2020 年初,ANDRITZ 开始发现其 IT 环境中的网络安全事件有所增加。当时,该环境由托管安全服务提供商 (MSSP) 监控。但入侵事件的增加表明,变革势在必行。通过与 IBM Security® 合作并部署一组集成的 IBM® Managed Security Services (MSS)(几乎全部完成),不到六个月时间,该公司就拥有了崭新且全面的安全服务解决方案。
作为工业厂房、设备和解决方案的领先提供商,ANDRITZ 发现应对网络威胁变得越来越困难。一方面是因为其 IT 环境包含各种各样的系统和安全策略,这些系统和安全策略使安全工作变得复杂。但更大的问题在于该公司庞大的安全防线和攻击面:ANDRITZ 在全球拥有超过 280 个生产基地和服务/销售组织。其 27,000 名员工中有大约一半需要出差,并使用公司的网络和远程连接选项自动访问 IT 资源。许多第三方承包商和工程师也可以访问关键的 IT 系统。
ANDRITZ 首席数字官 Klaus Glatz 意识到了风险。“我们要应对所有这些与设备的远程连接。连接对象不仅有 ANDRITZ 员工,还有很多外部公司。正因如此,我们需要透明度、可见性以及全面了解实时动态。我们不能拿客户的运营来冒险。”
ANDRITZ 的客户所运营的水电站、纸浆和造纸厂、化工厂和金属加工厂都依赖于该公司的工厂、设备和系统来运作。IT 中的安全违规或漏洞可能会造成更深远或灾难性的事件,尤其是在威胁实施者的意图不只在于窃取数据的情况下。
获得整个网络 100% 的可见性
平台每日处理数百万个事件
ANDRITZ 的 IT 安全与运营服务部副总裁 Thomas Strieder 阐述道:“IT 为我们在全球范围内的所有员工提供基本的基础架构、服务和应用程序。与此同时,我们的团队为客户提供 OT [运营技术]服务。这两个领域相互关联,并且未来会变得更加紧密。”
考虑到这些风险,同时意识到 IT 与 OT 的融合,ANDRITZ 于 2018 年成立了自己的 OT 网络安全公司 OTORIO。如今,OTORIO 已成为公司网络安全战略的重要支柱。但在 2020 年初,其 OT 安全措施部署完成后,该公司将注意力转向了 IT。
从一开始,ANDRITZ 就制定了一个明确的目标,不仅仅是实施一组由第三方运营的网络安全工具。该公司需要一个了解自身需求并能够与现有团队和体制实现互补的服务组织。
2020 年 7 月,在调查了多家提供商之后,ANDRITZ 用 MSS 取代了之前的 MSSP。IBM 在不到六个月的时间内设计并部署了一个全面的解决方案,包括集成软件、实施安全服务和完成全球推广,展示了软件即服务 (SaaS) 模式的优势。由于受新冠病毒疫情影响,全球团队不能亲身会面,因此所有工作都通过远程和虚拟会议完成。这就需要双方更加专业和彼此信任。
“我们的第一个念头是 IBM 这家公司太过庞大,官僚主义严重,可能不适合我们”,Strieder 承认道。“但在合作之后,我们不得不改变自己的想法。IBM 的表现完全符合我们的预期。他们非常灵活。他们听从我们的要求,提出了合适的解决方案。
对于安全信息和事件管理 (SIEM),ANDRITZ 选择了部署为 SaaS 的 IBM Security QRadar® on Cloud 技术。该平台帮助 ANDRITZ 位于波兰的安全运营中心 (SOC) 专注于检测和修复威胁,而 IBM Security 专家负责提供对基础架构的全天候管理。SIEM 从整个网络中的多个来源获取数据和日志事件。通过在各种数据类型(网络、端点、资产、漏洞和威胁数据等)中应用高级分析和相关性,SOC 获得了全面的安全视图。
当系统检测到可疑的活动或模式(例如多次登录尝试失败),它会自动触发警报。根据严重性级别,IBM Security 团队会创建工单或直接与 SOC 合作以提供响应建议。ANDRITZ 也可以请求 IBM 事件响应服务团队直接进行调查。
“该解决方案确保我们得到了适当的保护”,Glatz 说道,“我们拥有了更多的信息并提高了透明度。通常情况下,我们每天会遇到数百万个事件,因此工作人员了解并选择 25 或 30 个可能对环境造成高风险的最关键事件,这非常重要。”
SIEM 服务还辅以两项附加服务:IBM X-Force® Red 漏洞管理服务外加排名和修复支持,以及 IBM 托管检测和响应服务,它集成了 CrowdStrike Falcon Prevent 防病毒技术,可加快威胁检测和修复。
X-Force Red 漏洞管理服务扫描 ANDRITZ 的系统并评估安全漏洞。每次扫描都会生成一份报告,该报告使用通用漏洞评分系统 (CVSS) 按严重性对漏洞进行评级。这有助于 ANDRITZ 划分事件响应的优先级。
“对我们来说,其中的前瞻性组件就是漏洞管理”,Strieder 解释道。“有了漏洞管理,就可以纠正很多不适当的事情。我们需要有人能与我们一起补救这些漏洞,并确定需要优先处理哪些漏洞。这需要合作。”
托管检测和响应服务调用由 SIEM 服务选取的警报。它使用机器学习和人工智能来评估员工笔记本电脑、手机和其他界面上发生的活动。如果检测到异常行为,它可以锁定系统,让 ANDRITZ 有时间进行调查。
为了增强其 SIEM 和安全计划的功能,ANDRITZ 利用 IBM Security X-Force 威胁管理服务。它是一项集威胁洞察、防护、检测、响应和恢复功能于一身的综合服务。
借助 IBM Security 服务和技术,ANDRITZ 可在威胁影响业务之前,主动检测和了解威胁的严重程度、范围和根本原因。单一集中式仪表板提供对整个网络前所未有的可见性和洞察。
“我们能够将攻击的影响降到最低,因为我们创建了很多锁定源”,Glatz 说道,“我们持续地分析网络。IBM Security 为我们提供 100% 可见性和透明度的坚实基础,这有助于我们在非常短的时间内解决威胁。”
借托管检测和响应服务,ANDRITZ 可以更轻松地检测可能感染最终用户系统的行为。对于 Strieder 来说,这在疫情期间尤其重要。“最大的回报是我们得到了更有力的保护,同时还做好了更充分的准备来以防万一”,他说道。“我们的 27000 名用户能够居家办公,而我们能够为之提供保护 – 这项工作由我们与 IBM 共同完成。
为了帮助 ANDRITZ 了解和应对新出现的威胁,IBM 每个季度都会与该公司进行两小时的持续改进和创新会议。对于 Glatz 而言,了解未来的威胁态势是关键。“在安全领域,公司需要预测下个月或下一年可能发生的事情”,他说道。“我们与 IBM 进行了合作,该公司有能力和潜力来预测未来六个月可能发生什么事情。”
未来,ANDRITZ 希望将 OT 信息和 OTORIO 的网络威胁情报与其 SOC 整合起来,以便获得更广泛的安全环境视图。“ANDRITZ 正在转型成为数字服务提供商”,Strieder 总结道。
“为了我们目前所提供的一切业务,包括造纸厂、水电设备和金属等等,我们需要更加关注 IT 和 OT 网络安全。这是一个持续的旅程,需要永不止步。”
ANDRITZ(ibm.com 外部链接)的总部位于奥地利格拉茨,是一家为水电站、纸浆和造纸以及金属加工行业提供工厂、设备和服务的国际供应商。它还为市政和工业部门提供固液分离解决方案。ANDRITZ 成立于 1852 年,目前在 40 多个国家拥有超过 27,000 名员工。
OTORIO(ibm.com 外部链接)设计和销售下一代 OT 安全和数字风险管理解决方案。OTORIO 的总部位于以色列特拉维夫,在奥地利和美国设有办事处,是 ANDRITZ 整体网络安全战略不可或缺的组成部分。其核心管理团队由建立和维护其网络防御部门的前以色列国防军 (IDF) 人员组成。
© Copyright IBM Corporation 2022。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
美国出品,2022 年 3 月。
IBM、IBM 徽标、ibm.com、IBM Security、QRadar 和 XForce 是 International Business Machines Corp. 在全球多个司法辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。以下网站上的“Copyright and trademark information”部分中包含了 IBM 商标的最新列表:ibm.com/legal/copyright-trademark。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
文中引用的性能数据和客户示例仅作演示说明之用。实际性能结果可能因具体配置和操作条件而异。本文档中的信息均“按原样”提供,不涉及任何明示或暗示的保证,包括适销性、特定用途适用性的任何保证,以及不侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。