg.
A vizsgálatok időtartama: A SOC-elemzőknek már nem kellett a széttöredezett végpont-riasztásokból rekonstruálniuk az incidens hatókörét. A hálózati szintű telemetria teljes képet nyújtott a támadók tevékenységéről, ami gyorsabb kiváltó okok elemzését és megbízhatóbb elszigetelési döntéseket tett lehetővé.
Az infrastruktúra védelme: Az üzemeltetési hálózatokon zajló kommunikáció átláthatóságának köszönhetően a biztonsági operációs központ (SOC) képes azonosítani az irányító rendszereket célzó fenyegetéseket, és reagálni rájuk, mielőtt azok eljutnának a hálózatirányítási platformokig, vagy megzavarnák az áramellátást.
MetaDefender NDR által a legfontosabbNDR elért eredmények
| Hatáskör | Eredmény |
|---|---|
| Hálózati átláthatóság | Egységes áttekintés az operatív technológiáról, a vezérlőhálózatokról és a vállalati rendszerekről |
| A fenyegetések észlelésének sebessége | Az oldalirányú mozgás és a gyanús forgalom korai felismerése |
| A nyomozás hatékonysága | Gyorsabb hibaok-elemzés a hálózati szintű összefüggések teljes ismeretében |
| Az infrastruktúra védelme | A hálózati üzemeltetési és vezérlőrendszerek védelmének javítása |
| Incidenskezelés | Az energiaipari biztonsági csapatok közötti összehangoltabb reagálás |
| A szabályozási előírásoknak való megfelelésre való felkészültség | A kritikus infrastruktúra biztonsági előírásainak megfelelő folyamatos felügyelet |
A kritikus infrastruktúra kiberbiztonsági védelmének megerősítése
Az energetikai és közüzemi infrastruktúrák védelme többet igényel, mint pusztán a külső határok védelmét vagy a végpontok biztonságát. Az operatív technológiai (OT) és vállalati környezetekben végrehajtott folyamatos hálózatfigyelésnek köszönhetően a szervezet biztonsági operációs központja (SOC) megszerezte azokat az információkat, amelyek szükségesek ahhoz, hogy a támadók tevékenységét korábban felismerje, az incidenseket gyorsabban kivizsgálja, és még azelőtt reagáljon, hogy a fenyegetések megzavarnák az energetikai szolgáltatásokat vagy a kritikus infrastruktúra-rendszereket.
Az eredmény egy olyan biztonsági művelet, amely a belső fenyegetések felismeréséhez már nem támaszkodik késleltetett mutatókra. A hálózati hírszerzés mára alapvető képességgé vált, és a SOC így lényegesen nagyobb magabiztossággal képes megvédeni az általa felügyelt infrastruktúrát.
Védje energiaipari infrastruktúráját a fejlett hálózati átláthatóság és a viselkedésalapú fenyegetésfelismerés segítségével. Tudja meg, mitNDR MetaDefender NDR a biztonsági operációs központjának (SOC).
