Demo dal vivo: La piattaforma Nozomi Networks in 15 minuti
Guarda
Forse la differenza maggiore tra la sicurezza IT e OT è che negli ambienti industriali dobbiamo tenere conto sia del rischio informatico che di quello operativo, compreso il rischio di processo. In effetti, le anomalie operative non correlate a una minaccia informatica sono molto più comuni.
Negli ambienti industriali, in particolare nelle infrastrutture critiche, i cyberattacchi su larga scala fanno notizia, ma è molto più probabile che a minacciare la produzione, o peggio, siano cose come malfunzionamenti delle apparecchiature, configurazioni errate, picchi di utilizzo delle risorse e deviazioni pericolose dei processi. Per esempio, in un impianto chimico, potrebbe scattare un allarme se un sensore di pressione rileva valori al di fuori delle soglie operative di sicurezza, inducendo un arresto immediato per evitare un'esplosione. Fino a quando non si indagherà, questo potrebbe indicare che un malintenzionato ha manomesso il valore, oppure che si tratta di un errore dell'operatore. In ogni caso, la minaccia è reale. Gli operatori e i manager devono essere in grado di rilevare sia le minacce che le anomalie - intrusioni, comportamenti indesiderati e guasti alle apparecchiature - e di rispondere rapidamente.
In generale, un'anomalia è tutto ciò che si discosta dalle prestazioni o dall'aspetto di base. Nel settore manifatturiero e in altri ambienti industriali, può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero causare malfunzionamenti o tempi di inattività. Per questo motivo, un impianto farmaceutico di solito monitora la comunicazione tra i sistemi di controllo e i dispositivi di campo per rilevare letture o comandi anomali che potrebbero interrompere la produzione o i protocolli di sicurezza e garantire la qualità dei lotti. Tali anomalie di processo possono anche indicare una minaccia informatica.
Per garantire la sicurezza, l'affidabilità e l'alta disponibilità, gli ambienti industriali necessitano di un monitoraggio completo dei rischi che combini il rilevamento delle minacce basato su regole con il rilevamento delle anomalie basato sul comportamento.
Il rilevamento basato su regole è efficiente per rilevare le minacce in cui gli indicatori sono facilmente osservabili e identificabili. Questo metodo può essere utilizzato anche per rilevare anomalie note e non dannose, come picchi di utilizzo delle risorse o un'impennata inaspettata del traffico.
Sottoinsieme del rilevamento basato su regole, il rilevamento basato su firme è un metodo rapido ed efficiente per rilevare attività dannose o accessi non autorizzati nel traffico di rete. Si basa su regole o condizioni predefinite per identificare modelli di attacco unici e noti nel traffico di rete - le firme - e confrontarli con un database di minacce note. Ogni firma include indicatori di compromissione (IOC) come nomi di file, hashtag, URL e indirizzi IP. Pur essendo efficiente, il rilevamento basato sulle firme funziona solo per le minacce note (come i CVE documentati) e solo se gli indicatori sono facilmente osservabili e identificabili come una potenziale corrispondenza.
Per identificare il malware noto, i metodi di rilevamento basati sulle firme utilizzano le regole YARA e le regole dei pacchetti per confrontare le firme dei file e dei pacchetti, rispettivamente, e lanciare un avviso quando viene rilevata una corrispondenza.
Le anomalie operative, così come le minacce sconosciute, comprese quelle "zero day", non possono essere rilevate con le regole. Il modo migliore per rilevarle è il monitoraggio continuo che utilizza la deep packet inspection (DPI) per leggere i protocolli industriali nel traffico di rete e confrontare il comportamento attuale con una linea di base.
Le reti ICS sono relativamente statiche rispetto alle reti aziendali, dove i dispositivi vengono costantemente aggiunti e rimossi, quindi stabilire linee di base accurate e riconoscere le deviazioni da esse è molto più facile. Tuttavia, non è possibile farlo senza un sofisticato apprendimento automatico per imparare il comportamento normale delle variabili di processo raccolte dal traffico di rete. Una volta stabilite le linee di base, è possibile utilizzare il rilevamento delle anomalie basate sul comportamento per segnalare gli schemi di traffico al di fuori delle soglie impostate, nonché le letture anomale dei sensori e i parametri di flusso.
La piattaforma Nozomi Networks dispone del motore di rilevamento più sofisticato disponibile per gli ambienti IoT . Combina tecniche basate su regole e comportamenti per rilevare e limitare l'impatto di tutte le minacce presenti nell'ambiente, dai picchi di risorse agli zero-day, fino alle tecniche "living-off-the-land" che spesso eludono gli approcci basati sulle firme, senza sovraccaricare analisti e operatori con falsi positivi.
Per rilevare le minacce note, il sistema Nozomi Threat Intelligence fornisce ricerche e analisi aggregate sulle minacce e informazioni dettagliate sugli indicatori di minaccia, tra cui le regole YARA, le regole dei pacchetti, gli indicatori STIX, le definizioni delle minacce, una base di conoscenze sulle minacce e le firme di vulnerabilità. I nostri sensori e la nostra piattaforma sono costantemente aggiornati con le ultime minacce informatiche emergenti e i CIO specifici per i processi industriali e i dispositivi IoT . Questo include la nostra ricerca OTIoT e l'integrazione con il catalogo delle vulnerabilità sfruttate note della CISA , la matrice ATT&CK® di MITRE per le mappature ICS e le threat intelligence di Mandiant.
Per rilevare le anomalie, la piattaforma Nozomi Networks si basa sull'apprendimento automatico per apprendere i modelli di comunicazione della rete industriale e stabilire una linea di base di comportamento normale. Quindi monitora continuamente l'ambiente per identificare eventuali cambiamenti nei valori delle comunicazioni o delle variabili di processo che potrebbero indicare la presenza di una minaccia informatica o di un rischio per l'affidabilità.
In particolare, i nostri sensori utilizzano il DPI per analizzare oltre 250 protocolli industriali e fornire i dati granulari necessari per una solida analisi comportamentale. Grazie a questo metodo, siamo in grado di estrarre informazioni dettagliate sugli asset, come marca, modello, numero di serie e versione firmware/OS di dispositivi quali controllori industriali, workstation e server. I nostri sensori sono in grado di rilevare:
Forse la differenza maggiore tra la sicurezza IT e OT è che negli ambienti industriali dobbiamo tenere conto sia del rischio informatico che di quello operativo, compreso il rischio di processo. In effetti, le anomalie operative non correlate a una minaccia informatica sono molto più comuni.
Negli ambienti industriali, in particolare nelle infrastrutture critiche, i cyberattacchi su larga scala fanno notizia, ma è molto più probabile che a minacciare la produzione, o peggio, siano cose come malfunzionamenti delle apparecchiature, configurazioni errate, picchi di utilizzo delle risorse e deviazioni pericolose dei processi. Per esempio, in un impianto chimico, potrebbe scattare un allarme se un sensore di pressione rileva valori al di fuori delle soglie operative di sicurezza, inducendo un arresto immediato per evitare un'esplosione. Fino a quando non si indagherà, questo potrebbe indicare che un malintenzionato ha manomesso il valore, oppure che si tratta di un errore dell'operatore. In ogni caso, la minaccia è reale. Gli operatori e i manager devono essere in grado di rilevare sia le minacce che le anomalie - intrusioni, comportamenti indesiderati e guasti alle apparecchiature - e di rispondere rapidamente.
In generale, un'anomalia è tutto ciò che si discosta dalle prestazioni o dall'aspetto di base. Nel settore manifatturiero e in altri ambienti industriali, può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero causare malfunzionamenti o tempi di inattività. Per questo motivo, un impianto farmaceutico di solito monitora la comunicazione tra i sistemi di controllo e i dispositivi di campo per rilevare letture o comandi anomali che potrebbero interrompere la produzione o i protocolli di sicurezza e garantire la qualità dei lotti. Tali anomalie di processo possono anche indicare una minaccia informatica.
Per garantire la sicurezza, l'affidabilità e l'alta disponibilità, gli ambienti industriali necessitano di un monitoraggio completo dei rischi che combini il rilevamento delle minacce basato su regole con il rilevamento delle anomalie basato sul comportamento.
Il rilevamento basato su regole è efficiente per rilevare le minacce in cui gli indicatori sono facilmente osservabili e identificabili. Questo metodo può essere utilizzato anche per rilevare anomalie note e non dannose, come picchi di utilizzo delle risorse o un'impennata inaspettata del traffico.
Sottoinsieme del rilevamento basato su regole, il rilevamento basato su firme è un metodo rapido ed efficiente per rilevare attività dannose o accessi non autorizzati nel traffico di rete. Si basa su regole o condizioni predefinite per identificare modelli di attacco unici e noti nel traffico di rete - le firme - e confrontarli con un database di minacce note. Ogni firma include indicatori di compromissione (IOC) come nomi di file, hashtag, URL e indirizzi IP. Pur essendo efficiente, il rilevamento basato sulle firme funziona solo per le minacce note (come i CVE documentati) e solo se gli indicatori sono facilmente osservabili e identificabili come una potenziale corrispondenza.
Per identificare il malware noto, i metodi di rilevamento basati sulle firme utilizzano le regole YARA e le regole dei pacchetti per confrontare le firme dei file e dei pacchetti, rispettivamente, e lanciare un avviso quando viene rilevata una corrispondenza.
Le anomalie operative, così come le minacce sconosciute, comprese quelle "zero day", non possono essere rilevate con le regole. Il modo migliore per rilevarle è il monitoraggio continuo che utilizza la deep packet inspection (DPI) per leggere i protocolli industriali nel traffico di rete e confrontare il comportamento attuale con una linea di base.
Le reti ICS sono relativamente statiche rispetto alle reti aziendali, dove i dispositivi vengono costantemente aggiunti e rimossi, quindi stabilire linee di base accurate e riconoscere le deviazioni da esse è molto più facile. Tuttavia, non è possibile farlo senza un sofisticato apprendimento automatico per imparare il comportamento normale delle variabili di processo raccolte dal traffico di rete. Una volta stabilite le linee di base, è possibile utilizzare il rilevamento delle anomalie basate sul comportamento per segnalare gli schemi di traffico al di fuori delle soglie impostate, nonché le letture anomale dei sensori e i parametri di flusso.
La piattaforma Nozomi Networks dispone del motore di rilevamento più sofisticato disponibile per gli ambienti IoT . Combina tecniche basate su regole e comportamenti per rilevare e limitare l'impatto di tutte le minacce presenti nell'ambiente, dai picchi di risorse agli zero-day, fino alle tecniche "living-off-the-land" che spesso eludono gli approcci basati sulle firme, senza sovraccaricare analisti e operatori con falsi positivi.
Per rilevare le minacce note, il sistema Nozomi Threat Intelligence fornisce ricerche e analisi aggregate sulle minacce e informazioni dettagliate sugli indicatori di minaccia, tra cui le regole YARA, le regole dei pacchetti, gli indicatori STIX, le definizioni delle minacce, una base di conoscenze sulle minacce e le firme di vulnerabilità. I nostri sensori e la nostra piattaforma sono costantemente aggiornati con le ultime minacce informatiche emergenti e i CIO specifici per i processi industriali e i dispositivi IoT . Questo include la nostra ricerca OTIoT e l'integrazione con il catalogo delle vulnerabilità sfruttate note della CISA , la matrice ATT&CK® di MITRE per le mappature ICS e le threat intelligence di Mandiant.
Per rilevare le anomalie, la piattaforma Nozomi Networks si basa sull'apprendimento automatico per apprendere i modelli di comunicazione della rete industriale e stabilire una linea di base di comportamento normale. Quindi monitora continuamente l'ambiente per identificare eventuali cambiamenti nei valori delle comunicazioni o delle variabili di processo che potrebbero indicare la presenza di una minaccia informatica o di un rischio per l'affidabilità.
In particolare, i nostri sensori utilizzano il DPI per analizzare oltre 250 protocolli industriali e fornire i dati granulari necessari per una solida analisi comportamentale. Grazie a questo metodo, siamo in grado di estrarre informazioni dettagliate sugli asset, come marca, modello, numero di serie e versione firmware/OS di dispositivi quali controllori industriali, workstation e server. I nostri sensori sono in grado di rilevare:
