Gli agenti di sicurezza endpoint IT non funzionano in ambito OT perché sono pesanti e dirompenti, non sono in grado di comprendere i protocolli IoT e non sono formati sugli ambienti OT , quindi rilevano le minacce sbagliate.
Gli agenti di sicurezza Endpoint sono una parte standard delle implementazioni di sicurezza IT, non solo su computer desktop, portatili e stampanti, ma anche sull'esplosione dei dispositivi IoT e remoti. Sono essenziali per la protezione antivirus e il patching. Sfortunatamente, le esperienze negative nell'implementazione di agenti incentrati sull'IT sui dispositivi OT hanno portato a una scarsa adozione del tanto necessario monitoraggio endpoint .
Ecco alcuni dei principali motivi per cui gli agenti endpoint tradizionali non sono all'altezza degli ambienti industriali:
Molti dispositivi e controller OT hanno una potenza di calcolo e una memoria limitate, progettate per eseguire compiti specifici. Anche gli agenti antivirus standard consumano troppe risorse. Inoltre, le soluzioni di sicurezza IT endpoint richiedono in genere un riavvio del sistema dopo l'installazione, con conseguenti tempi di inattività.
I sistemi tradizionali di scansione delle vulnerabilità e di prevenzione delle intrusioni sono progettati per rilevare le minacce IT utilizzando euristiche e modelli di apprendimento automatico addestrati su ambienti IT. Non cercano le minacce industriali, non comprendono i protocolli di comunicazione industriali e non riconoscono le baseline OT . Ad esempio, mentre le soluzioni antivirus forniscono visibilità sulle stazioni di lavoro, non sono in grado di fornire informazioni sui controllori e gli attuatori industriali. Alcune delle conseguenze possono essere la disattivazione dell'hardware di progettazione, la segnalazione di protocolli di sicurezza legittimi o di comandi del sistema di controllo come dannosi, l'arresto di un processo o l'eliminazione di un'applicazione critica percepita come malware.
Causando massicce interruzioni a livello mondiale sui dispositivi Windows il 19 luglio 2024, l'ormai noto aggiornamento dei contenuti difettosi del sensore endpoint Falcon di CrowdStrike ha reso gli operatori OT ancora più diffidenti nei confronti dell'implementazione degli agenti negli ambienti industriali.
Questo incidente mette in evidenza quanto sia fondamentale garantire che gli agenti di sicurezza endpoint costruiti per proteggere gli esclusivi requisiti di alta disponibilità degli ambienti OT siano sicuri e non interrompano le attività.
Rilasciato nel 2023, Nozomi Arc non opera a livello del kernel del sistema operativo host, non riavvia mai le macchine e consuma pochissime risorse di sistema.
Nozomi Arc è un agente di sicurezza sicuro e non distruttivo, creato appositamente per proteggere gli esclusivi requisiti di alta disponibilità degli endpoint OT . Fa luce su aree dell'ambiente un tempo irraggiungibili e non monitorate, dove i sensori di rete non sono pratici o non sono sufficienti a rilevare il traffico est-ovest, le porte USB, i file di registro, il traffico della rete locale e l'attività degli utenti.
I vantaggi includono:
Supponiamo che il monitoraggio della rete sia eccessivo per il vostro ambiente, ma che abbiate ancora risorse critiche da proteggere. I sensori Endpoint consentono di distribuire gli agenti solo su tali risorse, per monitorare ciò che conta di più. Possono essere installati su centinaia di endpoint chiave con pochi clic e senza riavvio.
Supponiamodi avere una sottostazione remota in cui gli switch possono essere riconfigurati solo durante un'interruzione annuale di un'ora, il prossimo febbraio. O forse avete a che fare con uno switch di linea vecchio di 12 anni senza porte libere. Anche in questo caso, basta installare sensori endpoint senza riavvio.
Le navi da carico sono i candidati principali per i sensori endpoint . Dipendono dai satelliti per la connettività ed è quasi impossibile installare un cablaggio.
Supponiamo di voler monitorare il tecnico a contratto mentre è collegato. È possibile installare un sensore endpoint per monitorare la macchina a cui è collegato e configurarlo in modo che si cancelli quando si disconnette.
Nozomi Arc raccoglie i dati localmente anche quando il dispositivo host non invia o riceve traffico e li invia a monte quando l'utente si connette alla rete. Questo è un ottimo modo per ottenere audit trail dettagliati dai dispositivi sul campo e dai lavoratori mobili.
Gli agenti di sicurezza endpoint IT non funzionano in ambito OT perché sono pesanti e dirompenti, non sono in grado di comprendere i protocolli IoT e non sono formati sugli ambienti OT , quindi rilevano le minacce sbagliate.
Gli agenti di sicurezza Endpoint sono una parte standard delle implementazioni di sicurezza IT, non solo su computer desktop, portatili e stampanti, ma anche sull'esplosione dei dispositivi IoT e remoti. Sono essenziali per la protezione antivirus e il patching. Sfortunatamente, le esperienze negative nell'implementazione di agenti incentrati sull'IT sui dispositivi OT hanno portato a una scarsa adozione del tanto necessario monitoraggio endpoint .
Ecco alcuni dei principali motivi per cui gli agenti endpoint tradizionali non sono all'altezza degli ambienti industriali:
Molti dispositivi e controller OT hanno una potenza di calcolo e una memoria limitate, progettate per eseguire compiti specifici. Anche gli agenti antivirus standard consumano troppe risorse. Inoltre, le soluzioni di sicurezza IT endpoint richiedono in genere un riavvio del sistema dopo l'installazione, con conseguenti tempi di inattività.
I sistemi tradizionali di scansione delle vulnerabilità e di prevenzione delle intrusioni sono progettati per rilevare le minacce IT utilizzando euristiche e modelli di apprendimento automatico addestrati su ambienti IT. Non cercano le minacce industriali, non comprendono i protocolli di comunicazione industriali e non riconoscono le baseline OT . Ad esempio, mentre le soluzioni antivirus forniscono visibilità sulle stazioni di lavoro, non sono in grado di fornire informazioni sui controllori e gli attuatori industriali. Alcune delle conseguenze possono essere la disattivazione dell'hardware di progettazione, la segnalazione di protocolli di sicurezza legittimi o di comandi del sistema di controllo come dannosi, l'arresto di un processo o l'eliminazione di un'applicazione critica percepita come malware.
Causando massicce interruzioni a livello mondiale sui dispositivi Windows il 19 luglio 2024, l'ormai noto aggiornamento dei contenuti difettosi del sensore endpoint Falcon di CrowdStrike ha reso gli operatori OT ancora più diffidenti nei confronti dell'implementazione degli agenti negli ambienti industriali.
Questo incidente mette in evidenza quanto sia fondamentale garantire che gli agenti di sicurezza endpoint costruiti per proteggere gli esclusivi requisiti di alta disponibilità degli ambienti OT siano sicuri e non interrompano le attività.
Rilasciato nel 2023, Nozomi Arc non opera a livello del kernel del sistema operativo host, non riavvia mai le macchine e consuma pochissime risorse di sistema.
Nozomi Arc è un agente di sicurezza sicuro e non distruttivo, creato appositamente per proteggere gli esclusivi requisiti di alta disponibilità degli endpoint OT . Fa luce su aree dell'ambiente un tempo irraggiungibili e non monitorate, dove i sensori di rete non sono pratici o non sono sufficienti a rilevare il traffico est-ovest, le porte USB, i file di registro, il traffico della rete locale e l'attività degli utenti.
I vantaggi includono:
Supponiamo che il monitoraggio della rete sia eccessivo per il vostro ambiente, ma che abbiate ancora risorse critiche da proteggere. I sensori Endpoint consentono di distribuire gli agenti solo su tali risorse, per monitorare ciò che conta di più. Possono essere installati su centinaia di endpoint chiave con pochi clic e senza riavvio.
Supponiamodi avere una sottostazione remota in cui gli switch possono essere riconfigurati solo durante un'interruzione annuale di un'ora, il prossimo febbraio. O forse avete a che fare con uno switch di linea vecchio di 12 anni senza porte libere. Anche in questo caso, basta installare sensori endpoint senza riavvio.
Le navi da carico sono i candidati principali per i sensori endpoint . Dipendono dai satelliti per la connettività ed è quasi impossibile installare un cablaggio.
Supponiamo di voler monitorare il tecnico a contratto mentre è collegato. È possibile installare un sensore endpoint per monitorare la macchina a cui è collegato e configurarlo in modo che si cancelli quando si disconnette.
Nozomi Arc raccoglie i dati localmente anche quando il dispositivo host non invia o riceve traffico e li invia a monte quando l'utente si connette alla rete. Questo è un ottimo modo per ottenere audit trail dettagliati dai dispositivi sul campo e dai lavoratori mobili.