制造业客户案例

当攻击者藏身于众目睽睽之下时，这家制造企业如何在整个Industrial 中构建网络韧性

借助MetaDefender NDR实时网络情报和人工智能驱动的威胁检测功能，在工业制造环境中检测网络内部威胁及横向移动。

作者：奥安娜·普雷多伊乌

分享此贴

公司简介：一家全球性制造企业，通过复杂的IT/OT环境，负责运营遍布多个地区的多家生产设施和供应链网络。

情况是怎样的？我们的客户虽然已部署了出色的解决方案来拦截已知的恶意软件或外部威胁，但对制造网络中各内部系统之间的通信情况却了解有限。

他们的安全团队需要更全面地掌握IT和运营技术环境中的网络活动情况，以便在攻击者破坏生产运营之前及时发现异常行为。

由于业务的性质，本故事中的组织名称将保持匿名。

行业：

制造业

地点：

全球业务

尺寸

大型制造企业

使用产品：

MetaDefender NDR

业界有一种说法认为，传统网络安全解决方案在现代环境中已不再有效。与所有广为流传的说法一样，这种说法也确实有一定道理。但事实是，只有当传统网络安全解决方案所保护的环境发生根本性变化时，它们才会变得无效。

以现代工业网络为例。它们将企业IT系统与直接控制生产设备的OT（运营技术）相结合，形成了一个复杂的生态系统。那么，专为IT或OT设计的安防工具，如何才能真正保障兼具这两方面特性的系统安全呢？

大多数解决方案的设计初衷都是为了在特定领域表现出色：识别威胁、阻止威胁并消除威胁。它们确实做得很好。但在制造业环境中，真正的挑战并不总是那些正在积极影响系统的可见威胁。有时，危险就隐藏（并游走）在众目睽睽之下。

当IT和OT在同一网络上运行时，内部系统（机器、控制器、服务器）之间的通信可能无法得到监控。 如果没有明显的入侵或即时异常，SOC团队将无从得知是否出了问题。

而攻击者正是在这个灰色地带如鱼得水。

试想，攻击者通过一次成功的网络钓鱼攻击入侵了您的网络。随后，攻击者会在互联的生产系统间进行横向移动，而这一过程在事态恶化之前往往难以被察觉。等到安全运营中心（SOC）团队察觉时，攻击者可能已经渗透到了所有关键系统。

这就是我们的客户致力于弥合的可见性缺口，MetaDefender NDR 其解决方案的核心。

传统的安全监控未能发现关键网络活动

客户面临的核心问题是缺乏可视性。

尽管他们已部署了用于检测初始入侵或后期异常情况的解决方案，但其安全运营中心（SOC）团队却缺乏监控互联的IT/OT网络中横向移动的工具。这导致了若干问题，一旦发生安全事件，这些问题本可能演变为严重后果。

攻击者可以将横向移动伪装成合法的网络流量，并在互联系统之间穿梭，而不会触发传统的检测机制。

IT与OT的融合催生了复杂的通信模式，横向移动活动极易与工厂运营、工业设备及企业应用程序产生的流量混为一谈。因此，一旦网络遭到入侵，攻击者便可能在明目张胆的情况下隐藏行踪，同时试图进一步获取生产网络、知识产权或敏感运营数据的访问权限。

等到安全运营中心（SOC）团队发现可疑行为时，攻击者可能已经渗透到了关键的生产系统中，从而导致运营风险暴露。

为消除这些可视性盲区，该组织在其制造网络和企业网络的关键环节部署了MetaDefender NDR 。

MetaDefender NDR 与网络攻击相关的指挥与控制通信。它通过分析网络遥测数据来识别异常流量模式，并检测系统间的横向移动。

凭借其人工智能辅助的检测模型，该系统持续分析网络行为，以便在攻击生命周期的早期阶段识别可能预示攻击者活动的细微异常。此次部署旨在解决三个核心问题。

部署在网络汇聚点的传感器使安全运营中心（SOC）团队能够监控生产系统、企业应用程序与外部连接之间的通信。

分析师们首次对该组织整个制造基础设施的网络活动有了统一的视图。

通过将行为分析与集成威胁情报及人工智能驱动的异常检测相结合，SOC团队得以识别出与攻击者在网络内部活动相关的可疑行为。

此前未被察觉的通信模式，如今能在攻击生命周期的更早阶段被发现。

MetaDefender NDR 详细的网络遥测数据和基于上下文的威胁情报，使安全运营中心 (SOC) 分析师能够快速调查可疑活动。

分析师无需再将分散在多个系统中的警报进行关联，而是可以通过全面的网络级视图来分析潜在威胁，从而调查安全事件。

借助NDR我们的客户显著提升了在攻击生命周期早期阶段检测和调查可疑网络活动的能力。