2020 年初,ANDRITZ 开始发现其 IT 环境中的网络安全事件有所增加。 当时,其 IT 环境由托管安全服务提供商 (MSSP) 监控。 但入侵事件的增加表明,变革势在必行。 通过与 IBM Security™ 合作并部署一组集成的 IBM® Managed Security Services (MSS) (几乎全部完成),不到六个月时间该企业就拥有了崭新且全面的安全服务解决方案。
作为工业厂房、设备和解决方案的领先提供商,ANDRITZ 发现应对网络威胁变得越发困难。 一方面是因为其 IT 环境包含各种各样的系统和安全策略,这些系统和安全策略使安全工作变得复杂。 但更大的问题在于该企业庞大的安全防线和攻击面:ANDRITZ 在全球拥有超过 280 个生产基地和服务或销售组织。 其 27,000 名员工中有大约一半需要出差,并使用企业的网络和远程连接选项自动访问 IT 资源。 许多第三方承包商和工程师也可以访问关键的 IT 系统。
ANDRITZ 的首席数字官 Klaus Glatz 意识到了风险。 “我们要应对所有这些与设备的远程连接。 连接对象不仅有 ANDRITZ 员工,还有很多外部企业。 正因如此,我们需要透明度、可视性以及全面了解实时动态。 我们不能拿客户的运营来冒险。”
ANDRITZ 客户所运营的水电站、纸浆和造纸厂、化工厂和金属加工厂都依赖于该企业的工厂、设备和系统来运作。 IT 中的安全违规或漏洞可能会造成更深远或灾难性的事件,尤其是在威胁实施者的意图不只在于窃取数据的情况下。
IBM Security 提供了坚实的基础,使我们获得了 100% 的可视性和透明度,这有助于我们在很短的时间内解决威胁。
ANDRITZ 的 IT 安全与运营服务部副总裁 Thomas Strieder 解释说:“IT 为我们在全球范围内的所有员工提供基本的基础架构、服务和应用程序。 与此同时,我们的团队为客户提供 OT [运营技术]服务。 这两个领域相互关联,并且未来会变得更加紧密。”
考虑到这些风险,同时意识到 IT 与 OT 的融合,ANDRITZ 于 2018 年成立了自己的 OT 网络安全公司 OTORIO。 如今,OTORIO 已成为该企业网络安全战略的重要支柱。 但在 2020 年初,其 OT 安全措施部署完成后,该企业将注意力转向 IT。
IBM 完全符合我们的预期。 他们超级灵活。 不但聆听了我们的需求, 而且还提出了合适的解决方案。
IBM 完全符合我们的预期。 他们超级灵活。 不但聆听了我们的需求, 而且还提出了合适的解决方案。
从一开始,ANDRITZ 就制定了一个明确的目标,不仅仅是实施一组由第三方运营的网络安全工具。 企业需要一个了解自身需求并能够与现有团队和体制实现互补的服务组织。
2020 年 7 月,在调查了多家提供商之后,ANDRITZ 用 MSS 取代了之前的 MSSP。 IBM 在不到六个月的时间内设计并部署了一个全面的解决方案,包括集成软件、实施安全服务和完成全球推广,展示了软件即服务 (SaaS) 模式的优势。 由于受新冠病毒疫情影响,全球团队不能亲身会面,因此所有工作都通过远程和虚拟会议完成。 这就需要双方更加专业和彼此信任。
“我们的第一个念头是 IBM 这家公司太过庞大,官僚主义严重,可能不适合我们”,Strieder 承认道。 “但在合作之后,我们不得不改变自己的想法。 IBM 完全符合我们的预期。 他们超级灵活。 不但聆听了我们的需求, 而且还提出了恰当的解决方案。”
对于安全信息和事件管理 (SIEM),ANDRITZ 选择了部署为 SaaS 的 IBM Security QRadar® on Cloud 技术。 该平台帮助 ANDRITZ 位于波兰的安全运营中心 (SOC) 专注于检测和修复威胁,而 IBM Security 专家负责提供对基础架构的全天候管理。 SIEM 从网络中的多个来源获取数据和日志事件。 通过在各种数据类型(网络、端点、资产、漏洞和威胁数据等)中应用高级分析和相关性,SOC 获得了全面的安全视图。
当系统检测到可疑的活动或模式(例如多次登录尝试失败),它会自动触发警报。 根据严重性级别,IBM Security 团队会创建凭单或直接与 SOC 合作以提供响应建议。 ANDRITZ 也可以请求 IBM Incident Response Services 团队直接执行调查。
“该解决方案确保我们得到了适当的保护”,Glatz 说道。 “我们拥有了更多的信息并提高了透明度。 通常情况下,我们每天会遇到数百万个事件,因此工作人员了解并选择 25 或 30 个可能对环境造成高风险的最关键事件,这非常重要。”
SIEM 服务由两个附加服务提供补充:IBM X-Force® Red 漏洞管理服务外加排列和补救支持,以及 IBM 管理检测和响应服务,它集成了 CrowdStrike Falcon Prevent 防病毒技术,可加速威胁检测和补救。
X-Force Red 漏洞管理服务扫描 ANDRITZ 的系统并评估安全漏洞。 每次扫描都会生成一份报告,该报告使用通用漏洞评分系统 (CVSS) 根据严重程度对漏洞进行评分。 这有助于 ANDRITZ 确定事件响应的优先级。
“对我们来说,其中的前瞻性组件就是漏洞管理”,Strieder 解释道。 “有了漏洞管理,就可以纠正很多不适当的事情。 我们需要有人能与我们一起补救这些漏洞,并确定需要率先处理哪些漏洞。 这需要合作。”
管理检测和响应服务可以调用由 SIEM 服务接收的警报。 它使用机器学习和人工智能来评估员工笔记本电脑、手机和其他界面上发生的活动。 如果检测到异常行为,它可以锁定系统,让 ANDRITZ 有时间开展调查。
为了增强其 SIEM 和安全程序的功能,ANDRITZ 利用了 IBM Security X-Force 威胁管理服务,这是一个集威胁洞察、防护、检测、响应和恢复功能于一身的综合产品。
借助 IBM Security 服务和技术,ANDRITZ 可以主动检测和了解威胁的严重性、范围及根本原因,以防对业务造成影响。 单一集中式仪表板提供对整个网络前所未有的可视性和洞察。
“我们能够将攻击的影响降到最低,因为创建了很多锁定源”,Glatz 说道。 “我们持续地分析网络。 IBM Security 提供了坚实的基础,使我们获得了 100% 的可视性和透明度,这有助于我们在很短的时间内解决威胁。”
借助管理检测和响应服务,ANDRITZ 可以更轻松地检测可能感染最终用户系统的行为。 这在疫情期间对于 Strieder 尤为重要。 “最大的回报是我们得到了更有力的保护,同时还做好了更充分的准备来以防万一”,他说道。 “我们的 27000 名用户能够居家办公,而我们能够为之提供保护 — 这项工作由我们与 IBM 共同完成。”
为了帮助 ANDRITZ 了解和应对新出现的威胁,IBM 每个季度都会与该企业进行两小时的持续改进和创新会议。 对于 Glatz 而言,了解未来的威胁态势是关键。 “在安全领域,企业需要预测下个月或下一年可能发生的事情”,他说道。 “我们与 IBM 进行了合作,该公司有能力和潜力来预测未来六个月可能发生什么事情。”
未来,ANDRITZ 希望将 OT 信息和 OTORIO 的网络威胁情报与其 SOC 整合起来,以便获得更广泛的安全环境视图。 “ANDRITZ 正在转型成为数字服务提供商”,Strieder 总结道。
“为了我们目前所提供的一切业务,包括造纸厂、水电设备和金属等等,我们需要更加关注 IT 和 OT 网络安全。 这是一个持续的旅程,需要永不止步。”
ANDRITZ外部链接 的总部位于奥地利格拉茨,是一家为水电站、纸浆和造纸以及金属加工行业提供工厂、设备和服务的国际供应商。 它还为市政和工业部门提供固液分离解决方案。 ANDRITZ 成立于 1852 年,目前在 40 多个国家或地区拥有超过 27,000 名员工。
ANDRITZ外部链接 的总部位于奥地利格拉茨,是一家为水电站、纸浆和造纸以及金属加工行业提供工厂、设备和服务的国际供应商。 它还为市政和工业部门提供固液分离解决方案。 ANDRITZ 成立于 1852 年,目前在 40 多个国家或地区拥有超过 27,000 名员工。
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
美国出品,2022 年 3 月。
IBM、IBM 徽标、IBM.com、IBM Security、QRadar 及 X-Force 是 International Business Machines Corporation 在世界各地司法辖区的注册商标。 其他产品和服务名称可能是 IBM 或其他公司的商标。 IBM 商标的当前列表可以在 Web 上的"Copyright and trademark information"中获取,网址为:https://www.ibm.com/legal/copytrade。
本文档为自最初公布日期起的最新版本,IBM 可随时对其进行修改。 IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
引用的性能数据和客户示例仅用于演示目的。 实际性能结果可能因具体配置和运行条件而异。 本文档中的信息"按现状"提供,不附有任何种类的(无论是明示的还是默示的)保证,不包含任何有关适销、适用于某种特定用途的保证以及有关非侵权的任何保证或条件。 IBM 产品根据其提供时所依据协议的条款和条件获得保证。
良好安全实践声明:IT 系统安全性涉及通过防御、检测和响应来自企业内部和外部的不正当访问来保护系统和信息。 不当访问可能导致信息被篡改、毁坏或挪用,或者可能导致您的系统被损坏或滥用,包括用来对他人进行攻击。 任何 IT 系统或产品都不应被认为是完全安全的,而且没有任何单一产品、服务或安全措施在防止不正当的使用或访问方面是完全有效的。 IBM 系统、产品和服务旨在成为 合法、全面的安全方法的一部分,它必定涉及额外的操作程序,并且可能需要其他系统、产品或服务配合才能获得最好的效果。 IBM 不保证任何系统、产品或服务免受任何一方的恶意或非法行为侵扰,或帮助您的企业免受任意一方恶意或非法行为的攻击。