Quand les menaces internes restent cachées
Le principal défi de l'organisation résidait dans sa visibilité limitée au sein du réseau. Si ses outils de sécurité existants contribuaient à protéger le périmètre, ils n'offraient qu'une visibilité limitée sur les communications internes entre les technologies opérationnelles, les systèmes d'entreprise et les environnements liés au réseau. Le centre d'opérations de sécurité (SOC) se trouvait ainsi confronté à trois lacunes opérationnelles qui augmentaient les risques et ralentissaient les interventions.
1. Il était difficile de surveiller le trafic est-ouest sur les réseaux OT et IT
Les systèmes de contrôle, les équipements industriels et les plateformes de surveillance génèrent en permanence des communications internes, dont la plupart semblent courantes. Dans ce contexte, les outils de surveillance traditionnels ne disposaient pas de la visibilité nécessaire pour distinguer le trafic opérationnel légitime des mouvements internes suspects. De ce fait, le SOC n'était que partiellement en mesure d'observer les activités latérales au sein des segments OT ou au niveau de la frontière entre les réseaux opérationnels et d'entreprise.
2. Le SOC s'appuyait sur des indicateurs tardifs pour identifier les menaces
En l'absence d'une visibilité continue au niveau du réseau, les analystes devaient souvent se fier aux alertes provenant des terminaux ou à des comportements anormaux du système pour détecter les activités suspectes. Ces signaux apparaissaient généralement à un stade avancé du cycle de vie de l'attaque, une fois que le pirate avait déjà pris pied dans le système et commencé à se déplacer au sein des systèmes internes. Cela limitait la capacité de l'équipe à détecter les menaces à un stade précoce et à agir avant que le risque ne s'aggrave.
3. Enquêtes lancées sans contexte complet
Comme l'activité des menaces internes n'était pas clairement visible au niveau de la couche réseau, le SOC devait reconstituer les incidents à partir d'éléments de preuve partiels provenant de plusieurs outils. Cela ralentissait l'analyse des causes profondes et rendait plus difficile l'évaluation rapide de l'ampleur d'un incident potentiel. Dans un environnement d'infrastructures critiques, ce manque de contexte augmentait la pression opérationnelle et affaiblissait la confiance dans les décisions d'intervention précoce.
Ce dont l'organisation avait besoin pour combler son retard
L'entreprise avait besoin de bien plus qu'une simple surveillance supplémentaire. Elle avait besoin d'une solution de détection spécialement conçue pour les environnements complexes mêlant technologies opérationnelles (OT) et technologies de l'information (IT), dans lesquels les menaces sont conçues pour passer inaperçues.
Visibilité continue sur le réseau interne
La principale exigence était de pouvoir surveiller simultanément le trafic est-ouest dans les environnements OT, les réseaux de contrôle et les systèmes d'entreprise au sein d'une seule et même plateforme, y compris la visibilité sur l'analyse du trafic chiffré sans déchiffrement.
Détection comportementale capable d'identifier des anomalies subtiles
Les outils basés sur les signatures s'étaient déjà révélés insuffisants. L'organisation avait besoin d'outils d'analyse capables d'évaluer en continu le comportement du réseau dans des environnements mixtes OT et IT, et de signaler les anomalies indiquant des mouvements latéraux et des activités de commande et de contrôle, même lorsque ces activités imitaient un trafic opérationnel légitime.
Une fonctionnalité de détection réseau permettant d'identifier les menaces à un stade plus précoce du cycle de vie de l'attaque
Le SOC devait cesser de s'appuyer sur des alertes tardives provenant des terminaux. Il fallait pour cela une solution capable d'analyser les schémas de trafic interne et de détecter les comportements réseau anormaux avant qu'ils n'atteignent le stade où ils ont un impact observable sur le système.
L'intelligence réseau a remplacé l'incertitude par la visibilité
L'entreprise avait besoin d'une solution de détection réseau spécialement conçue pour combler les lacunes de visibilité que les outils traditionnels ne parvenaient pas à résoudre. Le SOC a déployé MetaDefender NDR disposer d'une vue unifiée et en temps quasi réel des communications internes.
Le déploiement a permis d'installer des capteurs aux principaux points de concentration du réseau, couvrant l'infrastructure OT, les réseaux de contrôle et les segments d'entreprise. Pour la première fois, les analystes ont pu observer les communications entre les systèmes de contrôle, les sous-stations et les plateformes d'entreprise dans une vue d'ensemble unifiée. L'activité du réseau interne, qui était auparavant invisible, faisait désormais partie intégrante du tableau de détection.
La plateforme s'est attaquée à trois fronts simultanément :
- L'analyse comportementale, associée à des renseignements intégrés sur les menaces et à la détection des anomalies basée sur l'IA, a été appliquée en continu aux données de télémétrie du réseau en temps réel, permettant ainsi d'identifier des schémas associés aux mouvements latéraux, aux signaux de repérage et aux communications de commande et de contrôle
- Les alertes ont été enrichies d'informations contextuelles grâce à MetaDefender , ce qui a permis un tri plus rapide sans avoir à recouper manuellement les données entre les différents outils
- Les résultats obtenus au niveau du réseau ont été directement intégrés aux processus opérationnels existants du SOC, remplaçant ainsi la corrélation fragmentée des alertes entre plusieurs systèmes par une vue d'ensemble unifiée des enquêtes
Le changement opérationnel a été immédiat. MetaDefender NDR des données télémétriques détaillées sur le réseau ainsi que des informations contextuelles qui ont permis aux analystes de lancer leurs enquêtes en disposant d'une vue d'ensemble plus complète, au niveau du réseau, de l'activité des attaquants, plutôt que d'un ensemble fragmenté d'alertes provenant des terminaux. Grâce à des informations unifiées sur les menaces et à des workflows d'enquête basés sur l'IA, l'ampleur d'un incident potentiel a pu être déterminée plus rapidement et avec une plus grande certitude.
Le SOC a acquis la visibilité nécessaire pour intervenir plus tôt
MetaDefender NDR améliorer sensiblement la visibilité, la détection et les processus d'investigation. Les menaces qui passaient auparavant inaperçues étaient désormais identifiées plus tôt dans le cycle de vie de l'attaque. Les analystes pouvaient ainsi détecter les menaces plus rapidement, mener leurs investigations plus efficacement et intervenir avec davantage d'assurance.
Visibilité du réseau : pour la première fois, les segments OT, les réseaux de contrôle et les systèmes d'entreprise pouvaient être surveillés simultanément. Les activités des pirates, qui auraient auparavant échappé à toute détection, pouvaient désormais être identifiées dès qu'elles se produisaient.
Détection des menaces : l'analyse comportementale et la détection des anomalies basée sur l'IA ont permis d'identifier des schémas de trafic suspects avant même qu'ils n'atteignent la couche des terminaux. Les mouvements latéraux et les communications de type « commande et contrôle » ont été signalés sur la base d'écarts comportementaux, et non uniquement à partir de signatures connues.
Délais d'enquête : les analystes SOC n'ont plus besoin de reconstituer l'étendue d'un incident à partir d'alertes fragmentées provenant des terminaux. La télémétrie au niveau du réseau a fourni une vue d'ensemble complète de l'activité des attaquants, permettant ainsi une analyse plus rapide des causes profondes et des décisions de confinement plus sûres.
Protection des infrastructures : grâce à une visibilité sur les communications au sein des réseaux opérationnels, le SOC a pu identifier les menaces visant les systèmes de contrôle et intervenir avant que celles-ci n'atteignent les plateformes de gestion du réseau ou ne perturbent l'exploitation du réseau électrique.
Résultats obtenus parMetaDefender NDR des domaines clés
| Zone d'impact | Résultats |
|---|---|
| Visibilité du réseau | Vue unifiée sur les réseaux OT, les réseaux de contrôle et les systèmes d'entreprise |
| Vitesse de détection des menaces | Détection plus précoce des mouvements latéraux et du trafic suspect |
| Efficacité des enquêtes | Une analyse plus rapide des causes profondes grâce à un contexte complet au niveau du réseau |
| Protection des infrastructures | Amélioration de la protection des systèmes d'exploitation et de contrôle du réseau |
| Réponse aux incidents | Une meilleure coordination des interventions entre les équipes chargées de la sécurité dans le secteur de l'énergie |
| Préparation à la conformité | Une surveillance continue conforme aux normes de sécurité applicables aux infrastructures critiques |
Un renforcement de la cyberdéfense des infrastructures critiques
La protection des infrastructures énergétiques et des services publics ne se limite pas à la protection périmétrique ou à la sécurité des terminaux. En mettant en place une surveillance continue du réseau dans les environnements OT et d'entreprise, le centre d'opérations de sécurité (SOC) de l'organisation a pu disposer des informations nécessaires pour détecter plus tôt les activités des attaquants, enquêter plus rapidement sur les incidents et réagir avant que les menaces ne perturbent les services énergétiques ou les systèmes d'infrastructures critiques.
Il en résulte une stratégie de sécurité qui ne repose plus sur des indicateurs tardifs pour détecter les menaces internes. L'intelligence réseau est désormais une compétence clé, et le SOC est en mesure de défendre l'infrastructure dont il a la charge avec une confiance nettement accrue.
Protégez votre infrastructure énergétique grâce à une visibilité avancée sur le réseau et à la détection comportementale des menaces. Découvrez ce que MetaDefender NDR apporter à votre SOC.
