Una nota ai nostri clienti e partner in Medio Oriente
Maggiori informazioni
Academy
Laboratori
Carriere
Log in per i partner
Supporto
FAQ SULLA CYBERSECURITY

Qual è la differenza tra Threat Detection rilevamento delle anomalie OT?

Forse la differenza maggiore tra la sicurezza IT e OT è che negli ambienti industriali dobbiamo tenere conto sia del rischio informatico che di quello operativo, compreso il rischio di processo. In effetti, le anomalie operative non correlate a una minaccia informatica sono molto più comuni.

Negli ambienti industriali, in particolare nelle infrastrutture critiche, gli attacchi informatici su larga scala fanno notizia, ma sono piuttosto i malfunzionamenti delle apparecchiature, le configurazioni errate, i picchi nell’utilizzo delle risorse e le deviazioni pericolose dai processi a rappresentare una minaccia molto più concreta per la produzione, o peggio. Ad esempio, in un impianto chimico, un allarme potrebbe scattare se un sensore di pressione rileva valori al di fuori delle soglie operative di sicurezza, provocando un arresto immediato per prevenire un'esplosione. Fino a quando non viene indagato, ciò potrebbe indicare che un malintenzionato ha manomesso il valore, oppure potrebbe trattarsi di un errore dell'operatore. In entrambi i casi, la minaccia è reale. Operatori e responsabili devono essere in grado di rilevare sia le minacce che le anomalie — intrusioni, comportamenti indesiderati e guasti alle apparecchiature — e di reagire rapidamente.  

In linea generale, per anomalia si intende qualsiasi elemento che si discosti dalle prestazioni o dall'aspetto standard. Nel settore manifatturiero e in altri contesti industriali, ciò può tradursi in valori di processo instabili, misurazioni errate o configurazioni non corrette che potrebbero causare malfunzionamenti o tempi di inattività. Per questo motivo, un impianto farmaceutico monitora solitamente la comunicazione tra i sistemi di controllo e i dispositivi di campo per individuare letture o comandi anomali che potrebbero compromettere la produzione o i protocolli di sicurezza e garantire la qualità dei lotti. Tali anomalie di processo possono anche indicare una minaccia informatica.

Per garantire sicurezza, affidabilità e alta disponibilità, gli ambienti industriali necessitano di un monitoraggio completo dei rischi che combini threat detection basato su regole threat detection il rilevamento delle anomalie basato sul comportamento. 

Rilevamento basato su regole

Il rilevamento basato su regole è efficiente per rilevare le minacce in cui gli indicatori sono facilmente osservabili e identificabili. Questo metodo può essere utilizzato anche per rilevare anomalie note e non dannose, come picchi di utilizzo delle risorse o un'impennata inaspettata del traffico.

Il rilevamento basato su firme, una sottocategoria del rilevamento basato su regole, rappresenta un metodo rapido ed efficiente per individuare attività dannose o accessi non autorizzati nel traffico di rete. Si basa su regole o condizioni predefinite per identificare modelli di attacco univoci e noti nel traffico di rete — le cosiddette "firme" — e confrontarli con un database di minacce note. Ogni firma include indicatori di compromissione (IOC) quali nomi di file, hashtag, URL e indirizzi IP. Pur essendo efficiente, il rilevamento basato su firme funziona solo per le minacce note (come i CVE documentati) e solo se gli indicatori sono facilmente osservabili e identificabili come potenziali corrispondenze. 

Per identificare il malware noto, i metodi di rilevamento basati sulle firme utilizzano le regole YARA e le regole dei pacchetti per confrontare le firme dei file e dei pacchetti, rispettivamente, e lanciare un avviso quando viene rilevata una corrispondenza. 

Rilevamento delle anomalie basato sul comportamento

Le anomalie operative, così come le minacce sconosciute, comprese quelle "zero day", non possono essere rilevate con le regole. Il modo migliore per rilevarle è il monitoraggio continuo che utilizza la deep packet inspection (DPI) per leggere i protocolli industriali nel traffico di rete e confrontare il comportamento attuale con una linea di base.

Le reti ICS sono relativamente statiche rispetto alle reti aziendali, dove i dispositivi vengono costantemente aggiunti e rimossi, quindi stabilire linee di base accurate e riconoscere le deviazioni da esse è molto più facile. Tuttavia, non è possibile farlo senza un sofisticato apprendimento automatico per imparare il comportamento normale delle variabili di processo raccolte dal traffico di rete. Una volta stabilite le linee di base, è possibile utilizzare il rilevamento delle anomalie basate sul comportamento per segnalare gli schemi di traffico al di fuori delle soglie impostate, nonché le letture anomale dei sensori e i parametri di flusso.

Rilevamento di minacce e anomalie con la piattaforma Nozomi Networks

La piattaforma Nozomi Networks dispone del motore di rilevamento più sofisticato disponibile per gli ambienti IoT . Combina tecniche basate su regole e comportamenti per rilevare e limitare l'impatto di tutte le minacce presenti nell'ambiente, dai picchi di risorse agli zero-day, fino alle tecniche "living-off-the-land" che spesso eludono gli approcci basati sulle firme, senza sovraccaricare analisti e operatori con falsi positivi.  

Per rilevare le minacce note, il sistema Nozomi Threat Intelligence fornisce ricerche e analisi aggregate sulle minacce e informazioni dettagliate sugli indicatori di minaccia, tra cui le regole YARA, le regole dei pacchetti, gli indicatori STIX, le definizioni delle minacce, una base di conoscenze sulle minacce e le firme di vulnerabilità. I nostri sensori e la nostra piattaforma sono costantemente aggiornati con le ultime minacce informatiche emergenti e i CIO specifici per i processi industriali e i dispositivi IoT . Questo include la nostra ricerca OTIoT e l'integrazione con il catalogo delle vulnerabilità sfruttate note della CISA , la matrice ATT&CK® di MITRE per le mappature ICS e le threat intelligence di Mandiant.

Nozomi Threat Intelligence

Per rilevare le anomalie, la piattaforma Nozomi Networks si basa sull'apprendimento automatico per apprendere i modelli di comunicazione della rete industriale e stabilire una linea di base di comportamento normale. Quindi monitora continuamente l'ambiente per identificare eventuali cambiamenti nei valori delle comunicazioni o delle variabili di processo che potrebbero indicare la presenza di una minaccia informatica o di un rischio per l'affidabilità.

In particolare, i nostri sensori utilizzano il DPI per analizzare oltre 250 protocolli industriali e fornire i dati granulari necessari per una solida analisi comportamentale. Grazie a questo metodo, siamo in grado di estrarre informazioni dettagliate sugli asset, come marca, modello, numero di serie e versione firmware/OS di dispositivi quali controllori industriali, workstation e server. I nostri sensori sono in grado di rilevare:

  • Violazioni dei criteri, come il download, il caricamento e la modifica di programmi/firmware del PLC e l'esecuzione di un comando di avvio/arresto del PLC in rete.
  • Malfunzionamenti dell'apparecchiatura, quali perdita dei collegamenti di comunicazione, reset dei collegamenti, errori di ritrasmissione e stato di salute del dispositivo configurato con SNMP
  • Errori di configurazione, come protocolli non autorizzati, errori di lettura del PLC dovuti a indirizzi di registro non validi ed errori di pacchetti SCADA malformati.

Torna alle FAQ

Risorse correlate

Proteggere l'invisibile: Gestione del rischio IoT guidata dall'intelligenza artificiale
Visualizza la risorsa
Rilevare le minacce interne: La sfida OT non discussa e non dichiarata
Visualizza la risorsa
Imprevedibile, impreparati: come affinare la propria strategia di gestione dei rischi negliIoT
Visualizza la risorsa
Rilevare nuoveOT : come farlo in modo proattivo 
Visualizza la risorsa
Rilevare le minacce alla sicurezza informatica OT utilizzando la matrice Known-Unknown
Visualizza la risorsa

Iscriviti

LinkedIn

Demo

PIATTAFORMA

Panoramica della piattaformaVantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat IntelligenceSmart PollingIntegrazioniPSIRT

Servizi professionali

Servizi professionaliIngegnere designatoServizi Fast TrackServizio di controllo della saluteServizio di ottimizzazione

Soluzioni: Esigenze aziendali

Rilevamento e risposta alle minacceMonitoraggio continuo della reteGestione dell'inventario degli assetGestione dei rischi e delle vulnerabilitàSicurezza IoTSicurezza informatica dei data center

Soluzioni: Conformità

NERC CIPDirettiva NIS2Direttive di sicurezza TSA

Soluzioni: Industria

AeroportualeServizi elettriciHealthcareSettore governativoManifatturieroMarittimoMinerarioOil & GasFarmaceuticoFerroviarioRetailSmart cityIdrico e acque reflue

Impara

AcademyCarriereAziendaStorie di clientiContattaciPartnerRisorseLaboratoriLegaleTrust Center
Logo LinkedIn
© 2026 Nozomi Networks . Tutti i diritti riservati. Informativa sulla privacy e certificazioni. Stato del sistema.