e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

NRGi通过集中的实时威胁监控增强安全性

2019/10/29        作者:IBM Security      
关键字:威胁预警  安全监控  信息安全  IBM Security  
当NRGi受到有针对性的攻击时,它意识到需要采取快速行动以增强其安全性。该公司与IBM黄金业务合作伙伴SecureDevice合作,部署了一个集中监控系统,该系统会自动向IT团队发出有关其网络潜在威胁的警报,从而帮助NRGi保护关键系统免受网络犯罪分子的侵害。

一、企业简介

    NRGi是丹麦第四大电力供应商,为全丹麦22万多个家庭提供能源。该公司致力于积极向更可持续的全国性以及国际性的能源系统过渡,并管理自己的可再生资产组合。NRGi总部位于奥尔胡斯,拥有大约1200名员工。

二、商业挑战故事:对抗网络犯罪分子

    遭受网络攻击,导致关键系统失控,使组织陷入困境,这对每家公司而言,都是最糟糕的噩梦。不幸的是,对于NRGi来说,这场噩梦成真了。

    NRGi的首席信息官(CIO) Michael Warrer回忆说:“几年前,我们成为来自外部和内部有针对性攻击的受害者,这些攻击使用勒索软件破坏并加密了我们大量的后台系统。我们本质上是被扣为人质;攻击背后的网络犯罪分子旨在勒索钱财,以换取我们恢复对受影响系统的控制权。

     “这次攻击夺走了我们数据中心的180台服务器。值得庆幸的是,我们已经建立了强大的备份、还原和业务连续性流程,这意味着我们能够重建服务器,并在60小时内恢复并运行所有内容。但是,该攻击造成了巨大的中断,并在恢复期间导致1200名员工无法登录我们的业务系统。”

    “这次攻击不仅对我们来说是一个重大的警钟,而且对整个丹麦公用事业部门都是如此。我们意识到,在未来我们需要更加主动地保护自己免受网络攻击。”

     以前,NRGi拥有多种工具来监视其日志文件,即由其应用程序和系统生成的带有网络事件的时间戳记录。由于缺乏对网络事件的集中视图,使得难以检测可疑活动的模式。为了提高可视性,NRGi希望对其网络进行统一监控和管理。

     Warrer阐述道:“当然,我们无法阻止网络犯罪分子尝试破坏我们的IT系统。因此,我们必须努力,保持领先一步。我们知道,如果我们拥有适当的工具来提醒我们潜在的威胁,我们就可以更快地做出反应来避免违规。”

三、解决方案组件及成效

      解决方案组件:IBM QRadar SIEM

     成效:提高了NRGi公司检测其网络潜在威胁的能力;IT团队自动对可疑活动进行操作,从而实现快速行动;员工可从重复的监控任务中解放出来,给他们更多的时间来调查问题。

四、转型故事:变得更加积极主动

     为了增强其安全性,NRGi与IBM黄金业务合作伙伴SecureDevice合作,部署IBM® QRadar® SIEM,这是一个集中式监控系统,可整合和分析整个网络中的日志事件。

     NRGi 与 SecureDevice 密切合作,配置了IBM解决方案,以检测其网络上的潜在非法活动。当 IBM QRadar SIEM检测到可疑模式(例如多次登录尝试失败和防火墙拒绝)时,该解决方案会提醒NRGi进行进一步调查。

     Warrer 说:"当我们首次部署该系统时,我们每周收到大约10000条警报,其中绝大多数是误报。"SecureDevice团队花了9个月时间来更新规则,并对系统进行训练,以识别潜在攻击的迹象,从而改进系统,以使其仅在出现严重问题时才向我们发出警告。SecureDevice 还将IBM X-Force®威胁情报智能平台集成到该解决方案中,该平台提供了潜在的恶意 IP地址列表,以便我们可以知道并留意它们。现在,我们已经排除了大部分的误报,我们每周大约会收到五次警报,并可以给予它们充分的关注。

     NRGi使用IBM QRadar SIEM监视其 DMZ(非军事区)中的所有Web服务器,以及该参数中的所有主服务器。日志数据是通过网络发送的,遍及丹麦的30个地点。任何可疑活动都将立即在集中式仪表板中自动标记为警报,从而触发IT团队的行动。

     Warrer 补充道:"SecureDevice不仅帮助我们在部署过程中完善了规则,而且随着威胁形势的发展,它们还将继续与我们合作以更新规则,从而节省了我们的时间和精力。在整个项目中SecureDevice一直提供出色的支持。他们的人员和专业方法,以及他们带来的专业知识水平给我们留下了深刻的印象。

五、结果故事:为任何事情做好准备

     借助IBM QRadar SIEM,NRGi可以获得对网络事件的近实时概述,从而可以采取更加主动的安全措施。现在,IT团队会自动收到对重大事件的警报,从而向他们发出有关潜在威胁的预警。

     Warrer评论道:“使用IBM QRadar SIEM就像眼睛在您的脑袋后面一样。以前,在安全性方面,我们总是处于退缩的境地,但现在我们变得更加积极主动。如果有人尝试从网络外部登录到我们的一个用户帐户,但登录失败,我们将获得所需的全部信息,以准确预测它们是否对我们的系统构成威胁。例如,我们可以查看这些尝试是来自用户的便携式笔记本电脑还是家用PC,或者是来自不受信任的设备——这可能表明有人试图获得未经授权的访问。

     “这些自动警报会在出现问题时立即告诉我们。例如,如果某人在几分钟之内访问了数百个文件,则可能是勒索软件攻击的迹象。我们的预警系统使我们有时间打电话给与用户帐户关联的人员,以确认他们是否是访问文件的人。如果不是,我们可以迅速关闭被盗帐户,并深入调查发生的情况。”

     NRGi正在与SecureDevice合作,不断优化系统、完善规则和警报,以确保IT团队能够在网络犯罪分子袭击时获得早期警告。该公司还在考虑通过认知能力增强其解决方案的可能性。

     “我们非常想将 IBM Watson® for Cyber Security 集成到我们的解决方案中,” Michael Warrer说。“我们看到IBM Watson解决方案可以为我们的分析师提供有价值的决策支持功能——帮助他们更快地筛除误报,并花费更多时间调查严重的潜在威胁。”

     他总结说:“ SecureDevice提供的IBM QRadar SIEM解决方案显著增强了我们的网络监控功能。防范网络犯罪的最佳防御措施是保持警惕,适应和提高速度,而自动警报为我们提供了宝贵的时间,以便我们采取有针对性的行动确保系统安全。”(本文来源于IBM Security官网,由e-works翻译整理)

责任编辑:杨培
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐