Minacce nascoste all'interno della rete
Ogni giorno, la rete di questa università gestiva il traffico generato da migliaia di studenti che seguivano le lezioni in streaming, da ricercatori che trasferivano set di dati tra i laboratori, da docenti che accedevano a piattaforme di valutazione basate sul cloud e da personale amministrativo che elaborava i dati relativi alle iscrizioni e alle buste paga. Nei vari campus, la rete orizzontale che collega laboratori di ricerca, dipartimenti accademici e sistemi amministrativi è stata realizzata per garantire che tutto funzionasse senza intoppi.
Proprio quella connettività rendeva la rete praticamente impossibile da difendere dall'interno. Per un aggressore che fosse riuscito a ottenere un accesso iniziale tramite una campagna di phishing, credenziali compromesse o un sistema vulnerabile destinato agli studenti, quell'attività legittima forniva una copertura ideale. Il SOC disponeva di solidi controlli sul perimetro, ma una volta che un autore della minaccia era entrato all'interno, la capacità di monitorare ciò che stava accadendo era limitata. Il traffico interno circolava liberamente tra i sistemi, con una visibilità limitata su quali dati venissero trasferiti e verso dove.
Il traffico di rete interno era praticamente invisibile
Gli strumenti di monitoraggio tradizionali si concentravano sul traffico in entrata e in uscita dal perimetro della rete. Le comunicazioni tra i sistemi interni all'interno dell'infrastruttura del campus, inclusi i laboratori di ricerca, le applicazioni accademiche e i database amministrativi, sfuggivano al loro campo visivo. I movimenti laterali, le attività di comando e controllo e i comportamenti degli aggressori nelle fasi iniziali potevano verificarsi in questi segmenti senza generare avvisi. Il SOC non disponeva di alcun meccanismo per rilevarli.
L'individuazione si basava su indicatori a valle
In assenza di visibilità a livello di rete, gli analisti si affidavano agli avvisi provenienti dagli endpoint e alle anomalie di sistema per individuare attività sospette. Questi indicatori comparivano solitamente solo dopo che un aggressore aveva già ampliato il proprio accesso, si era spostato da un sistema all'altro o si era posizionato in prossimità di dati sensibili. Quando il SOC veniva allertato, spesso la finestra temporale per un contenimento tempestivo si era già chiusa.
La complessità del campus ha reso impraticabile l'analisi comportamentale
La portata e la diversità delle attività di rete del campus rendevano difficile stabilire valori di riferimento o individuare anomalie utilizzando strumenti convenzionali. I modelli di traffico provenienti dagli ambienti di ricerca, dai sistemi degli studenti, dai servizi cloud e dall'infrastruttura amministrativa variavano notevolmente. Distinguere il comportamento degli aggressori dalle attività legittime richiedeva un livello di capacità analitica che gli strumenti esistenti non erano in grado di fornire.
Cosa serviva al SOC per garantire la sicurezza nel campus
Il team di sicurezza dell'università aveva bisogno di poter monitorare la propria rete, intervenire in base a quanto rilevato e dimostrare che i dati sensibili relativi alla ricerca e le informazioni sugli studenti fossero adeguatamente protetti. Tra i criteri decisionali specifici figuravano:
Individuazione precoce in tutti i sistemi interni
Il SOC doveva individuare le minacce in transito tra i sistemi interni prima che potessero raggiungere le infrastrutture sensibili dedicate alla ricerca o all'amministrazione, e non dopo che gli allarmi degli endpoint fossero già stati attivati.
Affidabilità dei risultati in un contesto caratterizzato da volumi elevati
Con migliaia di utenti e dispositivi che generavano un traffico costante, il team aveva bisogno di rilevamenti affidabili, piuttosto che di un numero maggiore di avvisi da vagliare manualmente.
Indagini più rapide e complete
Gli analisti avevano bisogno di un contesto sufficientemente ampio al momento dell'individuazione per comprendere rapidamente la portata di una minaccia, senza dover mettere insieme le prove provenienti da diversi strumenti non integrati tra loro.
Conformità ai requisiti normativi del settore dell'istruzione
L'università necessitava di un monitoraggio continuo che garantisse la preparazione alle verifiche e contribuisse a dimostrare la conformità agli standard di sicurezza che regolano i dati relativi agli studenti e alla ricerca.
Minimo impatto sulle attività del campus
Qualsiasi soluzione doveva funzionare con l'insieme di sistemi moderni e legacy dell'università senza richiedere modifiche architetturali significative né interferire con le attività didattiche durante l'implementazione.
Dal punto cieco alla visibilità unificata della rete
L'università ha colmato il divario di visibilità interna implementando MetaDefender NDR su segmenti strategici della rete in tutto l'ambiente del campus. I sensori posizionati nei principali hub di rete hanno fornito al SOC un accesso continuo al traffico che scorreva tra i sistemi accademici, le reti di ricerca, i servizi cloud e l'infrastruttura amministrativa. Per la prima volta, gli analisti hanno avuto una visione unificata dell'attività di rete est-ovest nell'ambiente distribuito dell'università.
MetaDefender NDR analizzaNDR i dati relativi all'attività di rete utilizzando il machine learning e l'analisi comportamentale per identificare modelli di traffico anomali, rilevare movimenti laterali tra i sistemi e individuare comunicazioni di comando e controllo. I modelli di rilevamento delle anomalie basati sull'intelligenza artificiale individuano indicatori sottili del comportamento degli aggressori che si confondono con il normale traffico della rete aziendale, prima che questi possano penetrare più in profondità nell'ambiente.
Le informazioni integrate sulle minacce hanno arricchito automaticamente i rilevamenti, fornendo agli analisti avvisi contestualizzati anziché semplici indicatori grezzi. Anziché dover correlare dati frammentati provenienti da più sistemi, il SOC ha potuto indagare sugli incidenti avvalendosi di una visibilità completa a livello di rete sulle attività degli aggressori da un'unica piattaforma.
Impatto tangibile sulla visibilità del SOC e sulla sicurezza del campus
Dopo l'implementazione MetaDefender NDR, il SOC dell'università è passato da un approccio reattivo, che comportava l'attesa degli avvisi provenienti dagli endpoint e delle anomalie di sistema, a uno proattivo, con la capacità di rilevare e analizzare le minacce mentre erano ancora in atto.
Aree di impatto | Vantaggi operativi |
Visibilità della rete | Visibilità completa e costante sul traffico interno est-ovest nelle reti del campus |
Velocità di rilevamento delle minacce | Identificazione precoce dei movimenti laterali e dei modelli di comunicazione sospetti |
Efficienza delle indagini | Analisi più rapida delle cause alla radice grazie alla telemetria unificata a livello di rete |
Tutela della ricerca | Maggiore capacità di rilevamento a tutela della ricerca accademica sensibile e della proprietà intellettuale |
Risposta agli incidenti | Una risposta SOC meglio coordinata con un quadro completo della rete |
Preparazione alla conformità | Rafforzamento del monitoraggio continuo in linea con gli standard di sicurezza del settore dell'istruzione |
Adattare le misure di sicurezza all'evoluzione delle minacce nei campus
Grazie alla visibilità continua sulla rete ora disponibile, l'università è in grado di estendere le proprie capacità di rilevamento e risposta a una gamma più ampia di sistemi del campus e di procedure di sicurezza.
Una copertura più ampia dei sensori in tutte le aree del campus
EstendereNDR MetaDefender NDR ad altri segmenti di rete, quali gli ambienti di collaborazione nella ricerca e l'infrastruttura periferica, per garantire la visibilità man mano che la rete del campus cresce e si evolve.
Maggiore integrazione con le operazioni del SOC
Integrare i dati di telemetria di rete con le piattaforme SIEM e SOAR esistenti per arricchire le cronologie degli incidenti, accelerare i flussi di lavoro di risposta e ridurre il carico di lavoro degli analisti all'interno del team delle operazioni di sicurezza.
Ricerca retroattiva delle minacce nel traffico storico
Utilizzando la funzionalità di retrohunting della piattaforma per rianalizzare i dati storici di rete, individuare attività degli aggressori precedentemente sfuggite e determinare da quanto tempo le minacce non rilevate fossero presenti nell'ambiente.
Dalla sicurezza perimetrale alla realtà di rete
Le reti dei campus non possono essere difese solo dall'esterno. Gli aggressori che ottengono un accesso iniziale possono muoversi lateralmente all'interno dei sistemi di ricerca, delle applicazioni accademiche e dell'infrastruttura amministrativa per lunghi periodi se il SOC non ha modo di monitorare l'attività della rete interna.
Grazie all'implementazione MetaDefender NDR, gli analisti del SOC di questa università hanno acquisito la visibilità, la capacità di rilevamento e il contesto investigativo necessari per identificare le minacce in anticipo e reagire con sicurezza. Il risultato è un modello di difesa proattivo e basato sulla rete, progettato per adattarsi alla complessità dei moderni ambienti dell'istruzione superiore.
Conclusioni finali
- Gli strumenti di protezione perimetrale e degli endpoint da soli non sono in grado di rilevare le minacce che si stanno già muovendo lateralmente all'interno di una rete aziendale
- Una visibilità continua sulla rete interna è fondamentale per individuare il comportamento degli aggressori prima che raggiungano i sistemi sensibili
- L'analisi comportamentale basata sull'intelligenza artificiale individua le attività sospette che si confondono nel traffico intenso del campus prima rispetto agli strumenti basati su regole
- L'intelligence integrata sulle minacce riduce il carico di lavoro degli analisti fornendo il contesto nel momento stesso del rilevamento
- Un sistema di rilevamento di rete appositamente progettato garantisce un miglioramento tangibile delle prestazioni del SOC senza interferire con le attività del campus
Se il vostro SOC si occupa della sicurezza di un ambiente universitario complesso e necessita di una maggiore visibilità sulle attività della rete interna, contattate un OPSWAT per scoprire come MetaDefender NDR aiutarvi a proteggere i vostri dati sensibili.
