Os agentes de segurança de endpoints de TI não funcionam em OT porque são pesados e perturbadores, não conseguem entender os protocolos de IoT e não são treinados em ambientes OT , portanto, detectam as ameaças erradas.
Os agentes de segurança de endpoint são uma parte padrão das implementações de segurança de TI, não apenas em computadores desktop, laptops e impressoras, mas também na explosão de dispositivos remotos e de IoT . Eles são essenciais para a proteção antivírus e a aplicação de patches. Infelizmente, experiências negativas com a implementação de agentes focados em TI em dispositivos OT levaram a uma adoção escassa do tão necessário monitoramento de endpoints.
Aqui estão alguns dos principais motivos pelos quais os agentes de endpoint tradicionais não são suficientes em ambientes industriais:
Muitos dispositivos e controladores OT têm potência de computação e memória limitadas, projetadas para executar tarefas específicas. Até mesmo os agentes antivírus padrão consomem muitos recursos. As soluções de segurança de endpoint de TI também costumam exigir a reinicialização do sistema após a instalação, o que significa tempo de inatividade.
Os sistemas tradicionais de varredura de vulnerabilidades e prevenção de intrusões são projetados para detectar ameaças de TI usando modelos heurísticos e de aprendizado de máquina treinados em ambientes de TI. Eles não procuram ameaças industriais, não entendem os protocolos de comunicação industrial e não reconhecem as linhas de base de OT . Por exemplo, embora as soluções antivírus ofereçam visibilidade das estações de trabalho, elas não podem fornecer informações sobre os controladores e atuadores industriais. Algumas das consequências incluem deixar o hardware de engenharia sem resposta, sinalizar como maliciosos os protocolos de segurança legítimos ou os comandos do sistema de controle, interromper um processo ou excluir um aplicativo essencial que ele percebe como malware.
Ao causar interrupções maciças em todo o mundo em dispositivos Windows em 19 de julho de 2024, a agora notória atualização de conteúdo defeituoso do sensor de endpoint Falcon da CrowdStrike deixou as partes interessadas em OT ainda mais desconfiadas quanto à implantação de agentes em ambientes industriais.
Esse incidente destaca a importância de garantir que os agentes de segurança de endpoint criados para proteger os requisitos exclusivos de alta disponibilidade dos ambientes OT sejam seguros e não causem interrupções.
Lançado em 2023, Nozomi Arc não opera no nível do kernel do sistema operacional do host, nunca reinicializa suas máquinas e consome poucos recursos do sistema.
Nozomi Arc é um agente de segurança seguro e sem interrupções, criado especificamente para proteger os requisitos exclusivos de alta disponibilidade dos endpoints OT . Ele esclarece áreas do seu ambiente que antes eram inalcançáveis e não monitoradas, onde os sensores de rede não são práticos ou são insuficientes para detectar o tráfego Leste-Oeste, portas USB, arquivos de registro, tráfego de rede local e atividade do usuário.
Os benefícios incluem:
Suponha que o monitoramento de rede seja um exagero para o seu ambiente, mas você ainda tem ativos essenciais a proteger. Os sensores de endpoint permitem que você implante agentes somente nesses ativos, para monitorar o que é mais importante. Eles podem ser instalados em centenas de endpoints importantes com apenas alguns cliques e sem reinicialização.
Suponha quevocê tenha uma subestação remota onde os switches só podem ser reconfigurados durante uma interrupção anual de uma hora - em fevereiro próximo. Ou talvez você esteja lidando com um switch de linha de 12 anos sem portas livres. Novamente, basta instalar sensores de endpoint sem reinicialização.
Os navios de carga são os principais candidatos a sensores de endpoint. Eles dependem de satélites para conectividade, e é quase impossível implantar cabeamento.
Digamos que você queira apenas monitorar o técnico contratado enquanto ele estiver conectado. Você pode instalar um sensor de endpoint para monitorar a máquina à qual ele está conectado e configurá-lo para se excluir quando ele se desconectar.
Nozomi Arc coleta dados localmente, mesmo quando o dispositivo host não está enviando ou recebendo tráfego, e os envia quando o usuário se conecta à rede. Essa é uma ótima maneira de obter trilhas de auditoria detalhadas dos dispositivos de campo e dos funcionários móveis.
Os agentes de segurança de endpoints de TI não funcionam em OT porque são pesados e perturbadores, não conseguem entender os protocolos de IoT e não são treinados em ambientes OT , portanto, detectam as ameaças erradas.
Os agentes de segurança de endpoint são uma parte padrão das implementações de segurança de TI, não apenas em computadores desktop, laptops e impressoras, mas também na explosão de dispositivos remotos e de IoT . Eles são essenciais para a proteção antivírus e a aplicação de patches. Infelizmente, experiências negativas com a implementação de agentes focados em TI em dispositivos OT levaram a uma adoção escassa do tão necessário monitoramento de endpoints.
Aqui estão alguns dos principais motivos pelos quais os agentes de endpoint tradicionais não são suficientes em ambientes industriais:
Muitos dispositivos e controladores OT têm potência de computação e memória limitadas, projetadas para executar tarefas específicas. Até mesmo os agentes antivírus padrão consomem muitos recursos. As soluções de segurança de endpoint de TI também costumam exigir a reinicialização do sistema após a instalação, o que significa tempo de inatividade.
Os sistemas tradicionais de varredura de vulnerabilidades e prevenção de intrusões são projetados para detectar ameaças de TI usando modelos heurísticos e de aprendizado de máquina treinados em ambientes de TI. Eles não procuram ameaças industriais, não entendem os protocolos de comunicação industrial e não reconhecem as linhas de base de OT . Por exemplo, embora as soluções antivírus ofereçam visibilidade das estações de trabalho, elas não podem fornecer informações sobre os controladores e atuadores industriais. Algumas das consequências incluem deixar o hardware de engenharia sem resposta, sinalizar como maliciosos os protocolos de segurança legítimos ou os comandos do sistema de controle, interromper um processo ou excluir um aplicativo essencial que ele percebe como malware.
Ao causar interrupções maciças em todo o mundo em dispositivos Windows em 19 de julho de 2024, a agora notória atualização de conteúdo defeituoso do sensor de endpoint Falcon da CrowdStrike deixou as partes interessadas em OT ainda mais desconfiadas quanto à implantação de agentes em ambientes industriais.
Esse incidente destaca a importância de garantir que os agentes de segurança de endpoint criados para proteger os requisitos exclusivos de alta disponibilidade dos ambientes OT sejam seguros e não causem interrupções.
Lançado em 2023, Nozomi Arc não opera no nível do kernel do sistema operacional do host, nunca reinicializa suas máquinas e consome poucos recursos do sistema.
Nozomi Arc é um agente de segurança seguro e sem interrupções, criado especificamente para proteger os requisitos exclusivos de alta disponibilidade dos endpoints OT . Ele esclarece áreas do seu ambiente que antes eram inalcançáveis e não monitoradas, onde os sensores de rede não são práticos ou são insuficientes para detectar o tráfego Leste-Oeste, portas USB, arquivos de registro, tráfego de rede local e atividade do usuário.
Os benefícios incluem:
Suponha que o monitoramento de rede seja um exagero para o seu ambiente, mas você ainda tem ativos essenciais a proteger. Os sensores de endpoint permitem que você implante agentes somente nesses ativos, para monitorar o que é mais importante. Eles podem ser instalados em centenas de endpoints importantes com apenas alguns cliques e sem reinicialização.
Suponha quevocê tenha uma subestação remota onde os switches só podem ser reconfigurados durante uma interrupção anual de uma hora - em fevereiro próximo. Ou talvez você esteja lidando com um switch de linha de 12 anos sem portas livres. Novamente, basta instalar sensores de endpoint sem reinicialização.
Os navios de carga são os principais candidatos a sensores de endpoint. Eles dependem de satélites para conectividade, e é quase impossível implantar cabeamento.
Digamos que você queira apenas monitorar o técnico contratado enquanto ele estiver conectado. Você pode instalar um sensor de endpoint para monitorar a máquina à qual ele está conectado e configurá-lo para se excluir quando ele se desconectar.
Nozomi Arc coleta dados localmente, mesmo quando o dispositivo host não está enviando ou recebendo tráfego, e os envia quando o usuário se conecta à rede. Essa é uma ótima maneira de obter trilhas de auditoria detalhadas dos dispositivos de campo e dos funcionários móveis.