Gli agenti di sicurezza endpoint IT non funzionano in ambito OT perché sono pesanti e dirompenti, non sono in grado di comprendere i protocolli IoT e non sono formati sugli ambienti OT , quindi rilevano le minacce sbagliate.

Gli agenti di sicurezza Endpoint sono una parte standard delle implementazioni di sicurezza IT, non solo su computer desktop, portatili e stampanti, ma anche sull'esplosione dei dispositivi IoT e remoti. Sono essenziali per la protezione antivirus e il patching. Sfortunatamente, le esperienze negative nell'implementazione di agenti incentrati sull'IT sui dispositivi OT hanno portato a una scarsa adozione del tanto necessario monitoraggio endpoint .

Ecco alcuni dei principali motivi per cui gli agenti endpoint tradizionali non sono all'altezza degli ambienti industriali:

1. Pesante e dirompente

Molti dispositivi e controller OT hanno una potenza di calcolo e una memoria limitate, progettate per eseguire compiti specifici. Anche gli agenti antivirus standard consumano troppe risorse. Inoltre, le soluzioni di sicurezza IT endpoint richiedono in genere un riavvio del sistema dopo l'installazione, con conseguenti tempi di inattività.

2. Minacce sbagliate

I sistemi tradizionali di scansione delle vulnerabilità e di prevenzione delle intrusioni sono progettati per rilevare le minacce IT utilizzando euristiche e modelli di apprendimento automatico addestrati su ambienti IT. Non cercano le minacce industriali, non comprendono i protocolli di comunicazione industriali e non riconoscono le baseline OT . Ad esempio, mentre le soluzioni antivirus forniscono visibilità sulle stazioni di lavoro, non sono in grado di fornire informazioni sui controllori e gli attuatori industriali. Alcune delle conseguenze possono essere la disattivazione dell'hardware di progettazione, la segnalazione di protocolli di sicurezza legittimi o di comandi del sistema di controllo come dannosi, l'arresto di un processo o l'eliminazione di un'applicazione critica percepita come malware.

3. Accesso a livello di kernel

Causando massicce interruzioni a livello mondiale sui dispositivi Windows il 19 luglio 2024, l'ormai noto aggiornamento dei contenuti difettosi del sensore endpoint Falcon di CrowdStrike ha reso gli operatori OT ancora più diffidenti nei confronti dell'implementazione degli agenti negli ambienti industriali.

Questo incidente mette in evidenza quanto sia fondamentale garantire che gli agenti di sicurezza endpoint costruiti per proteggere gli esclusivi requisiti di alta disponibilità degli ambienti OT siano sicuri e non interrompano le attività.

Rilasciato nel 2023, Nozomi Arc non opera a livello del kernel del sistema operativo host, non riavvia mai le macchine e consuma pochissime risorse di sistema.

Sicurezza Endpoint sicura ed efficace per i dispositivi OT

Nozomi Arc è un agente di sicurezza sicuro e non distruttivo, creato appositamente per proteggere gli esclusivi requisiti di alta disponibilità degli endpoint OT . Fa luce su aree dell'ambiente un tempo irraggiungibili e non monitorate, dove i sensori di rete non sono pratici o non sono sufficienti a rilevare il traffico est-ovest, le porte USB, i file di registro, il traffico della rete locale e l'attività degli utenti. 

I vantaggi includono:

• Fornisce dati dettagliati che includono il tipo di dispositivo, il fornitore, la versione del sistema operativo o del firmware, il numero di serie, gli indirizzi IP e Mac, i nodi, le zone, i protocolli utilizzati, gli account attivi e le attività sospette degli utenti.
• Rileva minacce quali computer portatili infetti di terzi. Errori dell'operatore, minacce interne dannose e credenziali rubate.
• Analizza i modelli di eventi nei file di log degli host utilizzando le regole SIGMA e individuando gli eventi in corso che coinvolgono malware, furto di credenziali, download di script e altro ancora. Questo contesto è utile sia per gli operatori che per gli analisti della sicurezza.
• Fornisce agli operatori informazioni sulla risoluzione dei problemi che non hanno mai avuto, il che contribuisce notevolmente a creare fiducia. Con i sensori endpoint , possono vedere non solo le modifiche alla configurazione e le anomalie, ma anche chi ha effettuato l'accesso a un dispositivo, con quali altri dispositivi sta comunicando e quali protocolli sta utilizzando.

Casi d'uso principali per i sensoriEndpoint OT

1. Impiego strategico dei gioielli della Corona

Supponiamo che il monitoraggio della rete sia eccessivo per il vostro ambiente, ma che abbiate ancora risorse critiche da proteggere. I sensori Endpoint consentono di distribuire gli agenti solo su tali risorse, per monitorare ciò che conta di più. Possono essere installati su centinaia di endpoint chiave con pochi clic e senza riavvio.

2. Installazione più rapida e senza problemi

Supponiamodi avere una sottostazione remota in cui gli switch possono essere riconfigurati solo durante un'interruzione annuale di un'ora, il prossimo febbraio. O forse avete a che fare con uno switch di linea vecchio di 12 anni senza porte libere. Anche in questo caso, basta installare sensori endpoint senza riavvio.

3. Rete a bassa larghezza di banda e alta latenza

Le navi da carico sono i candidati principali per i sensori endpoint . Dipendono dai satelliti per la connettività ed è quasi impossibile installare un cablaggio.

4. Monitoraggio una tantum o a breve termine

Supponiamo di voler monitorare il tecnico a contratto mentre è collegato. È possibile installare un sensore endpoint per monitorare la macchina a cui è collegato e configurarlo in modo che si cancelli quando si disconnette.

5. Monitoraggio dei dispositivi offline

Nozomi Arc raccoglie i dati localmente anche quando il dispositivo host non invia o riceve traffico e li invia a monte quando l'utente si connette alla rete. Questo è un ottimo modo per ottenere audit trail dettagliati dai dispositivi sul campo e dai lavoratori mobili.