Démonstration en direct : La plateforme Nozomi Networks en 15 minutes
Regarder
La plus grande différence entre la sécurité informatique et la sécurité OT réside peut-être dans le fait que, dans les environnements industriels, nous devons prendre en compte à la fois le risque cybernétique et le risque opérationnel, y compris le risque lié aux processus. En fait, les anomalies opérationnelles non liées à une cybermenace sont beaucoup plus fréquentes.
Dans les environnements industriels, en particulier les infrastructures critiques, les cyberattaques à grande échelle font les gros titres, mais ce sont des choses comme les dysfonctionnements des équipements, les mauvaises configurations, les pics d'utilisation des ressources et les déviations de processus dangereux qui sont beaucoup plus susceptibles de menacer la production, voire pire. Par exemple, dans une usine chimique, une alarme peut être déclenchée si un capteur de pression détecte des valeurs en dehors des seuils de sécurité, ce qui entraîne un arrêt immédiat pour éviter une explosion. Jusqu'à ce qu'une enquête soit menée, cela pourrait indiquer qu'un acteur malveillant a modifié la valeur, ou qu'il s'agit d'une erreur de l'opérateur. Dans les deux cas, la menace est réelle. Les opérateurs et les gestionnaires doivent être en mesure de détecter les menaces et les anomalies - intrusions, comportements indésirables et pannes d'équipement - et de réagir rapidement.
En règle générale, une anomalie est tout ce qui s'écarte des performances ou de l'apparence de base. Dans le secteur de la fabrication et dans d'autres environnements industriels, il peut s'agir de valeurs de processus instables, de mesures de processus incorrectes et de mauvaises configurations susceptibles d'entraîner des dysfonctionnements ou des temps d'arrêt. C'est pourquoi une usine pharmaceutique surveille généralement les communications entre les systèmes de contrôle et les appareils de terrain afin de détecter les lectures ou commandes anormales susceptibles de perturber la production ou les protocoles de sécurité et de garantir la qualité des lots. Ces anomalies de processus peuvent également indiquer une cybermenace.
Pour garantir la sécurité, la fiabilité et la haute disponibilité, les environnements industriels ont besoin d'une surveillance complète des risques qui combine la détection des menaces basée sur des règles et la détection des anomalies basée sur le comportement.
La détection basée sur des règles est efficace pour détecter les menaces dont les indicateurs sont facilement observables et identifiables. Cette méthode peut également être utilisée pour détecter des anomalies connues et non malveillantes, telles que des pics d'utilisation des ressources ou une augmentation inattendue du trafic.
Sous-ensemble de la détection basée sur des règles, la détection basée sur des signatures est un moyen rapide et efficace de détecter les activités malveillantes ou les accès non autorisés dans le trafic réseau. Elle s'appuie sur des règles ou des conditions prédéfinies pour identifier des modèles d'attaque uniques et connus dans le trafic réseau - les signatures - et les comparer à une base de données de menaces connues. Chaque signature comprend des indicateurs de compromission (IOC) tels que des noms de fichiers, des hashtags, des URL et des adresses IP. Bien qu'efficace, la détection basée sur les signatures ne fonctionne que pour les menaces connues (telles que les CVE documentés) et seulement si les indicateurs sont facilement observables et identifiables comme une correspondance potentielle.
Pour identifier les logiciels malveillants connus, les méthodes de détection basées sur les signatures utilisent les règles YARA et les règles de paquets pour faire correspondre les signatures de fichiers et de paquets, respectivement, et lancer une alerte lorsqu'une correspondance est détectée.
Les anomalies opérationnelles - ainsi que les menaces inconnues, y compris les jours zéro - ne peuvent pas être détectées à l'aide de règles. La meilleure façon de les détecter est de procéder à une surveillance continue en utilisant l'inspection approfondie des paquets (DPI) pour lire les protocoles industriels dans le trafic réseau et comparer le comportement actuel à une base de référence.
Les réseaux ICS sont relativement statiques par rapport aux réseaux d'entreprise, où des dispositifs sont constamment ajoutés et supprimés, de sorte qu'il est beaucoup plus facile d'établir des lignes de base précises et de reconnaître les écarts par rapport à celles-ci. Cependant, cela ne peut se faire sans un apprentissage automatique sophistiqué pour apprendre le comportement normal des variables de processus collectées à partir du trafic réseau. Une fois les lignes de base établies, la détection des anomalies basée sur le comportement peut être utilisée pour signaler les modèles de trafic en dehors des seuils fixés, ainsi que les lectures de capteurs et les paramètres de flux anormaux.
La plateforme de Nozomi Networks possède le moteur de détection le plus sophistiqué disponible pour les environnements IoT . Il combine des techniques basées sur des règles et sur le comportement pour détecter et limiter l'impact de chaque menace dans votre environnement, des pics de ressources aux jours zéro en passant par les techniques de survie qui échappent souvent aux approches basées sur les signatures, sans submerger les analystes et les opérateurs avec des faux positifs.
Pour détecter les menaces connues, le système Nozomi Threat Intelligence feed fournit des recherches et des analyses agrégées sur les menaces, ainsi que des informations détaillées sur les indicateurs de menaces, notamment les règles YARA, les règles de paquets, les indicateurs STIX, les définitions de menaces, une base de connaissances sur les menaces et les signatures de vulnérabilités. Nos capteurs et notre plateforme sont continuellement mis à jour avec les derniers logiciels malveillants émergents et les CIO spécifiques aux processus industriels et aux appareils IoT . Cela inclut notre propre recherche OTIoT ainsi que l'intégration avec le catalogue des vulnérabilités exploitées connues de CISA , la matrice ATT&CK® de MITRE pour les mappages ICS et les threat intelligence Mandiant.
Pour détecter les anomalies, la plateforme de Nozomi Networks s'appuie sur l'apprentissage automatique pour apprendre les modèles de communication de votre réseau industriel et établir une base de comportement normal. Elle surveille ensuite en permanence votre environnement afin d'identifier tout changement dans la communication ou les valeurs des variables de processus qui pourrait indiquer la présence d'une cybermenace ou d'un risque pour la fiabilité.
Plus précisément, nos capteurs utilisent l'IAP pour analyser plus de 250 protocoles industriels et fournir les données granulaires nécessaires à une analyse comportementale solide. Grâce à cette méthode, nous pouvons extraire des informations détaillées sur les actifs, telles que la marque, le modèle, le numéro de série et la version du firmware/OS des appareils, y compris les contrôleurs industriels, les stations de travail et les serveurs. Nos capteurs peuvent détecter :
La plus grande différence entre la sécurité informatique et la sécurité OT réside peut-être dans le fait que, dans les environnements industriels, nous devons prendre en compte à la fois le risque cybernétique et le risque opérationnel, y compris le risque lié aux processus. En fait, les anomalies opérationnelles non liées à une cybermenace sont beaucoup plus fréquentes.
Dans les environnements industriels, en particulier les infrastructures critiques, les cyberattaques à grande échelle font les gros titres, mais ce sont des choses comme les dysfonctionnements des équipements, les mauvaises configurations, les pics d'utilisation des ressources et les déviations de processus dangereux qui sont beaucoup plus susceptibles de menacer la production, voire pire. Par exemple, dans une usine chimique, une alarme peut être déclenchée si un capteur de pression détecte des valeurs en dehors des seuils de sécurité, ce qui entraîne un arrêt immédiat pour éviter une explosion. Jusqu'à ce qu'une enquête soit menée, cela pourrait indiquer qu'un acteur malveillant a modifié la valeur, ou qu'il s'agit d'une erreur de l'opérateur. Dans les deux cas, la menace est réelle. Les opérateurs et les gestionnaires doivent être en mesure de détecter les menaces et les anomalies - intrusions, comportements indésirables et pannes d'équipement - et de réagir rapidement.
En règle générale, une anomalie est tout ce qui s'écarte des performances ou de l'apparence de base. Dans le secteur de la fabrication et dans d'autres environnements industriels, il peut s'agir de valeurs de processus instables, de mesures de processus incorrectes et de mauvaises configurations susceptibles d'entraîner des dysfonctionnements ou des temps d'arrêt. C'est pourquoi une usine pharmaceutique surveille généralement les communications entre les systèmes de contrôle et les appareils de terrain afin de détecter les lectures ou commandes anormales susceptibles de perturber la production ou les protocoles de sécurité et de garantir la qualité des lots. Ces anomalies de processus peuvent également indiquer une cybermenace.
Pour garantir la sécurité, la fiabilité et la haute disponibilité, les environnements industriels ont besoin d'une surveillance complète des risques qui combine la détection des menaces basée sur des règles et la détection des anomalies basée sur le comportement.
La détection basée sur des règles est efficace pour détecter les menaces dont les indicateurs sont facilement observables et identifiables. Cette méthode peut également être utilisée pour détecter des anomalies connues et non malveillantes, telles que des pics d'utilisation des ressources ou une augmentation inattendue du trafic.
Sous-ensemble de la détection basée sur des règles, la détection basée sur des signatures est un moyen rapide et efficace de détecter les activités malveillantes ou les accès non autorisés dans le trafic réseau. Elle s'appuie sur des règles ou des conditions prédéfinies pour identifier des modèles d'attaque uniques et connus dans le trafic réseau - les signatures - et les comparer à une base de données de menaces connues. Chaque signature comprend des indicateurs de compromission (IOC) tels que des noms de fichiers, des hashtags, des URL et des adresses IP. Bien qu'efficace, la détection basée sur les signatures ne fonctionne que pour les menaces connues (telles que les CVE documentés) et seulement si les indicateurs sont facilement observables et identifiables comme une correspondance potentielle.
Pour identifier les logiciels malveillants connus, les méthodes de détection basées sur les signatures utilisent les règles YARA et les règles de paquets pour faire correspondre les signatures de fichiers et de paquets, respectivement, et lancer une alerte lorsqu'une correspondance est détectée.
Les anomalies opérationnelles - ainsi que les menaces inconnues, y compris les jours zéro - ne peuvent pas être détectées à l'aide de règles. La meilleure façon de les détecter est de procéder à une surveillance continue en utilisant l'inspection approfondie des paquets (DPI) pour lire les protocoles industriels dans le trafic réseau et comparer le comportement actuel à une base de référence.
Les réseaux ICS sont relativement statiques par rapport aux réseaux d'entreprise, où des dispositifs sont constamment ajoutés et supprimés, de sorte qu'il est beaucoup plus facile d'établir des lignes de base précises et de reconnaître les écarts par rapport à celles-ci. Cependant, cela ne peut se faire sans un apprentissage automatique sophistiqué pour apprendre le comportement normal des variables de processus collectées à partir du trafic réseau. Une fois les lignes de base établies, la détection des anomalies basée sur le comportement peut être utilisée pour signaler les modèles de trafic en dehors des seuils fixés, ainsi que les lectures de capteurs et les paramètres de flux anormaux.
La plateforme de Nozomi Networks possède le moteur de détection le plus sophistiqué disponible pour les environnements IoT . Il combine des techniques basées sur des règles et sur le comportement pour détecter et limiter l'impact de chaque menace dans votre environnement, des pics de ressources aux jours zéro en passant par les techniques de survie qui échappent souvent aux approches basées sur les signatures, sans submerger les analystes et les opérateurs avec des faux positifs.
Pour détecter les menaces connues, le système Nozomi Threat Intelligence feed fournit des recherches et des analyses agrégées sur les menaces, ainsi que des informations détaillées sur les indicateurs de menaces, notamment les règles YARA, les règles de paquets, les indicateurs STIX, les définitions de menaces, une base de connaissances sur les menaces et les signatures de vulnérabilités. Nos capteurs et notre plateforme sont continuellement mis à jour avec les derniers logiciels malveillants émergents et les CIO spécifiques aux processus industriels et aux appareils IoT . Cela inclut notre propre recherche OTIoT ainsi que l'intégration avec le catalogue des vulnérabilités exploitées connues de CISA , la matrice ATT&CK® de MITRE pour les mappages ICS et les threat intelligence Mandiant.
Pour détecter les anomalies, la plateforme de Nozomi Networks s'appuie sur l'apprentissage automatique pour apprendre les modèles de communication de votre réseau industriel et établir une base de comportement normal. Elle surveille ensuite en permanence votre environnement afin d'identifier tout changement dans la communication ou les valeurs des variables de processus qui pourrait indiquer la présence d'une cybermenace ou d'un risque pour la fiabilité.
Plus précisément, nos capteurs utilisent l'IAP pour analyser plus de 250 protocoles industriels et fournir les données granulaires nécessaires à une analyse comportementale solide. Grâce à cette méthode, nous pouvons extraire des informations détaillées sur les actifs, telles que la marque, le modèle, le numéro de série et la version du firmware/OS des appareils, y compris les contrôleurs industriels, les stations de travail et les serveurs. Nos capteurs peuvent détecter :
