Demonstração ao vivo: A plataforma Nozomi Networks em 15 minutos
Assista
O monitoramento passivo da rede é o padrão para o inventário de ativos, bem como para a detecção de ameaças e anomalias em ambientes industriais, principalmente devido à sua natureza sensível e à sua criticidade. Isso é agravado pela forte dependência de sistemas legados com protocolos inseguros e proprietários que a varredura ativa poderia explorar. Os sistemas OT geralmente compreendem uma infraestrutura crítica, controlando processos que podem afetar a segurança, a proteção e o fornecimento de serviços essenciais. O monitoramento passivo permite a visibilidade sem nenhuma interferência, ao passo que as técnicas de varredura e sondagem ativas, comuns em ambientes de TI, podem ser prejudiciais, podendo levar a falhas operacionais ou riscos à segurança.
As ferramentas passivas de monitoramento de redes industriais funcionam conectadas a uma porta SPAN ou espelho de um switch ou roteador e observam as comunicações da rede. A Nozomi Guardian observa passivamente o tráfego da rede local para fornecer visibilidade e monitoramento abrangentes dos ativos OT e IoT sem usar nenhum agente ou interrogação para identificar dispositivos. Ele monitora continuamente a atividade para descobrir novos ativos que se comunicam na rede, fornece visualizações de rede para solução de problemas e pesquisa, identifica vulnerabilidades críticas e detecta ameaças à segurança cibernética e problemas operacionais.
Especificamente, os sensores Guardian usam a inspeção passiva de pacotes profundos para descobrir automaticamente, em tempo real, a rede industrial, incluindo seus componentes, conexões e topologia. Em seguida, seu recurso de aprendizado avançado cria perfis específicos para cada ICS e usa a análise comportamental para monitorar atividades anômalas, suspeitas e mal-intencionadas. O resultado é a detecção rápida de ataques cibernéticos e anomalias críticas de processos.
Os coletores remotos são outra forma de monitoramento passivo projetado para cobrir locais de difícil acesso e não tripulados. Esses sensores pequenos e com poucos recursos funcionam em conjunto com os sensores de rede para capturar dados de locais selvagens, offshore e outros locais remotos e distribuídos (como uma subestação elétrica ou uma planta menor em um campus maior) onde um sensor de rede não é econômico ou prático. ORemote Collector Nozomi Networks captura, desduplica, comprime e criptografa esse tráfego antes de enviá-lo a um sensor Guardian associado para processamento.
Os sensores sem fio são outra forma de monitoramento passivo que deve ser aproveitada em ambientes industriais, onde a tecnologia sem fio é agora comum. É difícil detectar ameaças específicas da tecnologia sem fio, como ataques de força bruta, spoofing e bluejacking, e é ainda mais difícil determinar a localização dos dispositivos que realizam os ataques.
Além de WiFi e Bluetooth, as redes de controle de processos dependem de protocolos sem fio especializados, projetados para facilitar a comunicação confiável entre sensores e controladores com baixo consumo de energia. Esses protocolos desempenham um papel fundamental na coleta, concatenação e transmissão de dados que permitem a operação e a vigilância do sistema. Por exemplo, o padrão IEEE 802.15.4 é usado em edifícios inteligentes para o monitoramento em tempo real de sistemas HVAC e de iluminação e na agricultura para o controle do sistema de irrigação sem fio a fim de otimizar o rendimento das colheitas.
O Guardian Air é o primeiro sensor de segurança sem fio do setor criado especificamente para ambientes OT e IoT , proporcionando visibilidade dos ativos sem fio - tudo, desde termostatos a robôs e drones - que até agora só eram detectados quando conectados a uma rede com fio. Ele monitora continuamente as tecnologias de espectro sem fio que operam entre 800 MHz e 5895 MHz (WiFi, Bluetooth, IEEE802.15.4, LoRaWAN, Zwave, celular e drones) e detecta e localiza ameaças por meio de triangulação para permitir uma resposta mais rápida.
Os sensores de rede são ferramentas de trabalho cibernético. Mas sempre haverá dezenas de cenários em que a adição de um sensor de rede não é viável ou em que são necessários detalhes adicionais para entender e solucionar problemas em seu ambiente. Os ambientes industriais atuais podem confiar com segurança em uma combinação de rede passiva, coleta remota e monitoramento sem fio, bem como em técnicas ativas de sondagem e segurança de endpoint. A plataforma Nozomi Networks oferece esse espectro completo de métodos para fornecer visibilidade contínua de todos os seus ativos e seus níveis de risco, mesmo quando eles não estão se comunicando ativamente.
A consulta ativa é uma técnica não invasiva e sem agente que pode ser usada para coletar informações detalhadas não disponíveis em sensores passivos para ativos específicos de interesse, incluindo dispositivos OTIoT incorporados. Referida como Smart Polling na plataforma Nozomi Networks , ela interroga os dispositivos com base no conhecimento de seus protocolos, aproveitando mensagens e instruções especiais para retornar informações úteis sem afetar a estabilidade do dispositivo.
Smart Polling pode ser usado para:
Na segurança de TI, os agentes de endpoint são onipresentes para proteção antivírus e aplicação de patches. Infelizmente, as experiências negativas com a implantação de agentes voltados para TI em dispositivos OT levaram à escassa adoção do tão necessário monitoramento de endpoints. As soluções tradicionais de monitoramento de rede ICS monitoram o tráfego Norte-Sul entre os níveis de Purdue ou firewalls, mas as comunicações Leste-Oeste entre dispositivos dentro de uma zona, especialmente nos níveis mais baixos de Purdue, há muito tempo são um ponto cego. Além disso, o monitoramento de endpoints é a única maneira de correlacionar a atividade do usuário e os eventos à medida que eles acontecem.
Na OT, ataques mal-intencionados envolvendo roubo de credenciais e outros comportamentos mal-intencionados certamente ocorrem, mas muitas ameaças envolvem erros inadvertidos cometidos por funcionários ou técnicos terceirizados autorizados que entram e saem, geralmente de forma remota. Sem a segurança do endpoint, não há como saber quem está se conectando, quando e o que está fazendo até que seus comandos sejam executados na rede. Isso é tarde demais.
Lançado em 2023, Nozomi Arc é um agente de segurança seguro e sem interrupções, criado especificamente para proteger os requisitos exclusivos de alta disponibilidade dos endpoints OT . Por exemplo, ele não opera no nível do kernel do sistema operacional do host, nunca reinicializa as máquinas e consome poucos recursos do sistema.
O monitoramento passivo da rede é o padrão para o inventário de ativos, bem como para a detecção de ameaças e anomalias em ambientes industriais, principalmente devido à sua natureza sensível e à sua criticidade. Isso é agravado pela forte dependência de sistemas legados com protocolos inseguros e proprietários que a varredura ativa poderia explorar. Os sistemas OT geralmente compreendem uma infraestrutura crítica, controlando processos que podem afetar a segurança, a proteção e o fornecimento de serviços essenciais. O monitoramento passivo permite a visibilidade sem nenhuma interferência, ao passo que as técnicas de varredura e sondagem ativas, comuns em ambientes de TI, podem ser prejudiciais, podendo levar a falhas operacionais ou riscos à segurança.
As ferramentas passivas de monitoramento de redes industriais funcionam conectadas a uma porta SPAN ou espelho de um switch ou roteador e observam as comunicações da rede. A Nozomi Guardian observa passivamente o tráfego da rede local para fornecer visibilidade e monitoramento abrangentes dos ativos OT e IoT sem usar nenhum agente ou interrogação para identificar dispositivos. Ele monitora continuamente a atividade para descobrir novos ativos que se comunicam na rede, fornece visualizações de rede para solução de problemas e pesquisa, identifica vulnerabilidades críticas e detecta ameaças à segurança cibernética e problemas operacionais.
Especificamente, os sensores Guardian usam a inspeção passiva de pacotes profundos para descobrir automaticamente, em tempo real, a rede industrial, incluindo seus componentes, conexões e topologia. Em seguida, seu recurso de aprendizado avançado cria perfis específicos para cada ICS e usa a análise comportamental para monitorar atividades anômalas, suspeitas e mal-intencionadas. O resultado é a detecção rápida de ataques cibernéticos e anomalias críticas de processos.
Os coletores remotos são outra forma de monitoramento passivo projetado para cobrir locais de difícil acesso e não tripulados. Esses sensores pequenos e com poucos recursos funcionam em conjunto com os sensores de rede para capturar dados de locais selvagens, offshore e outros locais remotos e distribuídos (como uma subestação elétrica ou uma planta menor em um campus maior) onde um sensor de rede não é econômico ou prático. ORemote Collector Nozomi Networks captura, desduplica, comprime e criptografa esse tráfego antes de enviá-lo a um sensor Guardian associado para processamento.
Os sensores sem fio são outra forma de monitoramento passivo que deve ser aproveitada em ambientes industriais, onde a tecnologia sem fio é agora comum. É difícil detectar ameaças específicas da tecnologia sem fio, como ataques de força bruta, spoofing e bluejacking, e é ainda mais difícil determinar a localização dos dispositivos que realizam os ataques.
Além de WiFi e Bluetooth, as redes de controle de processos dependem de protocolos sem fio especializados, projetados para facilitar a comunicação confiável entre sensores e controladores com baixo consumo de energia. Esses protocolos desempenham um papel fundamental na coleta, concatenação e transmissão de dados que permitem a operação e a vigilância do sistema. Por exemplo, o padrão IEEE 802.15.4 é usado em edifícios inteligentes para o monitoramento em tempo real de sistemas HVAC e de iluminação e na agricultura para o controle do sistema de irrigação sem fio a fim de otimizar o rendimento das colheitas.
O Guardian Air é o primeiro sensor de segurança sem fio do setor criado especificamente para ambientes OT e IoT , proporcionando visibilidade dos ativos sem fio - tudo, desde termostatos a robôs e drones - que até agora só eram detectados quando conectados a uma rede com fio. Ele monitora continuamente as tecnologias de espectro sem fio que operam entre 800 MHz e 5895 MHz (WiFi, Bluetooth, IEEE802.15.4, LoRaWAN, Zwave, celular e drones) e detecta e localiza ameaças por meio de triangulação para permitir uma resposta mais rápida.
Os sensores de rede são ferramentas de trabalho cibernético. Mas sempre haverá dezenas de cenários em que a adição de um sensor de rede não é viável ou em que são necessários detalhes adicionais para entender e solucionar problemas em seu ambiente. Os ambientes industriais atuais podem confiar com segurança em uma combinação de rede passiva, coleta remota e monitoramento sem fio, bem como em técnicas ativas de sondagem e segurança de endpoint. A plataforma Nozomi Networks oferece esse espectro completo de métodos para fornecer visibilidade contínua de todos os seus ativos e seus níveis de risco, mesmo quando eles não estão se comunicando ativamente.
A consulta ativa é uma técnica não invasiva e sem agente que pode ser usada para coletar informações detalhadas não disponíveis em sensores passivos para ativos específicos de interesse, incluindo dispositivos OTIoT incorporados. Referida como Smart Polling na plataforma Nozomi Networks , ela interroga os dispositivos com base no conhecimento de seus protocolos, aproveitando mensagens e instruções especiais para retornar informações úteis sem afetar a estabilidade do dispositivo.
Smart Polling pode ser usado para:
Na segurança de TI, os agentes de endpoint são onipresentes para proteção antivírus e aplicação de patches. Infelizmente, as experiências negativas com a implantação de agentes voltados para TI em dispositivos OT levaram à escassa adoção do tão necessário monitoramento de endpoints. As soluções tradicionais de monitoramento de rede ICS monitoram o tráfego Norte-Sul entre os níveis de Purdue ou firewalls, mas as comunicações Leste-Oeste entre dispositivos dentro de uma zona, especialmente nos níveis mais baixos de Purdue, há muito tempo são um ponto cego. Além disso, o monitoramento de endpoints é a única maneira de correlacionar a atividade do usuário e os eventos à medida que eles acontecem.
Na OT, ataques mal-intencionados envolvendo roubo de credenciais e outros comportamentos mal-intencionados certamente ocorrem, mas muitas ameaças envolvem erros inadvertidos cometidos por funcionários ou técnicos terceirizados autorizados que entram e saem, geralmente de forma remota. Sem a segurança do endpoint, não há como saber quem está se conectando, quando e o que está fazendo até que seus comandos sejam executados na rede. Isso é tarde demais.
Lançado em 2023, Nozomi Arc é um agente de segurança seguro e sem interrupções, criado especificamente para proteger os requisitos exclusivos de alta disponibilidade dos endpoints OT . Por exemplo, ele não opera no nível do kernel do sistema operacional do host, nunca reinicializa as máquinas e consome poucos recursos do sistema.
