Când activitatea amenințărilor interne rămâne ascunsă
Principala provocare cu care se confrunta organizația era vizibilitatea limitată în interiorul rețelei. Deși instrumentele de securitate existente contribuiau la apărarea perimetrului, acestea ofereau informații limitate cu privire la comunicațiile interne din cadrul tehnologiilor operaționale, al sistemelor corporative și al mediilor legate de rețea. Această situație a lăsat centrul de operațiuni de securitate (SOC) cu trei lacune operaționale care au sporit riscul și au încetinit timpul de reacție.
1. Traficul est-vest pe OT și IT era dificil de monitorizat
Sistemele de control, dispozitivele industriale și platformele de monitorizare generează un flux constant de comunicații interne, mare parte din acesta părând a fi de rutină. În acest context, instrumentele tradiționale de monitorizare nu ofereau vizibilitatea necesară pentru a distinge traficul operațional legitim de mișcările interne suspecte. Drept urmare, centrul de operațiuni de securitate (SOC) avea o capacitate limitată de a observa activitatea laterală în cadrul segmentelor OT sau la granița dintre rețelele operaționale și cele ale întreprinderii.
2. SOC s-a bazat pe indicatori cu întârziere pentru a identifica amenințările
În lipsa unei vizibilități continue la nivel de rețea, analiștii erau nevoiți adesea să se bazeze pe alertele de la nivel de terminal sau pe comportamentul anormal al sistemului pentru a detecta activități suspecte. Aceste semnale apăreau de obicei într-o etapă avansată a ciclului de viață al atacului, după ce atacatorul își stabilise deja un punct de sprijin și începuse să se deplaseze prin sistemele interne. Acest lucru limita capacitatea echipei de a detecta amenințările din timp și de a acționa înainte ca riscul să se extindă.
3. Anchete demarate pe baza unui context fragmentar
Deoarece activitatea amenințărilor interne nu era vizibilă în mod clar la nivelul rețelei, centrul de operațiuni de securitate (SOC) a fost nevoit să reconstituie incidentele pe baza unor dovezi fragmentare provenite din mai multe instrumente. Acest lucru a încetinit analiza cauzelor principale și a îngreunat înțelegerea rapidă a amplorii unui potențial incident. Într-un mediu de infrastructură critică, această lipsă de context a sporit presiunea operațională și a diminuat încrederea în deciziile de intervenție rapidă.
Ce avea nevoie organizația pentru a reduce decalajul
Organizația avea nevoie de mai mult decât o monitorizare suplimentară. Avea nevoie de o capacitate de detectare concepută special pentru medii complexe, mixte OT și IT, în care activitatea amenințărilor este menită să treacă neobservată.
Vizibilitate continuă asupra rețelei interne
Cerința principală a fost capacitatea de a monitoriza simultan traficul est-vest în mediile OT, rețelele de control și sistemele întreprinderii dintr-o singură platformă, inclusiv vizibilitatea asupra analizei traficului criptat fără a fi necesară decriptarea.
Detectarea comportamentală capabilă să identifice anomalii subtile
Instrumentele bazate pe semnături se dovediseră deja insuficiente. Organizația avea nevoie de soluții de analiză capabile să monitorizeze în permanență comportamentul rețelei în medii mixte OT și IT și să semnaleze abaterile care indicau mișcări laterale și activități de comandă și control, chiar și atunci când aceste activități imitau traficul operațional legitim.
O funcție de detectare a rețelei care a identificat amenințările într-o etapă mai timpurie a ciclului de viață al atacului
Centrul de operațiuni de securitate (SOC) trebuia să renunțe la dependența de alertele cu întârziere privind evenimentele finale. Acest lucru a necesitat o soluție capabilă să analizeze tiparele de trafic intern și să identifice comportamentele anormale ale rețelei înainte ca acestea să ajungă la un punct în care să aibă un impact observabil asupra sistemului.
Informațiile de rețea au înlocuit incertitudinea cu transparența
Organizația avea nevoie de o soluție specializată de detectare a rețelelor pentru a elimina lacunele de vizibilitate pe care instrumentele tradiționale nu le puteau remedia. Centrul de operațiuni de securitate (SOC) a implementat MetaDefender NDR beneficia de o imagine unificată, aproape în timp real, a comunicațiilor interne.
În cadrul implementării, au fost amplasați senzori în principalele puncte de agregare a rețelei din cadrul infrastructurii OT, al rețelelor de control și al segmentelor de întreprindere. Pentru prima dată, analiștii au putut observa comunicațiile dintre sistemele de control, substațiile și platformele întreprinderii într-o vizualizare unificată. Activitatea din rețeaua internă, care până atunci era invizibilă, a devenit acum parte integrantă a procesului de detectare.
Platforma a acționat simultan pe trei fronturi:
- Analiza comportamentală, combinată cu informații integrate privind amenințările și detectarea anomaliilor bazată pe inteligență artificială, a fost aplicată în mod continuu asupra datelor de telemetrie în timp real din rețea, identificând tipare asociate cu mișcarea laterală, semnalizarea și comunicațiile de comandă și control
- Alerte au fost îmbogățite cu informații contextuale prin intermediul MetaDefender , permițând o triere mai rapidă fără a mai fi necesară verificarea manuală între diferite instrumente
- Constatările la nivel de rețea au fost integrate direct în fluxurile de lucru existente ale SOC, înlocuind corelarea fragmentată a alertelor între mai multe sisteme cu o viziune unificată asupra investigațiilor
Schimbarea operațională a fost imediată. MetaDefender NDR date telemetrice detaliate despre rețea și informații contextuale care le-au permis analiștilor să demareze investigațiile având o imagine mai completă, la nivel de rețea, asupra activității atacatorilor, în loc să se bazeze pe un set fragmentat de alerte provenite de la terminale. Datorită informațiilor unificate privind amenințările și fluxurilor de lucru de investigare bazate pe inteligență artificială, amploarea unui potențial incident a putut fi determinată mai rapid și cu un grad mai mare de certitudine.
SOC a obținut vizibilitatea necesară pentru a acționa mai repede
MetaDefender NDR îmbunătățiri semnificative în ceea ce privește vizibilitatea, detectarea și fluxurile de lucru de investigare. Amenințările care rămâneau anterior nedetectate erau acum identificate mai devreme în ciclul de viață al atacului. Analiștii puteau detecta amenințările mai repede, le puteau investiga mai rapid și puteau reacționa cu mai multă încredere.
Vizibilitatea rețelei: segmentele OT, rețelele de control și sistemele întreprinderii au putut fi monitorizate simultan pentru prima dată. Activitatea atacatorilor, care anterior ar fi rămas nedetectată, putea fi acum identificată în timp real.
Detectarea amenințărilor: Analiza comportamentală și detectarea anomaliilor bazată pe inteligența artificială au identificat tiparele de trafic suspecte înainte ca acestea să ajungă la nivelul terminalelor. Deplasările laterale și comunicațiile de comandă și control au fost semnalate pe baza abaterilor comportamentale, nu doar pe baza semnăturilor cunoscute.
Termene de investigare: analiștii SOC nu mai au nevoie să reconstituie amploarea incidentului pe baza unor alerte fragmentate provenite de la dispozitivele finale. Telemetria la nivel de rețea a oferit o imagine completă a activității atacatorilor, permițând o analiză mai rapidă a cauzelor principale și luarea unor decizii de izolare mai sigure.
Protecția infrastructurii: Datorită vizibilității asupra comunicațiilor din rețelele operaționale, centrul de operațiuni de securitate (SOC) ar putea identifica amenințările care vizează sistemele de control și ar putea reacționa înainte ca aceste amenințări să ajungă la platformele de gestionare a rețelei sau să perturbe operațiunile de alimentare cu energie electrică.
Rezultate obținute deMetaDefender NDR domenii cheie
| Zona de impact | Rezultat |
|---|---|
| Vizibilitatea rețelei | Vedere unificată asupra rețelelor OT, rețelelor de control și sistemelor întreprinderii |
| Viteza de detectare a amenințărilor | Identificarea mai rapidă a mișcărilor laterale și a traficului suspect |
| Eficiența investigațiilor | Analiză mai rapidă a cauzelor principale, cu un context complet la nivel de rețea |
| Protecția infrastructurii | O protecție îmbunătățită a operațiunilor rețelei și a sistemelor de control |
| Răspunsul la incidente | O coordonare mai bună a eforturilor între echipele responsabile de securitate din sectorul energetic |
| Gradul de pregătire pentru conformitate | Monitorizare continuă în conformitate cu standardele de securitate ale infrastructurilor critice |
O strategie mai solidă de apărare cibernetică pentru infrastructurile critice
Protejarea infrastructurii din sectorul energetic și al serviciilor publice necesită mai mult decât simpla protecție a perimetrului sau securitatea terminalelor. Prin implementarea unei monitorizări continue a rețelei atât în mediile OT, cât și în cele corporative, Centrul de operațiuni de securitate (SOC) al organizației a obținut informațiile necesare pentru a detecta mai devreme activitatea atacatorilor, a investiga incidentele mai rapid și a reacționa înainte ca amenințările să poată perturba serviciile energetice sau sistemele de infrastructură critică.
Rezultatul este o operațiune de securitate care nu mai depinde de indicatori cu întârziere pentru a detecta amenințările interne. Informațiile de rețea reprezintă acum o capacitate esențială, iar SOC este pregătit să apere infrastructura pe care o protejează cu o încredere mult mai mare.
Protejați-vă infrastructura energetică cu ajutorul unei vizibilități avansate asupra rețelei și al detectării comportamentale a amenințărilor. Aflați ceNDR face MetaDefender NDR pentru centrul dumneavoastră de operațiuni de securitate (SOC).
