内部からの脅威活動が隠されたままである場合
同組織が直面していた最大の課題は、ネットワーク内部の可視性の低さでした。既存のセキュリティツールは境界線の防御には役立っていたものの、オペレーショナルテクノロジー(OT)、エンタープライズシステム、および送電網関連環境にわたる内部通信に関する可視性は限られていました。その結果、SOCには3つの運用上の課題が生じ、リスクが高まり、対応が遅れることとなりました。
1. OTとITを横断する東西方向のトラフィックは監視が困難であった
制御システム、産業用デバイス、監視プラットフォームは絶えず内部通信を行っており、その多くは日常的なものに見えます。このような環境下では、従来の監視ツールには、正当な運用トラフィックと不審な内部通信を区別するために必要な可視性が欠けていました。その結果、SOCは、OTセグメント内や、運用ネットワークと企業ネットワークの境界を越えた横方向の活動を監視する能力が限られていました。
2. SOCは、脅威を特定するために遅行指標に依存していた
ネットワークレベルでの継続的な可視性が欠如していたため、アナリストは不審な活動を検知する際、エンドポイントのアラートやシステムの異常な動作に頼らざるを得ないことが多かった。こうした兆候は通常、攻撃のライフサイクルの後半、つまり攻撃者がすでに足場を築き、内部システム内を移動し始めた後に現れるものであった。そのため、脅威を早期に検知し、リスクが拡大する前に措置を講じるチームの能力が低下していた。
3. 断片的な情報から始まった調査
内部からの脅威活動はネットワーク層では明確に把握できなかったため、SOCは複数のツールに分散した断片的な証拠をもとにインシデントを再構築しなければなりませんでした。これにより、根本原因の分析が遅れ、潜在的なインシデントの範囲を迅速に把握することが困難になりました。重要インフラ環境において、こうした状況の把握不足は運用上の負担を増大させ、早期対応の意思決定に対する確信を損なう結果となりました。
組織が格差を埋めるために必要だったもの
この組織に必要なのは、単なる監視機能の強化だけではなかった。脅威活動が環境に溶け込むように仕組まれている、複雑でOTとITが混在する環境に特化した検知機能が必要だった。
ネットワークの継続的な可視化
主な要件は、単一のプラットフォーム上で、OT環境、制御ネットワーク、およびエンタープライズシステムを横断する東西方向のトラフィックを同時に監視できる機能であり、これには復号化を行わずに暗号化されたトラフィックの分析状況を可視化する機能も含まれていました。
微妙な異常を検知できる行動検知機能
シグネチャベースのツールでは、すでに不十分であることが明らかになっていた。同組織には、OTとITが混在する環境全体におけるネットワークの挙動を継続的に分析し、たとえその活動が正当な運用トラフィックを装っていたとしても、横方向の移動やコマンド&コントロール活動を示唆する異常を検知できる分析機能が必要とされていた。
攻撃ライフサイクルのより早い段階で脅威を特定するネットワーク検知機能
SOCは、エンドポイントからの遅延アラートへの依存から脱却する必要がありました。そのためには、内部トラフィックのパターンを分析し、システムへの影響が顕在化する前に異常なネットワーク動作を検知できるソリューションが必要でした。
ネットワークインテリジェンスにより、不確実性が可視性へと変わった
同組織は、従来のツールでは解消できなかった可視性のギャップを解消するため、専用のネットワーク検知機能が必要でした。SOCは、内部通信を統合的かつほぼリアルタイムで把握NDR 、MetaDefender NDR を導入しました。
この導入により、OTインフラ、制御ネットワーク、およびエンタープライズセグメントにわたる主要なネットワーク集約ポイントにセンサーが設置された。これにより、アナリストは初めて、制御システム、変電所、およびエンタープライズプラットフォーム間の通信を統合されたビューで監視できるようになった。これまで可視化されていなかった内部ネットワークの活動も、検出対象に含まれるようになった。
このプラットフォームは、3つの分野で同時に活動を開始した:
- 行動分析を統合された脅威インテリジェンスおよびAIを活用した異常検知と組み合わせ、リアルタイムのネットワークテレメトリに対して継続的に分析を実行し、横方向の移動、ビーコン送信、およびコマンド&コントロール通信に関連するパターンを特定した
- MetaDefender を通じてアラートにコンテキスト情報を付加することで、ツール間を手作業で照合することなく、より迅速な優先順位付けが可能になりました
- ネットワークレベルでの分析結果は、既存のSOCワークフローに直接反映され、複数のシステムにまたがる断片的なアラートの相関分析に代わり、統一された調査ビューが実現されました
運用上の変化は即座に現れました。MetaDefender NDR 詳細なネットワークテレメトリとコンテキスト情報により、アナリストは、断片的なエンドポイントアラートではなく、攻撃者の活動を網羅的に把握したネットワークレベルの視点から調査を開始できるようになりました。統合された脅威インテリジェンスとAIを活用した調査ワークフローにより、潜在的なインシデントの範囲をより迅速かつ確信を持って特定できるようになりました。
SOCは、より早期に対応するために必要な可視性を確保した
MetaDefender NDR 、可視性、検知、および調査ワークフローのすべてにおいて、明らかな改善NDR 。以前は検知されずにいた脅威も、攻撃ライフサイクルのより早い段階で可視化されるようになりました。これにより、アナリストは脅威をより早期に検知し、迅速に調査を行い、より確信を持って対応できるようになりました。
ネットワーク可視性:OTセグメント、制御ネットワーク、およびエンタープライズシステムを、初めて同時に可視化できるようになりました。これまでは検知されなかった攻撃者の活動も、発生したその場で特定できるようになりました。
脅威の検知:行動分析とAIを活用した異常検知により、不審なトラフィックパターンがエンドポイント層に到達する前に特定されました。横方向の移動やコマンド&コントロール通信は、既知のシグネチャだけでなく、行動の逸脱に基づいて検知されました。
調査のタイムライン:SOCアナリストは、断片的なエンドポイントアラートからインシデントの範囲を再構築する必要がなくなりました。ネットワークレベルのテレメトリにより、攻撃者の活動全体を把握できるようになり、根本原因の分析が迅速化され、より確信を持って封じ込めの判断を下せるようになりました。
インフラ保護:運用ネットワーク全体の通信状況を可視化することで、SOCは制御システムを標的とした脅威を特定し、それらの脅威が送電網管理プラットフォームに到達したり、電力運用に支障をきたしたりする前に、対応することが可能となる。
MetaDefender NDR が主要NDR たらす成果
| 影響範囲 | 成果 |
|---|---|
| ネットワーク可視性 | OT、制御ネットワーク、およびエンタープライズシステムを横断した統合ビュー |
| 脅威の検知速度 | 横方向の移動や不審な動きの早期発見 |
| 調査の効率性 | ネットワークレベルのコンテキストを網羅することで、根本原因の分析を迅速化 |
| インフラの保護 | 送電網の運用および制御システムの保護機能の強化 |
| インシデント対応 | エネルギー部門のセキュリティチーム間での連携強化 |
| コンプライアンス対応体制 | 重要インフラのセキュリティ基準に準拠した継続的な監視 |
重要インフラのサイバー防衛体制の強化
エネルギーおよび公益事業インフラ環境の防御には、境界防御やエンドポイントセキュリティだけでは不十分です。OT環境とエンタープライズ環境全体に継続的なネットワーク監視を導入することで、同組織のSOCは、攻撃者の活動を早期に検知し、インシデントの調査を迅速に行い、脅威がエネルギーサービスや重要インフラシステムに支障をきたす前に適切な対応を講じるために必要な情報を得ることができました。
その結果、内部脅威を検知するために遅延した指標に依存する必要がなくなったセキュリティ運用が実現しました。ネットワークインテリジェンスは今や中核的な機能となっており、SOCは、保護対象のインフラをより確固たる自信を持って防御できる体制を整えています。
高度なネットワーク可視化と行動ベースの脅威検知により、エネルギーインフラを保護しましょう。MetaDefender NDR SOCにどのようなNDR 、ぜひご覧ください。
