כאשר פערים בנראות הפנימית עיכבו את הזיהוי
לא חסרו לארגון כלי אבטחה; מה שחסר לו היה תמונת מצב ברורה על הפעילות ברשת הפנימית, שם יכלו התוקפים לנוע בין מערכות מהימנות בטרם הצליח מרכז הבקרה והביטחון (SOC) לאסוף ראיות מספיקות כדי להגיב.
היה קשה לפקח על התקשורת הפנימית
הגישה הקיימת הסתמכה במידה רבה על הגנות היקפיות ועל איתותים ממכשירי קצה. אמנם אמצעי בקרה אלה סייעו באיתור איומים ידועים, אך הם סיפקו תובנות מוגבלות בלבד לגבי התקשורת בין המערכות הפנימיות. כתוצאה מכך, התנהגות חשודה בתוך הרשת יכלה להימשך מבלי להתגלות באופן מיידי.
ללא נראות פנימית משופרת, מרכז הבקרה והאבטחה (SOC) לא הצליח לזהות באופן עקבי את תנועות התוקפים בשלב מוקדם של מחזור החיים של המתקפה. בסביבה המבוססת על רשתות מפולחות, נכסים רגישים ותהליכים קריטיים, מגבלה זו הגדילה את הסיכון התפעולי.
לעתים קרובות, הזיהוי החל רק לאחר שההתקפה כבר התפשטה
מכיוון שתעבורת הרשת הפנימית הייתה קשה יותר לניתוח, הצוות נאלץ לעתים קרובות להמתין לאינדיקטורים מאוחרים, כגון התראות ממכשירי קצה או התנהגות חריגה של המערכת, לפני שפתח בחקירה מעמיקה יותר. בשלב זה, התוקף כבר הספיק להתפשט למספר מערכות או להגיע לאזורים רגישים יותר בסביבה.
כתוצאה מכך, התגובה הייתה איטית ומורכבת יותר. האנליסטים נאלצו לשחזר את הפעילות בדיעבד במקום לעצור אותה בשלב מוקדם יותר, דבר שהגביר הן את הלחץ התפעולי והן את הסיכון למשימה.
ראיות מקוטעות האטו את החקירות
ברגע שתקרית הועברה לבדיקה, הצוות נאלץ להתמודד עם אתגר נוסף: איסוף מספיק מידע רקע כדי להבין במהירות את היקפה והשפעתה. האנליסטים נאלצו לקשר בין סימנים שמקורם בכלים ומקורות נתונים שונים, דבר שהאט את תהליך המיון, עיכב את התגובה והקשה על הגנה על המסקנות. ככל שהראיות היו מפוצלות יותר, כך נדרש זמן רב יותר כדי לקבוע אם הפעילות הייתה תמימה, חשודה או מזיקה באופן פעיל.
נראות פנימית, איתור מוקדם והקשר לפעולה
הארגון לא היה זקוק למקור התראות עצמאי נוסף. הוא היה זקוק ליכולת זיהוי ברשת שתצמצם את חוסר הוודאות, תשפר את יעילות האנליסטים ותסייע למרכז התפעול האבטחה (SOC) לפעול מהר יותר ובביטחון רב יותר.
הדרישות היו ברורות:
- נראות רציפה של הרשת הפנימית בכל המערכות הפנימיות, סביבות הענן והחיבורים החיצוניים
- זיהוי מוקדם יותר של התנהגות חריגה, כך שניתן יהיה לאתר תנועה לרוחב ופעילות פיקוד ושליטה בטרם יתפשטו האיומים
- הקשר חקירתי מקיף יותר, כדי לאפשר לאנליסטים להעריך את היקף המקרה במהירות רבה יותר, מבלי שייאלצו לחבר ראיות מקוטעות באופן ידני
- תאימות לסביבות תפעול פדרליות, לרבות פריסות המפוקחות, מפוצלות ועשויות להיות מנותקות
- ניטור ודיווח בהתאם לדרישות הרגולטוריות, לתמיכה בדרישות אבטחת הסייבר הפדרליות
הפיכת פעילות הרשת להחלטות מהירות וטובות יותר
לאחר שהארגון הטמיע MetaDefender NDR, מרכז הבקרה והביטחון (SOC) שלו הצליח לזהות התנהגות פנימית חשודה בשלב מוקדם יותר ולחקור אותה תוך התייחסות להקשר רחב יותר. מראשית הדרך, ההטמעה התמקדה בשלושה יעדים עיקריים: הרחבת הנראות ברשת, שיפור זיהוי התנהגות התוקפים וזירוז חקירות ה-SOC.
הרחבת הנראות בכל הסביבה
הפריסה כללה קטעי רשת אסטרטגיים, עם חיישנים שהוצבו בנקודות ריכוז מרכזיות כדי לשפר את הנראות של התקשורת בין מערכות פנימיות, סביבות ענן וחיבורים חיצוניים. הדבר סיפק לאנליסטים תמונת מצב מאוחדת יותר של הפעילות בסביבה כולה, וסייע למרכז התפעול האבטחה (SOC) לפקח על המתרחש בתוך הרשת, ולא רק בגבולותיה.
איתור מוקדם יותר של התנהגות תוקפים מתוחכמת
MetaDefender NDR את נתוני הטלמטריה הללו כדי לסייע בזיהוי דפוסי תעבורה חריגים, תנועה רוחבית ופעילות פיקוד ובקרה. באמצעות שילוב של זיהוי בסיוע למידת מכונה, ניתוח התנהגותי ומודיעין איומים משולב, הפלטפורמה סייעה בזיהוי דפוסים חשודים שבעבר התמזגו בתעבורה הרגילה. כך הצליח מרכז התפעול האבטחה (SOC) לזהות התנהגות זדונית בשלב מוקדם יותר, בטרם הספיקו האיומים להתפשט עוד יותר במערכות קריטיות.
האצת החקירות עבור ה-SOC
חשוב לא פחות, הדבר הקל על תהליכי החקירה. האנליסטים כבר לא נאלצו להסתמך על ראיות מפוזרות במערכות שונות כדי להבין מה מתרחש. הודות לנתוני טלמטריה מפורטים יותר, להקשר נוסף, לקורלציה מהירה של אירועים ולתאימות עם תהליכי עבודה רחבים יותר בתחום האבטחה, החקירות הפכו ממוקדות ויעילות יותר.
איתור מוקדם יותר, חקירות מהירות יותר, ביטחון רב יותר
התוצאה הבולטת ביותר הייתה מעבר מזיהוי מאוחר לזיהוי מוקדם יותר, המבוסס על מידע מהרשת. לאחר הפריסה, הארגון שיפר את יכולתו לזהות פעילות חשודה בשלב מוקדם יותר, מה שהעניק למרכז התפעול האבטחה (SOC) זמן רב יותר להעריך, להכיל ולהגיב לפני שהאיומים הספיקו לשבש פעולות קריטיות.
השיפור ניכר בכל תחומי הפעילות הביטחונית השוטפת:
- האנליסטים זכו לתמונת מצב מפורטת יותר על התקשורת ברשתות פנימיות מאובטחות
- תנועה חשודה ותנועת התוקף זוהו מוקדם יותר
- ניתוח הגורמים השורשיים הפך למהיר ויעיל יותר
- התיאום בין צוותי תפעול האבטחה השתפר במהלך התגובה לאירועים
- הניטור והניתוח הותאמו טוב יותר לדרישות אבטחת הסייבר הפדרליות
- צוותי האבטחה היו בעמדה טובה יותר להגן על מערכות קריטיות מפני איומים פנימיים מתוחכמים
ההשפעה המבצעית על איתור, חקירה והגנה על המשימה
| לפני MetaDefender NDR | לאחר MetaDefender NDR | השלכות תפעוליות |
|---|---|---|
| נראות מוגבלת של התנועה הפנימית ממזרח למערב | נראות רחבה יותר של הפעילות ברשתות הפנימיות, בענן וברשתות החיצוניות | זיהוי מוקדם יותר של תנועה חשודה |
| לעתים קרובות החלו החקירות לאחר שהופיעו אינדיקטורים ברמת נקודת הקצה או ברמת המערכת | אנליסטים יוכלו לבצע בדיקות ישירות באמצעות נתוני הטלמטריה של הרשת | תגובה מהירה יותר ויזומה יותר |
| היה צורך לאסוף את הראיות באמצעות מספר כלים שונים | הקשר עשיר יותר וקורלציה בין אירועים שיפרו את תהליכי העבודה בחקירה | יעילות גבוהה יותר של האנליסטים וביטחון רב יותר בקבלת החלטות |
| היעדר הפיקוח יצר סיכון בסביבה פדרלית מפוצלת | ניטור רציף תומך טוב יותר בפעילות המפוקחת | שיפור המוכנות הביטחונית והגנה משופרת על משימות עבור מערכות קריטיות |
בניית מודל תפעול אבטחה יזום יותר
ארגון זה לא הסתפק בהוספת כלי אבטחה נוסף. הוא חיזק את האופן שבו מרכז הבקרה והביטחון (SOC) שלו מזהה, חוקר ומגיב לאיומים. בזכות נראות משופרת של ההתנהגות ברשת הפנימית, זיהוי מוקדם יותר של פעילות התוקפים והקשר חקירתי חזק יותר, הצוות עבר מחקירה תגובתית לזיהוי ותגובה יזומים יותר. האנליסטים יכלו לעבוד בבהירות רבה יותר, לקבל החלטות במהירות רבה יותר ולהגן על מערכות רגישות בביטחון רב יותר.
עבור ארגונים פדרליים המתמודדים עם אתגרים דומים, המסקנה ברורה: אותות שמגיעים מנקודות קצה ומהגבול החיצוני בלבד אינם מספיקים כאשר תוקפים מנסים לנוע בחשאי בין מערכות מהימנות. נראות רשתית רחבה יותר וזיהוי עשיר בהקשר יכולים לספק לצוותי האבטחה את הבסיס הדרוש להם כדי להגיב מוקדם יותר, לפעול בביטחון רב יותר ולהגן טוב יותר על פעולות קריטיות.
מוכנים לשפר את הנראות בסביבת הארגון הפדרלי שלכם ולזהות איומים פנימיים בשלב מוקדם יותר? שוחחו עם OPSWAT .
