Storicamente, per i sensori di sicurezza che monitorano le reti OT e i sistemi ICS nelle infrastrutture critiche, l'unico approccio consentito all'utente finale era quello passivo. Per ridurre al minimo i rischi, le condizioni delle reti OT hanno fatto sì che tali dispositivi non potessero essere coinvolti attivamente nel monitoraggio.
Il monitoraggio passivo in tempo reale fornisce visibilità di queste reti senza interferire con il traffico e senza interrompere le operazioni. Sapere cosa viene comunicato sulla rete, quando e come, è utile per l'inventario delle risorse, la gestione delle vulnerabilità, la visibilità operativa e la difesa dagli attacchi informatici. Tuttavia, in un panorama di minacce informatiche in continua evoluzione, il solo monitoraggio passivo potrebbe non essere sufficiente.
In questo articolo, Nozomi Networks parla delle modalità per migliorare il monitoraggio passivo, il monitoraggio attivo, e i vantaggi di queste varie metodologie. Sarà illustrato come la piattaforma Nozomi Networks offra un approccio completo al monitoraggio per consentire alle organizzazioni di proteggere i propri sistemi OT e IoT.
I File di Configurazione e le Integrazioni di Dati Esterni Possono Migliorare il Monitoraggio Passivo
Per migliorare il monitoraggio passivo, i file di configurazione del sistema, se disponibili, possono essere importati per arricchire l'inventario degli asset. Il file di configurazione è un'istantanea di informazioni statiche legate a un sistema specifico. Naturalmente, ci sono delle limitazioni. I file di configurazione non sono sempre disponibili perché alcuni fornitori non condividono queste informazioni e se le informazioni non sono aggiornate, i file sono obsoleti.
Gli ambienti OT e ICS contengono anche una moltitudine di tecnologie di fornitori esterni. Le integrazioni di dati esterni sono necessarie per consolidare le informazioni sugli asset di fornitori terzi con quelle esistenti e mantenere aggiornato l'inventario degli asset. Il problema dell'inserimento di dati esterni è che si basa su tecnologie di terze parti che potrebbero non essere sempre disponibili e le diverse fonti potrebbero avere livelli di accuratezza diversi.
Il vantaggio del monitoraggio passivo è che fornisce un monitoraggio continuo della rete basandosi sulla comunicazione esistente. Tuttavia, il monitoraggio passivo ha delle limitazioni che possono influire sull'inventario accurato delle risorse, sulla valutazione delle vulnerabilità e sulla visibilità dei dispositivi non comunicanti. Il monitoraggio attivo affronta alcuni dei limiti del monitoraggio passivo.
Rilevamento Attivo in OT e IoT
L'introduzione del monitoraggio attivo negli ambienti OT e IoT richiede un cambiamento culturale. La scansione pura comporta un aumento del throughput e un cattivo utilizzo dei cicli della CPU degli endpoint, con ripercussioni sulle prestazioni e sulla stabilità della rete.
Alcune soluzioni affrontano il problema dell'aumento del throughput e del cattivo uso dei cicli della CPU associati alla scansione pura attraverso il rilevamento attivo tramite query e tramite sensore endpoint.
Rilevamento Attivo tramite Query Attive e Sensore Endpoint
A differenza della scansione classica, il rilevamento attivo tramite query attive mira a interrogare i dispositivi in base alla conoscenza delle loro capacità di protocollo, sfruttando messaggi e istruzioni speciali che sono noti per restituire informazioni utili, senza influire sulla stabilità del dispositivo. Questo è un must per i dispositivi embedded, dove le soluzioni basate su agenti non possono essere ospitate.
Il rilevamento attivo tramite query attive è adatto quando sono in uso dispositivi incorporati OT/IoT e quando sono in uso dispositivi IT e non è possibile utilizzare il sensore endpoint. Con il rilevamento attivo tramite query attive, si ottengono i seguenti vantaggi:
- Massima visibilità sui dispositivi embedded;
- Visibilità migliorata sui dispositivi Windows / Linux / macOS;
- Miglioramento della valutazione delle vulnerabilità. Ad esempio, il fornitore, il nome del prodotto e la versione del firmware di una telecamera CCTV non sono disponibili attraverso il rilevamento passivo. Recuperando attivamente queste informazioni, si calcolano le vulnerabilità.
Parliamo ora del rilevamento attivo tramite sensore endpoint. La presenza di un sensore endpoint aumenta la visibilità fino all'endpoint stesso, combinando i rilevamenti di rete, il monitoraggio del traffico nella macchina installata e i rilevamenti delle risorse. Questo sensore aggiunge funzionalità che non sarebbero possibili senza la presenza sul computer di destinazione.
Il monitoraggio di massa della rete offerto da un monitoraggio passivo viene quindi integrato da un monitoraggio locale, che trasforma le macchine di destinazione in sensori a loro volta, compresa la possibilità di eseguire il rilevamento attivo tramite query attive (di cui abbiamo parlato sopra) dall'endpoint stesso.
Con il rilevamento attivo tramite un sensore endpoint, si ottengono i seguenti vantaggi:
- Rilevamenti unici basati sull'host, che garantiscono la massima visibilità sui dispositivi Windows / Linux / macOS;
- Valutazione della vulnerabilità potenziata;
- Visibilità locale completa grazie al monitoraggio del traffico direttamente dal sensore dell'endpoint, senza ricorrere a switch o tap;
- Visibilità completa per gli asset che non comunicano in rete tramite una raccolta dati offline;
- Tutti i vantaggi del "rilevamento attivo tramite query attive", in quanto possono essere eseguite dall'endpoint.
Combinare la Potenza del Rilevamento Passivo e Attivo per OT e IoT con Nozomi Networks
La piattaforma Nozomi Networks combina il monitoraggio passivo e attivo per fornire la massima visibilità e protezione senza compromettere la stabilità delle reti e degli endpoint.
I sensori Nozomi Guardian e Remote Collector consentono il monitoraggio passivo degli ambienti OT e IoT. Se configurati in modalità passiva, elaborano il traffico speculare sulla rete senza generare traffico aggiuntivo. Guardian sfrutta la base di conoscenze di oltre 200 protocolli e migliaia di dispositivi per un'identificazione più accurata degli asset, una valutazione delle vulnerabilità, statistiche di rete e analisi comportamentali.
Guardian supporta anche l'importazione di file di configurazione. Grazie alla conoscenza dello schema dei file di configurazione dei principali fornitori di automazione, è possibile mappare le informazioni sugli asset e sulla rete per un inventario più accurato. Sono supportati anche i file di configurazione standardizzati come SCD (utilizzato per l'identificazione e la configurazione degli asset della sottostazione IEC 61850). Le informazioni sugli asset provenienti da fonti esterne, comprese le soluzioni di gestione degli asset, possono essere integrate in Guardian per ottenere informazioni più aggiornate sugli asset di terzi.
Guardian Air consente anche di monitorare passivamente le reti wireless. I dati di Guardian Air possono essere integrati con Vantage per una visibilità completa.
Il monitoraggio di massa della rete offerto da Guardian/Remote Collector monitora la rete in modo passivo, come abilitatore. Il monitoraggio della rete basato su endpoint locali è abilitato da Arc, che consente di monitorare le comunicazioni edge dai dispositivi su cui è installato, aiutando a superare qualsiasi limite di riconfigurazione degli switch e trasformando qualsiasi endpoint supportato in un sensore Nozomi Networks.
Il rilevamento attivo tramite query attive viene effettuato tramite Smart Polling nella piattaforma Nozomi Networks. Smart Polling può essere utilizzato anche da endpoint protetti da Arc, offrendo una portata senza precedenti per le reti segmentate in cui le interfacce Guardian non sono autorizzate a eseguire il polling della rete process/IoT.
Arc aggiunge ulteriori rilevamenti unici basati sull'host per integrare quelli basati sulla rete e fornire la massima precisione e contesto, come le regole Sigma, la correlazione utente-attività e i rilevamenti dell'accesso fisico dell'USB. Le integrazioni di dati e le importazioni di file di configurazione possono essere utilizzate come plus.
Vuoi scoprire se Nozomi Networks è adatto alla tua azienda? Invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito per richiedere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.