NRGi通过集中的实时威胁监控增强安全性

一、企业简介

    NRGi是丹麦第四大电力供应商，为全丹麦22万多个家庭提供能源。该公司致力于积极向更可持续的全国性以及国际性的能源系统过渡，并管理自己的可再生资产组合。NRGi总部位于奥尔胡斯，拥有大约1200名员工。

二、商业挑战故事：对抗网络犯罪分子

    遭受网络攻击，导致关键系统失控，使组织陷入困境，这对每家公司而言，都是最糟糕的噩梦。不幸的是，对于NRGi来说，这场噩梦成真了。

    NRGi的首席信息官（CIO） Michael Warrer回忆说：“几年前，我们成为来自外部和内部有针对性攻击的受害者，这些攻击使用勒索软件破坏并加密了我们大量的后台系统。我们本质上是被扣为人质；攻击背后的网络犯罪分子旨在勒索钱财，以换取我们恢复对受影响系统的控制权。

     “这次攻击夺走了我们数据中心的180台服务器。值得庆幸的是，我们已经建立了强大的备份、还原和业务连续性流程，这意味着我们能够重建服务器，并在60小时内恢复并运行所有内容。但是，该攻击造成了巨大的中断，并在恢复期间导致1200名员工无法登录我们的业务系统。”

    “这次攻击不仅对我们来说是一个重大的警钟，而且对整个丹麦公用事业部门都是如此。我们意识到，在未来我们需要更加主动地保护自己免受网络攻击。”

     以前，NRGi拥有多种工具来监视其日志文件，即由其应用程序和系统生成的带有网络事件的时间戳记录。由于缺乏对网络事件的集中视图，使得难以检测可疑活动的模式。为了提高可视性，NRGi希望对其网络进行统一监控和管理。

     Warrer阐述道：“当然，我们无法阻止网络犯罪分子尝试破坏我们的IT系统。因此，我们必须努力，保持领先一步。我们知道，如果我们拥有适当的工具来提醒我们潜在的威胁，我们就可以更快地做出反应来避免违规。”

三、解决方案组件及成效

      解决方案组件：IBM QRadar SIEM

     成效：提高了NRGi公司检测其网络潜在威胁的能力；IT团队自动对可疑活动进行操作，从而实现快速行动；员工可从重复的监控任务中解放出来，给他们更多的时间来调查问题。

四、转型故事：变得更加积极主动

     为了增强其安全性，NRGi与IBM黄金业务合作伙伴SecureDevice合作，部署IBM® QRadar® SIEM，这是一个集中式监控系统，可整合和分析整个网络中的日志事件。

     NRGi 与 SecureDevice 密切合作，配置了IBM解决方案，以检测其网络上的潜在非法活动。当 IBM QRadar SIEM检测到可疑模式（例如多次登录尝试失败和防火墙拒绝）时，该解决方案会提醒NRGi进行进一步调查。

     Warrer 说："当我们首次部署该系统时，我们每周收到大约10000条警报，其中绝大多数是误报。"SecureDevice团队花了9个月时间来更新规则，并对系统进行训练，以识别潜在攻击的迹象，从而改进系统，以使其仅在出现严重问题时才向我们发出警告。SecureDevice 还将IBM X-Force®威胁情报智能平台集成到该解决方案中，该平台提供了潜在的恶意 IP地址列表，以便我们可以知道并留意它们。现在，我们已经排除了大部分的误报，我们每周大约会收到五次警报，并可以给予它们充分的关注。

     NRGi使用IBM QRadar SIEM监视其 DMZ（非军事区）中的所有Web服务器，以及该参数中的所有主服务器。日志数据是通过网络发送的，遍及丹麦的30个地点。任何可疑活动都将立即在集中式仪表板中自动标记为警报，从而触发IT团队的行动。

     Warrer 补充道："SecureDevice不仅帮助我们在部署过程中完善了规则，而且随着威胁形势的发展，它们还将继续与我们合作以更新规则，从而节省了我们的时间和精力。在整个项目中SecureDevice一直提供出色的支持。他们的人员和专业方法，以及他们带来的专业知识水平给我们留下了深刻的印象。

五、结果故事：为任何事情做好准备

     借助IBM QRadar SIEM，NRGi可以获得对网络事件的近实时概述，从而可以采取更加主动的安全措施。现在，IT团队会自动收到对重大事件的警报，从而向他们发出有关潜在威胁的预警。

     Warrer评论道：“使用IBM QRadar SIEM就像眼睛在您的脑袋后面一样。以前，在安全性方面，我们总是处于退缩的境地，但现在我们变得更加积极主动。如果有人尝试从网络外部登录到我们的一个用户帐户，但登录失败，我们将获得所需的全部信息，以准确预测它们是否对我们的系统构成威胁。例如，我们可以查看这些尝试是来自用户的便携式笔记本电脑还是家用PC，或者是来自不受信任的设备——这可能表明有人试图获得未经授权的访问。

     “这些自动警报会在出现问题时立即告诉我们。例如，如果某人在几分钟之内访问了数百个文件，则可能是勒索软件攻击的迹象。我们的预警系统使我们有时间打电话给与用户帐户关联的人员，以确认他们是否是访问文件的人。如果不是，我们可以迅速关闭被盗帐户，并深入调查发生的情况。”

     NRGi正在与SecureDevice合作，不断优化系统、完善规则和警报，以确保IT团队能够在网络犯罪分子袭击时获得早期警告。该公司还在考虑通过认知能力增强其解决方案的可能性。

     “我们非常想将 IBM Watson® for Cyber Security 集成到我们的解决方案中，” Michael Warrer说。“我们看到IBM Watson解决方案可以为我们的分析师提供有价值的决策支持功能——帮助他们更快地筛除误报，并花费更多时间调查严重的潜在威胁。”

     他总结说：“ SecureDevice提供的IBM QRadar SIEM解决方案显著增强了我们的网络监控功能。防范网络犯罪的最佳防御措施是保持警惕，适应和提高速度，而自动警报为我们提供了宝贵的时间，以便我们采取有针对性的行动确保系统安全。”（本文来源于IBM Security官网，由e-works翻译整理）