Demonstração ao vivo: A plataforma Nozomi Networks em 15 minutos
Assista
Talvez a maior diferença entre a segurança de TI e OT seja o fato de que, em ambientes industriais, precisamos levar em conta tanto o risco cibernético quanto o operacional, incluindo o risco do processo. Na verdade, as anomalias operacionais não relacionadas a uma ameaça cibernética são muito mais comuns.
Em ambientes industriais, especialmente em infraestruturas críticas, os ataques cibernéticos em grande escala são manchetes, mas coisas como mau funcionamento de equipamentos, configurações incorretas, picos de uso de recursos e desvios perigosos de processos têm muito mais probabilidade de ameaçar a produção, ou pior. Por exemplo, em uma fábrica de produtos químicos, um alarme pode ser acionado se um sensor de pressão detectar valores fora dos limites operacionais seguros, provocando um desligamento imediato para evitar uma explosão. Até que seja investigado, isso pode indicar que um agente mal-intencionado mexeu no valor ou pode ser um erro do operador. Em ambos os casos, a ameaça é real. Os operadores e gerentes devem ser capazes de detectar ameaças e anomalias - intrusões, comportamentos indesejados e falhas de equipamentos - e reagir rapidamente.
Em termos gerais, uma anomalia é qualquer coisa que se desvie do desempenho ou da aparência da linha de base. Na manufatura e em outros ambientes industriais, isso pode ser valores de processo instáveis, medições de processo incorretas e configurações incorretas que podem levar a mau funcionamento ou tempo de inatividade. Por esse motivo, uma fábrica farmacêutica normalmente monitora a comunicação entre os sistemas de controle e os dispositivos de campo para detectar leituras ou comandos anormais que possam interromper a produção ou os protocolos de segurança e garantir a qualidade do lote. Essas anomalias de processo também podem indicar uma ameaça cibernética.
Para garantir a segurança, a confiabilidade e a alta disponibilidade, os ambientes industriais precisam de um monitoramento de risco abrangente que combine a detecção de ameaças baseada em regras com a detecção de anomalias baseada em comportamento.
A detecção baseada em regras é eficiente para detectar ameaças em que os indicadores são facilmente observáveis e identificáveis. Esse método também pode ser usado para detectar anomalias conhecidas e não maliciosas, como picos no uso de recursos ou um aumento inesperado no tráfego.
Um subconjunto da detecção baseada em regras, a detecção baseada em assinatura é uma maneira rápida e eficiente de detectar atividades mal-intencionadas ou acesso não autorizado no tráfego de rede. Ela se baseia em regras ou condições predefinidas para identificar padrões de ataque exclusivos e conhecidos no tráfego de rede - assinaturas - e compará-los a um banco de dados de ameaças conhecidas. Cada assinatura inclui indicadores de comprometimento (IOCs), como nomes de arquivos, hashtags, URLs e endereços IP. Embora eficiente, a detecção baseada em assinatura só funciona para ameaças conhecidas (como CVEs documentados) e somente se os indicadores forem facilmente observáveis e identificáveis como uma possível correspondência.
Para identificar malwares conhecidos, os métodos de detecção baseados em assinaturas usam regras YARA e regras de pacotes para corresponder às assinaturas de arquivos e pacotes, respectivamente, e disparam um alerta quando uma correspondência é detectada.
Anomalias operacionais, bem como ameaças desconhecidas, inclusive zero-day, não podem ser detectadas por meio de regras. A melhor maneira de detectá-las é com o monitoramento contínuo usando a inspeção profunda de pacotes (DPI) para ler protocolos industriais no tráfego de rede e comparar o comportamento atual com uma linha de base.
As redes ICS são relativamente estáticas em comparação com as redes corporativas, nas quais os dispositivos são constantemente adicionados e removidos, portanto, é muito mais fácil estabelecer linhas de base precisas e reconhecer os desvios delas. No entanto, isso não pode ser feito sem um aprendizado de máquina sofisticado para aprender o comportamento normal das variáveis de processo coletadas do tráfego de rede. Depois que as linhas de base são estabelecidas, a detecção de anomalias baseada em comportamento pode ser usada para sinalizar padrões de tráfego fora dos limites definidos, bem como leituras anormais de sensores e parâmetros de fluxo.
A plataforma Nozomi Networks tem o mecanismo de detecção mais sofisticado disponível para ambientes OTIoT . Ele combina técnicas baseadas em regras e em comportamento para detectar e limitar o impacto de todas as ameaças em seu ambiente, desde picos de recursos a dias zero e técnicas de sobrevivência que muitas vezes evitam abordagens baseadas em assinaturas, sem sobrecarregar os analistas e operadores com falsos positivos.
Para detectar ameaças conhecidas, o Nozomi Threat Intelligence fornece pesquisas e análises agregadas sobre ameaças, além de informações detalhadas sobre indicadores de ameaças, incluindo regras YARA, regras de pacotes, indicadores STIX, definições de ameaças, uma base de conhecimento sobre ameaças e assinaturas de vulnerabilidades. Nossos sensores e plataforma são continuamente atualizados com os mais recentes malwares emergentes e IOCs específicos para processos industriais e dispositivos IoT . Isso inclui nossa própria pesquisa OTIoT, bem como a integração com o Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA , a Matriz MITRE ATT&CK® para mapeamentos de ICS e threat intelligence da Mandiant.
Para detectar anomalias, a plataforma Nozomi Networks conta com o aprendizado de máquina para aprender os padrões de comunicação da sua rede industrial e estabelecer uma linha de base de comportamento normal. Em seguida, ela monitora continuamente seu ambiente para identificar quaisquer alterações na comunicação ou nos valores das variáveis do processo que possam indicar a presença de uma ameaça cibernética ou um risco à confiabilidade.
Especificamente, nossos sensores usam DPI para analisar mais de 250 protocolos industriais e fornecer os dados granulares necessários para uma análise comportamental robusta. Usando esse método, podemos extrair informações detalhadas sobre os ativos, como marca, modelo, número de série e versão de firmware/SO dos dispositivos, incluindo controladores industriais, estações de trabalho e servidores. Nossos sensores podem detectar:
Talvez a maior diferença entre a segurança de TI e OT seja o fato de que, em ambientes industriais, precisamos levar em conta tanto o risco cibernético quanto o operacional, incluindo o risco do processo. Na verdade, as anomalias operacionais não relacionadas a uma ameaça cibernética são muito mais comuns.
Em ambientes industriais, especialmente em infraestruturas críticas, os ataques cibernéticos em grande escala são manchetes, mas coisas como mau funcionamento de equipamentos, configurações incorretas, picos de uso de recursos e desvios perigosos de processos têm muito mais probabilidade de ameaçar a produção, ou pior. Por exemplo, em uma fábrica de produtos químicos, um alarme pode ser acionado se um sensor de pressão detectar valores fora dos limites operacionais seguros, provocando um desligamento imediato para evitar uma explosão. Até que seja investigado, isso pode indicar que um agente mal-intencionado mexeu no valor ou pode ser um erro do operador. Em ambos os casos, a ameaça é real. Os operadores e gerentes devem ser capazes de detectar ameaças e anomalias - intrusões, comportamentos indesejados e falhas de equipamentos - e reagir rapidamente.
Em termos gerais, uma anomalia é qualquer coisa que se desvie do desempenho ou da aparência da linha de base. Na manufatura e em outros ambientes industriais, isso pode ser valores de processo instáveis, medições de processo incorretas e configurações incorretas que podem levar a mau funcionamento ou tempo de inatividade. Por esse motivo, uma fábrica farmacêutica normalmente monitora a comunicação entre os sistemas de controle e os dispositivos de campo para detectar leituras ou comandos anormais que possam interromper a produção ou os protocolos de segurança e garantir a qualidade do lote. Essas anomalias de processo também podem indicar uma ameaça cibernética.
Para garantir a segurança, a confiabilidade e a alta disponibilidade, os ambientes industriais precisam de um monitoramento de risco abrangente que combine a detecção de ameaças baseada em regras com a detecção de anomalias baseada em comportamento.
A detecção baseada em regras é eficiente para detectar ameaças em que os indicadores são facilmente observáveis e identificáveis. Esse método também pode ser usado para detectar anomalias conhecidas e não maliciosas, como picos no uso de recursos ou um aumento inesperado no tráfego.
Um subconjunto da detecção baseada em regras, a detecção baseada em assinatura é uma maneira rápida e eficiente de detectar atividades mal-intencionadas ou acesso não autorizado no tráfego de rede. Ela se baseia em regras ou condições predefinidas para identificar padrões de ataque exclusivos e conhecidos no tráfego de rede - assinaturas - e compará-los a um banco de dados de ameaças conhecidas. Cada assinatura inclui indicadores de comprometimento (IOCs), como nomes de arquivos, hashtags, URLs e endereços IP. Embora eficiente, a detecção baseada em assinatura só funciona para ameaças conhecidas (como CVEs documentados) e somente se os indicadores forem facilmente observáveis e identificáveis como uma possível correspondência.
Para identificar malwares conhecidos, os métodos de detecção baseados em assinaturas usam regras YARA e regras de pacotes para corresponder às assinaturas de arquivos e pacotes, respectivamente, e disparam um alerta quando uma correspondência é detectada.
Anomalias operacionais, bem como ameaças desconhecidas, inclusive zero-day, não podem ser detectadas por meio de regras. A melhor maneira de detectá-las é com o monitoramento contínuo usando a inspeção profunda de pacotes (DPI) para ler protocolos industriais no tráfego de rede e comparar o comportamento atual com uma linha de base.
As redes ICS são relativamente estáticas em comparação com as redes corporativas, nas quais os dispositivos são constantemente adicionados e removidos, portanto, é muito mais fácil estabelecer linhas de base precisas e reconhecer os desvios delas. No entanto, isso não pode ser feito sem um aprendizado de máquina sofisticado para aprender o comportamento normal das variáveis de processo coletadas do tráfego de rede. Depois que as linhas de base são estabelecidas, a detecção de anomalias baseada em comportamento pode ser usada para sinalizar padrões de tráfego fora dos limites definidos, bem como leituras anormais de sensores e parâmetros de fluxo.
A plataforma Nozomi Networks tem o mecanismo de detecção mais sofisticado disponível para ambientes OTIoT . Ele combina técnicas baseadas em regras e em comportamento para detectar e limitar o impacto de todas as ameaças em seu ambiente, desde picos de recursos a dias zero e técnicas de sobrevivência que muitas vezes evitam abordagens baseadas em assinaturas, sem sobrecarregar os analistas e operadores com falsos positivos.
Para detectar ameaças conhecidas, o Nozomi Threat Intelligence fornece pesquisas e análises agregadas sobre ameaças, além de informações detalhadas sobre indicadores de ameaças, incluindo regras YARA, regras de pacotes, indicadores STIX, definições de ameaças, uma base de conhecimento sobre ameaças e assinaturas de vulnerabilidades. Nossos sensores e plataforma são continuamente atualizados com os mais recentes malwares emergentes e IOCs específicos para processos industriais e dispositivos IoT . Isso inclui nossa própria pesquisa OTIoT, bem como a integração com o Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA , a Matriz MITRE ATT&CK® para mapeamentos de ICS e threat intelligence da Mandiant.
Para detectar anomalias, a plataforma Nozomi Networks conta com o aprendizado de máquina para aprender os padrões de comunicação da sua rede industrial e estabelecer uma linha de base de comportamento normal. Em seguida, ela monitora continuamente seu ambiente para identificar quaisquer alterações na comunicação ou nos valores das variáveis do processo que possam indicar a presença de uma ameaça cibernética ou um risco à confiabilidade.
Especificamente, nossos sensores usam DPI para analisar mais de 250 protocolos industriais e fornecer os dados granulares necessários para uma análise comportamental robusta. Usando esse método, podemos extrair informações detalhadas sobre os ativos, como marca, modelo, número de série e versão de firmware/SO dos dispositivos, incluindo controladores industriais, estações de trabalho e servidores. Nossos sensores podem detectar:
