製造|客戶案例

當攻擊者隱身於眾目睽睽之下，這家製造公司如何在整個Industrial 中建立網路韌性

透過MetaDefender NDR即時網路情報與 AI 驅動的威脅偵測功能，在工業製造環境中偵測網路內部威脅及橫向移動。

作者：歐安娜·普雷多伊烏

分享此文章

關於本公司：一家全球性製造企業，負責透過複雜的 IT/OT 環境，在多個地區營運多處生產設施及供應鏈網絡。

情況是怎樣的？我們的客戶雖然已部署了完善的解決方案來阻擋已知的惡意軟體或外部威脅，但對於製造網路中各內部系統之間的通訊狀況，卻缺乏深入的洞察。

該公司的資安團隊需要更全面地掌握 IT 及營運技術環境中的網路活動狀況，以便在攻擊者干擾製造作業之前，及早偵測異常行為。

由於業務的性質，本故事中出現的組織名稱將保持匿名。

產業：

製造業

地點：

全球佈局

尺寸

大型製造企業

使用產品：

MetaDefender NDR

業界有一種說法，認為傳統的資安解決方案在現代環境中已無效。如同任何廣為流傳的說法，這其中確實有些道理。實際上，傳統的資安解決方案只有在原本應受保護的環境發生根本性改變時，才會變得無效。

以現代工業網路為例。它們將企業 IT 系統與直接控制生產設備的 OT（營運技術）相結合，形成了一個複雜的生態系統。那麼，專為 IT 或 OT 設計的安全工具，如何才能真正保障同時具備這兩方面特性的系統？

大多數解決方案的設計初衷，就是為了在特定領域發揮卓越效能：識別威脅、阻擋威脅，以及清除威脅。而它們確實做得很好。但在製造環境中，真正的挑戰未必總是那些正在積極影響系統的、肉眼可見的威脅。有時，危險就隱藏（並移動）在眾目睽睽之下。

當 IT 與 OT 在同一網路中運作時，內部系統（機器、控制器、伺服器）之間的通訊可能無法受到監控。 若無明顯的入侵事件或即時的異常狀況，SOC 團隊便無從得知是否出了問題。

而攻擊者正是在這個灰色地帶如魚得水。

試想，一名攻擊者透過成功的網路釣魚攻擊入侵了您的網路。隨之而來的橫向移動——即在相互連線的生產系統間取得存取權限——往往在為時已晚之前都難以被察覺。等到安全營運中心（SOC）團隊察覺時，攻擊者可能已經滲透了所有關鍵系統。

這正是我們的客戶致力於彌合的「可視性缺口」，而MetaDefender NDR 其解決方案的核心。

傳統的安全監控未能偵測到關鍵的網路活動

客戶面臨的核心問題在於缺乏可視性。

雖然他們已部署了用於偵測初期入侵或後期異常的解決方案，但其安全營運中心（SOC）團隊卻缺乏監控互聯 IT/OT 網路中橫向移動的工具。這導致了若干問題，一旦發生資料外洩事件，這些問題本可能演變成嚴重後果。

攻擊者能夠將橫向移動偽裝成合法的網路流量，並在相互連線的系統之間移動，而不會觸發傳統的偵測機制。

資訊技術（IT）與營運技術（OT）的融合造就了複雜的通訊模式，使得橫向移動極易被誤認為是工廠運作、工業設備及企業應用程式所產生的流量。因此，一旦網路遭到入侵，攻擊者便能隱身於明處，試圖進一步取得生產網路、智慧財產權或敏感營運資料的存取權限。

等到安全營運中心（SOC）團隊察覺可疑行為時，攻擊者可能早已滲透至關鍵生產系統，進而導致營運風險暴露。

為消除這些可視性缺口，該組織在其製造網路與企業網路的關鍵區段NDR 部署了MetaDefender NDR 。

MetaDefender NDR 與網路攻擊相關的指揮與控制通訊。其運作方式是透過分析網路遙測資料，以識別異常的流量模式，並偵測系統間的橫向移動。

憑藉其人工智慧輔助的偵測模型，該系統會持續分析網路行為，以在攻擊生命週期的早期階段，即刻識別可能預示攻擊者活動的細微異常。此次部署著重於解決三個核心問題。

部署在網路匯聚點的感測器，使安全營運中心（SOC）團隊能夠監控生產系統、企業應用程式與外部連線之間的通訊。

分析師們首次得以全面掌握該組織製造基礎設施中各處的網路活動狀況。

透過行為分析結合整合式威脅情報與人工智慧驅動的異常偵測，使 SOC 團隊得以識別出與攻擊者在網路內部活動相關的可疑行為。

過去未被察覺的通訊模式，如今能在攻擊生命週期的更早期階段被偵測到。

MetaDefender NDR 詳盡的網路遙測數據與情境化威脅情報，使 SOC 分析師能夠迅速調查可疑活動。

分析師無需再將分散於多個系統的警報相互關聯，而是可以透過全面的網路層級視圖來檢視潛在威脅，進而調查事件。

透過NDR我們的客戶顯著提升了在攻擊生命週期的早期階段偵測和調查可疑網路活動的能力。