当内部威胁活动隐而不显时
该组织面临的核心挑战是网络内部的可视性不足。虽然现有的安全工具有助于防御外围网络,但它们对运营技术、企业系统以及电网相关环境之间的内部通信所提供的洞察力十分有限。这导致安全运营中心(SOC)存在三个运营漏洞,从而增加了风险并延缓了响应速度。
1. 穿越OT和IT的东-西向交通难以监控
控制系统、工业设备和监控平台会持续产生内部通信,其中大部分看似常规。在此环境下,传统监控工具缺乏必要的可视性,无法区分正常的运营流量与可疑的内部活动。因此,安全运营中心(SOC)在观察运营技术(OT)分段内部或运营网络与企业网络边界之间的横向移动方面能力有限。
2. SOC 依赖滞后指标来识别威胁
如果没有持续的网络级可视性,分析师往往只能依靠终端警报或系统异常行为来检测可疑活动。这些信号通常出现在攻击生命周期的后期,此时攻击者已经建立了立足点并开始在内部系统中横向移动。这削弱了团队在风险扩大之前及早发现威胁并采取行动的能力。
3. 调查是在背景信息零散的情况下展开的
由于网络层无法清晰显示内部威胁活动,安全运营中心(SOC)不得不通过整合多款工具提供的零散证据来还原事件经过。这不仅延缓了根本原因分析,也使得快速掌握潜在事件的范围变得更加困难。在关键基础设施环境中,这种缺乏背景信息的情况不仅增加了运营压力,也降低了对早期响应决策的信心。
该组织需要采取哪些措施来缩小差距
该组织需要的不仅仅是额外的监控。它需要一种专为复杂的、混合了运营技术(OT)和信息技术(IT)的环境而设计的检测能力,因为威胁活动往往旨在隐匿其中。
持续的内部网络可视性
核心要求是能够在单一平台内同时监控跨越OT环境、控制网络和企业系统的东西向流量,包括无需解密即可对加密流量进行分析。
具备识别细微异常行为的能力
基于签名的工具早已证明力有不逮。该组织需要一种分析工具,能够持续分析混合 OT 和 IT 环境中的网络行为,并标记出表明横向移动和指挥控制活动的异常情况——即使这些活动模仿了合法的运营流量。
一种网络检测能力,可在攻击生命周期的早期阶段识别威胁
SOC 需要摆脱对延迟的终端警报的依赖。这需要一种能够分析内部流量模式,并在异常网络行为对系统造成可观测影响之前将其暴露出来的解决方案。
网络智能让不确定性化为可预见性
该组织需要一套专门设计的网络检测能力,以弥补传统工具无法解决的可见性盲区。安全运营中心(SOC)部署了MetaDefender NDR 对内部通信进行统一的、近乎实时的监控。
此次部署在运营技术(OT)基础设施、控制网络和企业网络段的主要网络汇聚点安装了传感器。分析师首次能够通过统一视图观察控制系统、变电站和企业平台之间的通信。此前无法察觉的内部网络活动,如今也纳入了检测范围。
该平台同时在三个方面展开行动:
- 行为分析结合集成威胁情报和基于人工智能的异常检测,对实时网络遥测数据进行持续分析,从而识别出与横向移动、信标发送以及指挥与控制通信相关的模式
- 通过MetaDefender ,警报得到了情境智能的增强,从而无需在不同工具间进行手动交叉核对,即可更快地进行分类处理
- 网络层面的分析结果直接融入现有的SOC工作流程,用统一的调查视图取代了跨多系统分散的警报关联
这一运营转变立竿见影。MetaDefender NDR 详细的网络遥测数据和情境情报,使分析师能够基于对攻击者活动的更全面的网络级视图展开调查,而非仅依赖零散的终端警报。统一威胁情报与人工智能驱动的调查工作流,使得能够更快、更准确地确定潜在事件的范围。
安全运营中心(SOC)获得了及时采取行动所需的信息
MetaDefender NDR 在可视性、检测和调查工作流方面NDR 显著提升。此前未能被发现的威胁,如今能在攻击生命周期的早期阶段被察觉。分析师能够更早地发现威胁、更快地展开调查,并更有把握地采取应对措施。
网络可视性:运营技术(OT)分段、控制网络和企业系统首次实现了同步可视化。以往可能难以察觉的攻击者活动,如今能在发生时被及时识别。
威胁检测:行为分析和基于人工智能的异常检测在可疑流量到达终端层之前就已将其识别出来。横向移动和命令与控制通信是根据行为偏差而非仅凭已知特征码被标记出来的。
调查时间线:SOC分析师不再需要根据零散的终端警报来重建事件范围。网络级遥测数据提供了攻击者活动的完整视图,从而能够更快地进行根本原因分析,并更有把握地做出遏制决策。
基础设施保护:通过全面掌握运营网络中的通信情况,安全运营中心(SOC)能够识别针对控制系统的威胁,并在这些威胁影响电网管理平台或干扰电力运营之前采取应对措施。
MetaDefender NDR 关键领域取得的成果
| 影响范围 | 成果 |
|---|---|
| 网络可视性 | 跨运营技术(OT)、控制网络和企业系统的统一视图 |
| 威胁检测速度 | 更早地识别横向移动和可疑车辆 |
| 调查效率 | 借助完整的网络级上下文,更快地分析根本原因 |
| 基础设施保护 | 加强电网运行和控制系统的保护 |
| 事件响应 | 能源行业各安全团队之间加强协调配合 |
| 合规准备情况 | 符合关键基础设施安全标准的持续监控 |
加强关键基础设施的网络防御能力
保护能源和公用事业基础设施环境,仅靠外围防护或终端安全是远远不够的。通过在运营技术(OT)和企业环境中部署持续的网络监控,该组织的安防运营中心(SOC)获得了必要的智能信息,从而能够更早地发现攻击者的活动、更快地调查事件,并在威胁导致能源服务或关键基础设施系统中断之前采取应对措施。
其结果是,安全运营不再依赖滞后的指标来检测内部威胁。网络情报现已成为核心能力,安全运营中心(SOC)也能够以更高的信心来捍卫其所保护的基础设施。
借助先进的网络可视化功能和行为威胁检测技术,保护您的能源基础设施。了解MetaDefender NDR 为您的安全运营中心(SOC)带来哪些帮助。
