政府 |客戶案例

美國某聯邦機構透過強化內部網路可視性，提升威脅應對能力

透過MetaDefender NDR 實現的 AI 驅動網路偵測NDR 某聯邦安全營運中心（SOC）更早偵測到攻擊者的活動、加速調查進程，並強化任務防護。

作者：薇薇安·維雷茨基

分享此文章

關於該公司：我們的客戶是一家大型美國聯邦機構，負責在複雜的運作環境中保護高度敏感的系統、營運資料及任務關鍵型基礎設施。其基礎設施涵蓋安全資料中心、區域設施、分段式內部網路，以及支援大規模關鍵營運的雲端環境。在此環境下，資安團隊需要持續的可視性、快速的調查工作流程，並能在嚴格的安全與合規要求下做出確切的決策。

情況是怎樣的？該組織對內部系統之間的通訊狀況掌握有限，導致安全營運中心（SOC）團隊在攻擊發生後難以偵測可疑活動。這不僅拖慢了調查進度，更迫使分析師在攻擊者已開始擴大存取權限後，只能依據零散的訊號進行分析。在部署OPSWAT MetaDefender NDR 後，SOC 不僅獲得更全面的網路可視性，能更早偵測異常行為，還能憑藉更豐富的背景資訊與更高確信度，加速調查進程。

由於業務的性質，本故事中出現的組織名稱將保持匿名。

產業：

政府

地點：

美國

尺寸

大型聯邦機構

使用產品：

MetaDefender NDR

當內部資訊透明度的缺口導致偵測延遲

該組織並非缺乏資安工具；而是缺乏對內部網路活動的清晰掌握，導致攻擊者得以在安全營運中心（SOC）蒐集到足夠證據採取行動之前，在受信任的系統之間自由移動。

內部通訊難以監控

現有的方法過度依賴邊界防禦和終端訊號。雖然這些控制措施有助於揭露已知的威脅，但對於內部系統之間的通訊，卻只能提供有限的洞察。因此，網路內部可疑的行為可能持續存在卻未被立即偵測到。

若缺乏更強大的內部可視性，安全營運中心（SOC）便無法在攻擊生命週期的早期階段，持續且準確地偵測到攻擊者的活動。在以網路分段、敏感資產及關鍵營運為核心的環境中，此項限制加劇了營運風險。

偵測工作往往是在攻擊已擴散之後才開始的

由於內部網路流量較難分析，團隊往往必須等到出現延遲性指標（例如終端警報或異常系統行為）後，才會展開深入調查。屆時，攻擊者可能已經滲透至多個系統，或已進入環境中更敏感的區域。

這使得反應變得更慢、更困難。分析人員只能在事後重建活動狀況，而非及早介入，這不僅增加了運作壓力，也提高了任務風險。

零散的證據拖慢了調查進度

一旦事件進入審查階段，團隊便面臨另一項挑戰：必須蒐集足夠的背景資訊，才能迅速掌握事件的範圍與影響。分析師必須將來自多種工具和資料來源的訊號進行關聯分析，這不僅拖慢了事件分級流程、延遲了應對時機，也使得分析結論更難站得住腳。證據越是零散，要判斷某項活動是無害、可疑，還是具有實際危害性，所需的時間就越長。

內部可視性、早期偵測與採取行動的背景

該組織不需要另一個獨立的警報來源。它需要一套網路偵測能力，能夠降低不確定性、提升分析師的工作效率，並協助安全營運中心（SOC）以更大的信心更迅速地採取行動。

其要求很明確：

橫跨內部系統、雲端環境及外部連線的持續內部網路可視性
及早識別異常行為，以便在威脅擴大之前偵測到橫向移動及指揮控制活動
提供更完整的調查背景，讓分析師無需手動拼湊零散的證據，即可更快評估事件範圍
與聯邦運作環境的相容性，包括受監管、分段式及可能處於離線狀態的部署環境
符合合規要求的監控與報告機制，以支援聯邦網路安全規範

將網路活動轉化為更快速、更精準的決策

該組織部署MetaDefender NDR 後，其安全營運中心（SOC）便能更早偵測到可疑的內部行為，並在掌握更多背景資訊的情況下展開調查。從一開始，此次部署便著重於三大重點：擴大網路可視性、提升對攻擊者行為的偵測能力，以及加速 SOC 的調查流程。

提升環境各層面的能見度

此次部署涵蓋了戰略性網路區段，並在主要匯聚點設置感測器，以提升對內部系統、雲端環境及外部連線之間通訊狀況的可視性。這使分析師能更全面地掌握整個環境中的活動動態，並協助安全營運中心（SOC）監控網路內部發生的狀況，而不僅限於邊界區域。

更早偵測進階攻擊者的行為

MetaDefender NDR 這些遙測資料，協助偵測異常流量模式、橫向移動以及指揮與控制活動。藉由結合機器學習輔助偵測、行為分析與整合式威脅情報，該平台協助識別出先前隱藏於正常流量中的可疑模式。隨後，安全營運中心（SOC）得以更早地識別惡意行為，在威脅進一步擴散至關鍵系統之前加以遏止。

加速 SOC 的調查工作

同樣重要的是，這也讓調查工作變得更加容易。分析人員不再需要先從分散於多個系統的零散證據中拼湊，才能釐清事件全貌。憑藉更豐富的遙測數據、更完整的背景資訊、快速的事件關聯分析，以及與更廣泛的安全運作工作流程的互通性，調查工作變得更加精準且高效。

更早發現、更迅速調查、更強信心

最顯著的成果在於，偵測模式從「延遲察覺」轉變為「基於網路資訊的早期偵測」。部署後，該組織提升了及早識別可疑活動的能力，使安全營運中心（SOC）在威脅干擾關鍵營運之前，有更多時間進行評估、遏制及應對。

這項改善在日常安全運作中顯而易見：

分析師得以更深入地掌握安全內部網路中的通訊狀況
稍早已偵測到可疑流量及攻擊者的活動
根本原因分析變得更快、更有效率
在事件應變過程中，各安全運作團隊之間的協調有所改善
監控與分析工作已更符合聯邦網路安全要求
安全團隊更能有效保護關鍵系統，使其免受進階內部威脅的侵害

對偵測、調查及任務保護的運作影響

在採用MetaDefender NDR之前	在MetaDefender NDR之後	對營運的影響
對內部東西向流量的監控能力有限	對內部、雲端及外部網路活動的更全面可視性	更早地識別可疑動向
調查通常是在出現終點或系統層級的指標後才展開	分析師可直接透過網路遙測資料進行調查	更迅速、更主動的回應
必須透過多種工具來拼湊證據	更豐富的背景資訊與事件關聯性，改善了調查工作流程	提升分析師的工作效率並增強決策信心
在分段式的聯邦環境中，監管漏洞導致了風險	持續監控有助於更好地支援受監管的營運	提升關鍵系統的安全準備狀態，並加強任務保護