אנרגיה | סיפורי לקוחות

סגירת פער הנראות בתוך תשתיות אנרגיה קריטיות

ספק שירותי תשתית מרכזי מזהה תנועה רוחבית, חושף פעילות תוקפים סמויה ומחזק את פעילות מרכז הבקרה (SOC) באמצעות MetaDefender NDR.

מאת ויויאן ורצקי

שתף את הפוסט הזה

אודות החברה: הלקוח שלנו הוא ספק מוביל בתחום האנרגיה והתשתיות בצפון אמריקה, המפעיל תשתיות לייצור חשמל, הולכה ובקרת רשת באזור נרחב. ככל שאיומי הסייבר בענף האנרגיה הפכו תכופים ומתוחכמים יותר, הארגון הבין שהכלים הקיימים שלו מתמקדים בהגנה על ההיקף ועל נקודות הקצה, ולא בנראות הרשת הפנימית.

מה הסיפור? לארגון הייתה הגנה היקפית חזקה, אך יכולת הראייה שלו לגבי המתרחש בתוך הרשת הייתה מוגבלת. הניטור המסורתי הותיר את מרכז הבקרה (SOC) תלוי באינדיקטורים מאוחרים, מה שהקשה על זיהוי בזמן של תנועה רוחבית בין טכנולוגיות תפעוליות (OT), מערכות ארגוניות וסביבות ניהול רשת. לאחר פריסת MetaDefender NDR, הצוות זכה במידע מודיעיני ברמת הרשת הן בסביבות ה-OT והן בסביבות הארגוניות, מה שאפשר לאנליסטים לאתר פעילות תוקפים סמויה בשלב מוקדם יותר ולחקור איומים לפני שהתרחשה הפרעה תפעולית.

בשל אופי העסק, שם הארגון המופיע בכתבה זו נשמר אנונימי על מנת להגן על שלמות עבודתו.

תַעֲשִׂיָה:

אנרגיה ושירותים

מִקוּם:

צפון אמריקה

גוֹדֶל

ספק אנרגיה גדול

מוצרים בשימוש:

MetaDefender NDR

כאשר פעילות של איומים פנימיים נותרת סמויה

האתגר המרכזי של הארגון היה נראות מוגבלת בתוך הרשת. אמנם כלי האבטחה הקיימים סייעו בהגנה על ההיקף החיצוני, אך הם סיפקו תובנות מוגבלות לגבי התקשורת הפנימית בין טכנולוגיות תפעוליות, מערכות ארגוניות וסביבות הקשורות לרשת החשמל. מצב זה הותיר במרכז הבקרה והמענה (SOC) שלושה פערים תפעוליים שהגבירו את הסיכון והאטו את זמן התגובה.

1. היה קשה לפקח על התנועה ממזרח למערב בין OT ל-IT

מערכות בקרה, מכשירים תעשייתיים ופלטפורמות ניטור מייצרים תקשורת פנימית מתמדת, שרובה נראית שגרתית. בסביבה זו, כלי הניטור המסורתיים לא סיפקו את רמת הנראות הדרושה כדי להבחין בין תעבורה תפעולית לגיטימית לבין תנועה פנימית חשודה. כתוצאה מכך, יכולת ה-SOC לעקוב אחר פעילות רוחבית בתוך מקטעי OT או מעבר לגבול שבין הרשתות התפעוליות לרשתות הארגוניות הייתה מוגבלת.

2. ה-SOC הסתמך על אינדיקטורים מאוחרים כדי לזהות איומים

ללא נראות רציפה ברמת הרשת, נאלצו האנליסטים להסתמך לעתים קרובות על התראות ממכשירי קצה או על התנהגות חריגה של המערכת כדי לזהות פעילות חשודה. סימנים אלה הופיעו בדרך כלל בשלב מאוחר יותר במחזור החיים של המתקפה, לאחר שהתוקף כבר ביסס את אחיזתו והחל לנוע בין המערכות הפנימיות. מצב זה פגע ביכולת הצוות לזהות איומים בשלב מוקדם ולפעול בטרם התרחב הסיכון.

3. חקירות שהחלו בהקשר חלקי

מכיוון שפעילות האיומים הפנימיים לא הייתה גלויה בבירור בשכבת הרשת, נאלץ מרכז הבקרה והביטחון (SOC) לשחזר אירועים על סמך ראיות חלקיות שנאספו ממגוון כלים. דבר זה האט את תהליך ניתוח הגורמים השורשיים והקשה על הבנה מהירה של היקף האירוע הפוטנציאלי. בסביבה של תשתית קריטית, היעדר הקשר זה הגביר את הלחץ התפעולי ופגע בביטחון בקבלת החלטות תגובה מוקדמות.

מה נדרש מהארגון כדי לסגור את הפער

הארגון נזקק ליותר מאשר ניטור נוסף. הוא נזקק ליכולת זיהוי שתוכננה במיוחד עבור סביבות מורכבות המשלבות OT ו-IT, שבהן פעילות האיומים נועדה להתמזג בסביבה.

נראות רציפה של הרשת הפנימית

הדרישה המרכזית הייתה היכולת לעקוב אחר תעבורה בין-ארגונית בסביבות OT, רשתות בקרה ומערכות ארגוניות בו-זמנית במסגרת פלטפורמה אחת, לרבות יכולת ניתוח תעבורה מוצפנת ללא צורך בפענוח.

זיהוי התנהגותי המסוגל לזהות חריגות קלות

כלי אבטחה מבוססי חתימות כבר הוכחו כלא מספיקים. הארגון נזקק לניתוח נתונים שיוכל לבחון באופן רציף את התנהגות הרשת בסביבות מעורבות של OT ו-IT, ולזהות חריגות המעידות על תנועה רוחבית ופעילות פיקוד ובקרה, גם כאשר פעילות זו מחקה תעבורה תפעולית לגיטימית.

יכולת זיהוי ברשת שזיהתה איומים בשלב מוקדם יותר במחזור החיים של ההתקפה

מרכז ה-SOC נדרש להפסיק להסתמך על התראות מאוחרות על אירועים סופיים. לשם כך נדרש פתרון המסוגל לנתח דפוסי תעבורה פנימיים ולחשוף התנהגות חריגה ברשת בטרם תגיע לשלב שבו היא משפיעה באופן ניכר על המערכת.

המודיעין הרשתתי החליף את חוסר הוודאות בשקיפות

הארגון נזקק ליכולת זיהוי רשת ייעודית כדי לסגור את פערי הנראות שהכלים המסורתיים לא הצליחו לפתור. מרכז ה-SOC הטמיע MetaDefender NDR לקבל תמונת מצב מאוחדת, כמעט בזמן אמת, של התקשורת הפנימית.

במסגרת הפריסה הותקנו חיישנים בנקודות ריכוז רשת מרכזיות ברחבי תשתית ה-OT, רשתות הבקרה ומגזרי הארגון. לראשונה, יכלו האנליסטים לעקוב אחר התקשורת בין מערכות הבקרה, תחנות המשנה ופלטפורמות הארגון בתצוגה מאוחדת. פעילות הרשת הפנימית, שהייתה עד כה בלתי נראית, הפכה כעת לחלק מתמונת הזיהוי.

הפלטפורמה פעלה בשלושה מישורים במקביל:

ניתוח התנהגותי, בשילוב עם מודיעין איומים משולב וזיהוי חריגות מבוסס בינה מלאכותית, הופעל ברציפות על נתוני טלמטריה בזמן אמת מהרשת, וזיהה דפוסים הקשורים לתנועה רוחבית, שידור אותות איתות ותקשורת פיקוד ובקרה  
ההתראות הועשרו במידע קונטקסטואלי באמצעות MetaDefender , מה שמאפשר מיון מהיר יותר של התראות ללא צורך בהשוואה ידנית בין כלים שונים  
הממצאים ברמת הרשת שולבו ישירות בתהליכי העבודה הקיימים של מרכז תפעול האבטחה (SOC), והחליפו את התיאום המפוצל של התראות בין מערכות שונות בתצוגה אחידה של החקירה

השינוי התפעולי היה מיידי. MetaDefender NDR נתוני טלמטריה מפורטים על הרשת ומידע קונטקסטואלי, שאפשרו לאנליסטים להתחיל בחקירות מתוך תמונה מלאה יותר של פעילות התוקפים ברמת הרשת, במקום להסתמך על אוסף מקוטע של התראות ממכשירי קצה. הודות למידע מאוחד על איומים ולתהליכי חקירה המונעים על ידי בינה מלאכותית, ניתן היה לקבוע את היקף האירוע הפוטנציאלי במהירות רבה יותר ובביטחון רב יותר.

ה-SOC זכה לחשיפה הדרושה כדי לפעול מוקדם יותר

MetaDefender NDR לשיפור ניכר בתהליכי העבודה בתחום הנראות, הזיהוי והחקירה. איומים שבעבר לא זוהו, נראו כעת בשלב מוקדם יותר במחזור החיים של המתקפה. האנליסטים יכלו לזהות איומים מוקדם יותר, לחקור אותם במהירות רבה יותר ולהגיב בביטחון רב יותר.

נראות רשת: לראשונה ניתן היה לעקוב במקביל אחר מקטעי OT, רשתות בקרה ומערכות ארגוניות. פעילות תוקפים שבעבר לא הייתה מתגלה, ניתן כעת לזהות ברגע התרחשותה.

זיהוי איומים: ניתוח התנהגותי וזיהוי חריגות מבוסס בינה מלאכותית זיהו דפוסי תעבורה חשודים עוד בטרם הגיעו לשכבת נקודות הקצה. תנועה רוחבית ותקשורת פיקוד ובקרה סומנו כמסוכנות על סמך סטיות התנהגותיות, ולא רק על סמך חתימות ידועות.

לוחות זמנים של חקירות: אנליסטים ב-SOC כבר לא נדרשו לשחזר את היקף האירוע מתוך התראות מקוטעות שהגיעו מנקודות קצה. נתוני הטלמטריה ברמת הרשת סיפקו תמונה מלאה של פעילות התוקף, מה שאפשר ניתוח מהיר יותר של הגורם השורשי וקבלת החלטות בטוחות יותר בנוגע לבלימת האירוע.

הגנה על התשתית: הודות ליכולת לראות את התקשורת ברשתות התפעוליות, מרכז הבקרה (SOC) יכול לזהות איומים המכוונים למערכות הבקרה ולהגיב עוד בטרם יגיעו איומים אלה לפלטפורמות ניהול הרשת או יפגעו בתפעול מערכת החשמל.

תוצאות שהושגו באמצעותMetaDefender NDR בתחומים מרכזיים

אזור ההשפעה	תוֹצָאָה
נראות הרשת	תצוגה מאוחדת של רשתות OT, רשתות בקרה ומערכות ארגוניות
מהירות זיהוי איומים	זיהוי מוקדם יותר של תנועה לרוחב ותנועה חשודה
יעילות החקירה	ניתוח מהיר יותר של הגורמים השורשיים, תוך התייחסות להקשר המלא ברמת הרשת
הגנה על תשתיות	הגנה משופרת על מערכות התפעול והבקרה של רשת החשמל
תגובה לאירועים	תגובה מתואמת יותר בין צוותי האבטחה במגזר האנרגיה
מוכנות לציות	ניטור רציף בהתאם לתקני אבטחת התשתיות הקריטיות

חיזוק מערך ההגנה הסייברית על תשתיות קריטיות

הגנה על תשתיות אנרגיה ותשתיות שירותים ציבוריים דורשת יותר מאשר הגנה היקפית או אבטחת נקודות קצה. באמצעות פריסת ניטור רשת רציף בסביבות OT ובסביבות ארגוניות, מרכז הבקרה והמענה לאירועי אבטחה (SOC) של הארגון זכה במידע המודיעיני הדרוש כדי לאתר פעילות תוקפים בשלב מוקדם יותר, לחקור אירועים במהירות רבה יותר ולהגיב לפני שהאיומים יספיקו לשבש את שירותי האנרגיה או את מערכות התשתית הקריטיות.

התוצאה היא פעילות אבטחה שאינה תלויה עוד באינדיקטורים מאוחרים לזיהוי איומים פנימיים. מודיעין הרשת הפך כעת ליכולת מרכזית, ומרכז הבקרה והניטור (SOC) מסוגל להגן על התשתית שבאחריותו בביטחון רב יותר.

הגן על תשתית האנרגיה שלך באמצעות נראות רשת מתקדמת וזיהוי איומים התנהגותי. גלה מה MetaDefender NDR לעשות עבור מרכז הבקרה והאבטחה (SOC) שלך.

דבר עם מומחה

תגיות: