PERGUNTAS FREQUENTES SOBRE SEGURANÇA CIBERNÉTICA

Por que os agentes de segurança de endpoint de TI não trabalham em OT?

Perguntas frequentes sobre CYBERSECURITY

Por que os agentes de segurança de endpoint de TI não trabalham em OT?

Os agentes de segurança de endpoints de TI não funcionam em OT porque são pesados e perturbadores, não conseguem entender os protocolos de IoT e não são treinados em ambientes OT , portanto, detectam as ameaças erradas.

Os agentes de segurança de endpoint são uma parte padrão das implementações de segurança de TI, não apenas em computadores desktop, laptops e impressoras, mas também na explosão de dispositivos remotos e de IoT . Eles são essenciais para a proteção antivírus e a aplicação de patches. Infelizmente, experiências negativas com a implementação de agentes focados em TI em dispositivos OT levaram a uma adoção escassa do tão necessário monitoramento de endpoints.

Aqui estão alguns dos principais motivos pelos quais os agentes de endpoint tradicionais não são suficientes em ambientes industriais:

1. Pesado e perturbador

Muitos dispositivos e controladores OT têm potência de computação e memória limitadas, projetadas para executar tarefas específicas. Até mesmo os agentes antivírus padrão consomem muitos recursos. As soluções de segurança de endpoint de TI também costumam exigir a reinicialização do sistema após a instalação, o que significa tempo de inatividade.

2. Ameaças erradas

Os sistemas tradicionais de varredura de vulnerabilidades e prevenção de intrusões são projetados para detectar ameaças de TI usando modelos heurísticos e de aprendizado de máquina treinados em ambientes de TI. Eles não procuram ameaças industriais, não entendem os protocolos de comunicação industrial e não reconhecem as linhas de base de OT . Por exemplo, embora as soluções antivírus ofereçam visibilidade das estações de trabalho, elas não podem fornecer informações sobre os controladores e atuadores industriais. Algumas das consequências incluem deixar o hardware de engenharia sem resposta, sinalizar como maliciosos os protocolos de segurança legítimos ou os comandos do sistema de controle, interromper um processo ou excluir um aplicativo essencial que ele percebe como malware.

3. Acesso no nível do kernel

Ao causar interrupções maciças em todo o mundo em dispositivos Windows em 19 de julho de 2024, a agora notória atualização de conteúdo defeituoso do sensor de endpoint Falcon da CrowdStrike deixou as partes interessadas em OT ainda mais desconfiadas quanto à implantação de agentes em ambientes industriais.

Esse incidente destaca a importância de garantir que os agentes de segurança de endpoint criados para proteger os requisitos exclusivos de alta disponibilidade dos ambientes OT sejam seguros e não causem interrupções.

Lançado em 2023, Nozomi Arc não opera no nível do kernel do sistema operacional do host, nunca reinicializa suas máquinas e consome poucos recursos do sistema.

Segurança de endpoint segura e eficaz para dispositivos OT

Nozomi Arc é um agente de segurança seguro e sem interrupções, criado especificamente para proteger os requisitos exclusivos de alta disponibilidade dos endpoints OT . Ele esclarece áreas do seu ambiente que antes eram inalcançáveis e não monitoradas, onde os sensores de rede não são práticos ou são insuficientes para detectar o tráfego Leste-Oeste, portas USB, arquivos de registro, tráfego de rede local e atividade do usuário. 

Os benefícios incluem:

  • Fornece dados detalhados, incluindo tipo de dispositivo, fornecedor, versão do sistema operacional ou do firmware, número de série, endereços IP e Mac, nós, zonas, protocolos usados, contas ativas e atividades suspeitas de usuários.
  • Detecta ameaças, como laptops de terceiros infectados. Erros do operador, ameaças internas maliciosas e credenciais roubadas
  • Analisa padrões de eventos em arquivos de registro de host usando regras SIGMA e identifica eventos em andamento envolvendo malware, roubo de credenciais, download de scripts e muito mais. Esse contexto é útil tanto para operadores quanto para analistas de segurança.
  • Fornece aos operadores informações de solução de problemas que eles nunca tiveram, o que contribui muito para a construção e a confiança. Com os sensores de endpoint, eles podem ver não apenas alterações de configuração e anomalias, mas também quem está conectado a um dispositivo, com quais outros dispositivos ele está se comunicando e quais protocolos está usando.

Principais casos de uso dos sensores de endpoint de OT

1. Implementação estratégica nas joias da coroa

Suponha que o monitoramento de rede seja um exagero para o seu ambiente, mas você ainda tem ativos essenciais a proteger. Os sensores de endpoint permitem que você implante agentes somente nesses ativos, para monitorar o que é mais importante. Eles podem ser instalados em centenas de endpoints importantes com apenas alguns cliques e sem reinicialização.

2. Implementação mais rápida e sem complicações

Suponha quevocê tenha uma subestação remota onde os switches só podem ser reconfigurados durante uma interrupção anual de uma hora - em fevereiro próximo. Ou talvez você esteja lidando com um switch de linha de 12 anos sem portas livres. Novamente, basta instalar sensores de endpoint sem reinicialização.

3. Rede de baixa largura de banda e alta latência

Os navios de carga são os principais candidatos a sensores de endpoint. Eles dependem de satélites para conectividade, e é quase impossível implantar cabeamento.

4. Monitoramento único ou de curto prazo

Digamos que você queira apenas monitorar o técnico contratado enquanto ele estiver conectado. Você pode instalar um sensor de endpoint para monitorar a máquina à qual ele está conectado e configurá-lo para se excluir quando ele se desconectar.

5. Monitoramento de dispositivos off-line

Nozomi Arc coleta dados localmente, mesmo quando o dispositivo host não está enviando ou recebendo tráfego, e os envia quando o usuário se conecta à rede. Essa é uma ótima maneira de obter trilhas de auditoria detalhadas dos dispositivos de campo e dos funcionários móveis.

Os agentes de segurança de endpoints de TI não funcionam em OT porque são pesados e perturbadores, não conseguem entender os protocolos de IoT e não são treinados em ambientes OT , portanto, detectam as ameaças erradas.

Os agentes de segurança de endpoint são uma parte padrão das implementações de segurança de TI, não apenas em computadores desktop, laptops e impressoras, mas também na explosão de dispositivos remotos e de IoT . Eles são essenciais para a proteção antivírus e a aplicação de patches. Infelizmente, experiências negativas com a implementação de agentes focados em TI em dispositivos OT levaram a uma adoção escassa do tão necessário monitoramento de endpoints.

Aqui estão alguns dos principais motivos pelos quais os agentes de endpoint tradicionais não são suficientes em ambientes industriais:

1. Pesado e perturbador

Muitos dispositivos e controladores OT têm potência de computação e memória limitadas, projetadas para executar tarefas específicas. Até mesmo os agentes antivírus padrão consomem muitos recursos. As soluções de segurança de endpoint de TI também costumam exigir a reinicialização do sistema após a instalação, o que significa tempo de inatividade.

2. Ameaças erradas

Os sistemas tradicionais de varredura de vulnerabilidades e prevenção de intrusões são projetados para detectar ameaças de TI usando modelos heurísticos e de aprendizado de máquina treinados em ambientes de TI. Eles não procuram ameaças industriais, não entendem os protocolos de comunicação industrial e não reconhecem as linhas de base de OT . Por exemplo, embora as soluções antivírus ofereçam visibilidade das estações de trabalho, elas não podem fornecer informações sobre os controladores e atuadores industriais. Algumas das consequências incluem deixar o hardware de engenharia sem resposta, sinalizar como maliciosos os protocolos de segurança legítimos ou os comandos do sistema de controle, interromper um processo ou excluir um aplicativo essencial que ele percebe como malware.

3. Acesso no nível do kernel

Ao causar interrupções maciças em todo o mundo em dispositivos Windows em 19 de julho de 2024, a agora notória atualização de conteúdo defeituoso do sensor de endpoint Falcon da CrowdStrike deixou as partes interessadas em OT ainda mais desconfiadas quanto à implantação de agentes em ambientes industriais.

Esse incidente destaca a importância de garantir que os agentes de segurança de endpoint criados para proteger os requisitos exclusivos de alta disponibilidade dos ambientes OT sejam seguros e não causem interrupções.

Lançado em 2023, Nozomi Arc não opera no nível do kernel do sistema operacional do host, nunca reinicializa suas máquinas e consome poucos recursos do sistema.

Segurança de endpoint segura e eficaz para dispositivos OT

Nozomi Arc é um agente de segurança seguro e sem interrupções, criado especificamente para proteger os requisitos exclusivos de alta disponibilidade dos endpoints OT . Ele esclarece áreas do seu ambiente que antes eram inalcançáveis e não monitoradas, onde os sensores de rede não são práticos ou são insuficientes para detectar o tráfego Leste-Oeste, portas USB, arquivos de registro, tráfego de rede local e atividade do usuário. 

Os benefícios incluem:

  • Fornece dados detalhados, incluindo tipo de dispositivo, fornecedor, versão do sistema operacional ou do firmware, número de série, endereços IP e Mac, nós, zonas, protocolos usados, contas ativas e atividades suspeitas de usuários.
  • Detecta ameaças, como laptops de terceiros infectados. Erros do operador, ameaças internas maliciosas e credenciais roubadas
  • Analisa padrões de eventos em arquivos de registro de host usando regras SIGMA e identifica eventos em andamento envolvendo malware, roubo de credenciais, download de scripts e muito mais. Esse contexto é útil tanto para operadores quanto para analistas de segurança.
  • Fornece aos operadores informações de solução de problemas que eles nunca tiveram, o que contribui muito para a construção e a confiança. Com os sensores de endpoint, eles podem ver não apenas alterações de configuração e anomalias, mas também quem está conectado a um dispositivo, com quais outros dispositivos ele está se comunicando e quais protocolos está usando.

Principais casos de uso dos sensores de endpoint de OT

1. Implementação estratégica nas joias da coroa

Suponha que o monitoramento de rede seja um exagero para o seu ambiente, mas você ainda tem ativos essenciais a proteger. Os sensores de endpoint permitem que você implante agentes somente nesses ativos, para monitorar o que é mais importante. Eles podem ser instalados em centenas de endpoints importantes com apenas alguns cliques e sem reinicialização.

2. Implementação mais rápida e sem complicações

Suponha quevocê tenha uma subestação remota onde os switches só podem ser reconfigurados durante uma interrupção anual de uma hora - em fevereiro próximo. Ou talvez você esteja lidando com um switch de linha de 12 anos sem portas livres. Novamente, basta instalar sensores de endpoint sem reinicialização.

3. Rede de baixa largura de banda e alta latência

Os navios de carga são os principais candidatos a sensores de endpoint. Eles dependem de satélites para conectividade, e é quase impossível implantar cabeamento.

4. Monitoramento único ou de curto prazo

Digamos que você queira apenas monitorar o técnico contratado enquanto ele estiver conectado. Você pode instalar um sensor de endpoint para monitorar a máquina à qual ele está conectado e configurá-lo para se excluir quando ele se desconectar.

5. Monitoramento de dispositivos off-line

Nozomi Arc coleta dados localmente, mesmo quando o dispositivo host não está enviando ou recebendo tráfego, e os envia quando o usuário se conecta à rede. Essa é uma ótima maneira de obter trilhas de auditoria detalhadas dos dispositivos de campo e dos funcionários móveis.

Voltar às perguntas frequentes