איומים נסתרים בתוך הרשת
בכל יום נתון, הרשת של האוניברסיטה הזו העבירה תעבורה של אלפי סטודנטים שצפו בהרצאות בסטרימינג, חוקרים שהעבירו מאגרי נתונים בין מעבדות, סגל אקדמי שגישה לפלטפורמות ציונים מבוססות ענן, וצוות מנהלי שטיפל ברישומי הרשמה ושכר. ברחבי הקמפוסים השונים, הרשת האופקית המחברת בין מעבדות מחקר, מחלקות אקדמיות ומערכות מנהליות הוקמה כדי להבטיח שהכל יתנהל ללא תקלות.
אותה קישוריות עצמה הפכה את ההגנה על הרשת מבפנים לכמעט בלתי אפשרית. עבור תוקף שהשיג גישה ראשונית באמצעות מתקפת פישינג, פרטי התחברות שנחשפו או מערכת פגיעה המיועדת לסטודנטים, הפעילות הלגיטימית הזו סיפקה כיסוי מושלם. למרכז הבקרה והביטחון (SOC) היו אמצעי בקרה חזקים בהיקף הרשת, אך ברגע שתוקף הצליח לחדור פנימה, יכולתו לראות מה מתרחש הייתה מוגבלת. התעבורה הפנימית זרמה בחופשיות בין המערכות, תוך נראות מוגבלת לגבי מה מועבר ולאן.
התעבורה ברשת הפנימית הייתה למעשה בלתי נראית
כלי הניטור המסורתיים התמקדו בתעבורה הנכנסת והיוצאת מגבולות הרשת. התקשורת בין המערכות הפנימיות בתשתית הקמפוס, לרבות מעבדות מחקר, יישומים אקדמיים ומסדי נתונים מנהליים, נותרה מחוץ לטווח הראייה שלהם. תנועה רוחבית, פעילות פיקוד ובקרה והתנהגות של תוקפים בשלב מוקדם יכלו להתרחש במגזרים אלה מבלי לעורר התראות. למרכז הבקרה והביטחון (SOC) לא היה מנגנון לניטור תופעות אלה.
הזיהוי התבסס על אינדיקטורים במורד הזרם
בלי יכולת ראייה ברמת הרשת, האנליסטים הסתמכו על התראות ממכשירי קצה ועל חריגות במערכת כדי לזהות פעילות חשודה. אינדיקטורים אלה הופיעו בדרך כלל רק לאחר שהתוקף כבר הרחיב את הגישה שלו, עבר בין מערכות או התמקם בקרבת נתונים רגישים. עד שה-SOC קיבל התראה, חלון ההזדמנויות לבלימה מוקדמת כבר נסגר לרוב.
מורכבות הקמפוס הפכה את ניתוח ההתנהגות לבלתי ישים
היקף הפעילות ברשת הקמפוס ומגווןה הקשו על קביעת קווי בסיס או זיהוי חריגות באמצעות כלים קונבנציונליים. דפוסי התעבורה מסביבות המחקר, ממערכות הסטודנטים, משירותי הענן ומתשתית הניהול היו מגוונים ביותר. ההבחנה בין התנהגות תוקפים לפעילות לגיטימית דרשה רמת יכולת ניתוח שהכלים הקיימים לא יכלו לספק.
מה נדרש מה-SOC כדי להגן על סביבת הקמפוס
צוות האבטחה של האוניברסיטה נזקק ליכולת לבחון את הנעשה בתוך הרשת הפנימית, לפעול בהתאם לממצאים ולהוכיח כי נתוני מחקר רגישים ומידע על סטודנטים מוגנים כראוי. קריטריוני ההחלטה הספציפיים כללו:
איתור מוקדם יותר בכל המערכות הפנימיות
ה-SOC נדרש לזהות איומים הנעים בין מערכות פנימיות בטרם יגיעו לתשתית מחקרית או מנהלית רגישה, ולא לאחר שכבר הופעלו התראות בנקודות הקצה.
אמינות הממצאים בסביבה בעלת נפח פעילות גבוה
עם אלפי משתמשים ומכשירים שיוצרים תעבורה בלתי פוסקת, הצוות נזקק לזיהויים שאפשר לסמוך עליהם, ולא לכמות גדולה יותר של התראות שיש למיין באופן ידני.
חקירות מהירות ומקיפות יותר
האנליסטים נזקקו להקשר מספיק בעת הזיהוי כדי להבין במהירות את היקף האיום, מבלי שייאלצו לאסוף ראיות ממספר כלים שאינם קשורים זה לזה.
התאמה לדרישות הציות של מגזר החינוך
האוניברסיטה נזקקה לניטור רציף שיסייע בהיערכות לביקורת ויעזור להוכיח עמידה בתקני האבטחה החלים על נתוני הסטודנטים והמחקר.
הפרעה מינימלית לפעילות הקמפוס
כל פתרון נדרש היה לתפקד בכל מגוון המערכות המודרניות והישנות של האוניברסיטה, מבלי לדרוש שינויים ארכיטקטוניים משמעותיים או לשבש את הפעילות האקדמית במהלך ההטמעה.
מנקודת עיוורון לנראות רשת מאוחדת
האוניברסיטה צמצמה את הפער בנראות הפנימית שלה באמצעות הטמעת MetaDefender NDR בכל מקטעי הרשת האסטרטגיים ברחבי הקמפוס. חיישנים שהוצבו במרכזיות רשת מרכזיות העניקו ל-SOC גישה רציפה לתעבורה הזורמת בין מערכות אקדמיות, רשתות מחקר, שירותי ענן ותשתית ניהולית. לראשונה, האנליסטים זכו לתצוגה מאוחדת של פעילות הרשת ממזרח למערב בסביבה המבוזרת של האוניברסיטה.
MetaDefender NDR מנתחתNDR נתוני פעילות רשת באמצעות למידת מכונה וניתוח התנהגותי, כדי לזהות דפוסי תעבורה חריגים, לאתר תנועה רוחבית בין מערכות ולחשוף תקשורת פיקוד ובקרה. מודלים לזיהוי חריגות המונעים על ידי בינה מלאכותית חושפים אינדיקטורים עדינים להתנהגות התוקפים, המשתלבים בתעבורה הרגילה בקמפוס, עוד בטרם התוקפים מספיקים להתקדם עמוק יותר לתוך הסביבה.
מידע המודיעין המשולב על איומים העשיר את הזיהויים באופן אוטומטי, והעניק לאנליסטים התראות המותאמות להקשר, במקום אינדיקטורים גולמיים. במקום לבצע קורלציה בין נתונים מקוטעים הפזורים במערכות שונות, מרכז תפעול האבטחה (SOC) יכול היה לחקור אירועים באמצעות נראות מלאה ברמת הרשת של פעילות התוקפים, מתוך פלטפורמה אחת.
השפעה מדידה על נראות ה-SOC ועל אבטחת הקמפוס
לאחר הטמעת MetaDefender NDR, עבר מרכז התפעול האבטחה (SOC) של האוניברסיטה מגישה תגובתית, שהייתה כרוכה בהמתנה להתראות ממכשירי קצה ולחריגות במערכת, לגישה יזומה, הכוללת יכולת לאתר ולחקור איומים עוד בטרם הספיקו להתממש.
תחומי השפעה | יתרונות תפעוליים |
נראות הרשת | נראות מעמיקה ורציפה של התעבורה הפנימית בין מזרח למערב ברשתות הקמפוס |
מהירות זיהוי איומים | זיהוי מוקדם יותר של תנועה לרוחב ודפוסי תקשורת חשודים |
יעילות החקירה | ניתוח מהיר יותר של הגורמים השורשיים באמצעות טלמטריה מאוחדת ברמת הרשת |
הגנה על מחקר | יכולת זיהוי משופרת המגנה על מחקר אקדמי רגיש וקניין רוחני |
תגובה לאירועים | תגובה מתואמת יותר של SOC עם הקשר רשת מלא |
מוכנות לציות | ניטור רציף ומחוזק, בהתאם לתקני האבטחה של מגזר החינוך |
התאמת מערך ההגנה להתפתחות האיומים בקמפוס
כעת, עם הטמעת יכולת הנראות הרציפה ברשת, האוניברסיטה ערוכה להרחיב את יכולות הזיהוי והתגובה שלה למגוון רחב יותר של מערכות בקמפוס ולתהליכי אבטחה.
כיסוי רחב יותר של חיישנים ברחבי חלקי הקמפוס
הרחבתNDR MetaDefender NDR למקטעי רשת נוספים, כגון סביבות לשיתופי פעולה במחקר ותשתית קצה, כדי לשמור על נראות ככל שרשת הקמפוס גדלה ומתפתחת.
שילוב מעמיק יותר עם פעילות ה-SOC
שילוב נתוני טלמטריה ברשת עם פלטפורמות SIEM ו-SOAR קיימות כדי להעשיר את ציר הזמן של האירועים, להאיץ את תהליכי התגובה ולהפחית את עומס העבודה של האנליסטים בצוות תפעול האבטחה.
איתור איומים רטרואקטיבי בתעבורה היסטורית
שימוש ביכולת ה-retrohunting של הפלטפורמה כדי לנתח מחדש נתוני רשת היסטוריים, לחשוף פעילות תוקפים שפספסו בעבר, ולהעריך את משך הזמן שבו איומים בלתי מזוהים היו קיימים בסביבה.
מתוך "אבטחת היקפית ומציאות הרשת"
לא ניתן להגן על רשתות הקמפוס מפני תקיפות חיצוניות בלבד. תוקפים שהשיגו גישה ראשונית יכולים לנוע לרוחב הרשת בין מערכות מחקר, יישומים אקדמיים ותשתית ניהולית למשך תקופות ממושכות, אם למרכז הבקרה והביטחון (SOC) אין כל דרך לעקוב אחר הפעילות ברשת הפנימית.
הודות לפריסת MetaDefender NDR, אנליסטים במרכז הבקרה והביטחון (SOC) של האוניברסיטה זכו לנראות, ליכולת זיהוי ולהקשר חקירתי הנדרשים לזיהוי איומים בשלב מוקדם יותר ולהגנה בביטחון. התוצאה היא מודל הגנה יזום ומבוסס-רשת, שתוכנן להתאים את עצמו למורכבותן של סביבות ההשכלה הגבוהה המודרניות.
מסקנות סופיות
- כלי אבטחה היקפיים וכלי אבטחת נקודות קצה בלבד אינם מסוגלים לזהות איומים שכבר מתפשטים לרוחב בתוך רשת הקמפוס
- נראות רציפה של הרשת הפנימית היא חיונית לזיהוי התנהגות התוקפים בטרם תגיע למערכות רגישות
- ניתוח התנהגותי המונע על ידי בינה מלאכותית מזהה פעילות חשודה המסתתרת בתוך תעבורת הרשת העמוסה בקמפוס מוקדם יותר מאשר כלים המבוססים על כללים
- מודיעין איומים משולב מקל על עומס העבודה של האנליסטים על ידי מתן הקשר כבר בשלב הזיהוי
- זיהוי רשתות ייעודי מספק שיפור מדיד בתפקוד מרכז הבקרה (SOC) מבלי לשבש את הפעילות בקמפוס
אם ה-SOC שלכם אחראי על אבטחת סביבת קמפוס מורכבת וזקוק לנראות משופרת של הפעילות ברשת הפנימית, פנו OPSWAT כדי ללמוד כיצד MetaDefender NDR לסייע בהגנה על הנתונים הרגישים שלכם.
