La surveillance passive des réseaux est la norme pour l'inventaire des actifs ainsi que pour la détection des menaces et des anomalies dans les environnements industriels, notamment en raison de leur nature sensible et de leur criticité. Cette situation est aggravée par une forte dépendance à l'égard des systèmes existants dont les protocoles propriétaires ne sont pas sécurisés et qu'un balayage actif pourrait potentiellement exploiter. Les systèmes OT comprennent souvent des infrastructures critiques, contrôlant des processus qui peuvent avoir un impact sur la sûreté, la sécurité et la fourniture de services essentiels. La surveillance passive permet une visibilité sans interférence, alors que les techniques de balayage et de sondage actives, courantes dans les environnements informatiques, peuvent être perturbatrices et entraîner des défaillances opérationnelles ou des risques pour la sécurité.
Les outils de surveillance passive des réseaux industriels fonctionnent en étant connectés à un port SPAN ou miroir d'un commutateur ou d'un routeur et en observant les communications du réseau. Les outils de surveillance des réseaux industriels passifs Nozomi Guardian observe passivement le trafic du réseau local pour fournir une visibilité et une surveillance complètes des actifs OT et IoT sans utiliser d'agents ou d'interrogations pour identifier les appareils. Il surveille en permanence l'activité pour découvrir de nouveaux actifs communiquant sur le réseau, fournir des visualisations de réseau pour le dépannage et la recherche, identifier les vulnérabilités critiques et détecter les menaces de cybersécurité et les problèmes opérationnels.
Plus précisément, les capteurs Guardian utilisent l'inspection passive des paquets pour découvrir automatiquement, en temps réel, le réseau industriel, y compris ses composants, ses connexions et sa topologie. Sa capacité d'apprentissage avancée établit ensuite des profils spécifiques à chaque ICS et utilise l'analyse comportementale pour surveiller les activités anormales, suspectes et malveillantes. Il en résulte une détection rapide des cyberattaques et des anomalies des processus critiques.
Les collecteurs à distance sont une autre forme de surveillance passive conçue pour couvrir les endroits difficiles d'accès et sans personnel. Il s'agit de petits capteurs à faibles ressources qui fonctionnent en conjonction avec des capteurs de réseau pour capturer des données provenant de zones sauvages, offshore et d'autres lieux éloignés et distribués (tels qu'une sous-station électrique ou une usine plus petite au sein d'un grand campus) où un capteur de réseau n'est pas rentable ou pratique. Lecollecteur à distance de Nozomi Networks capture, déduplique, compresse et crypte ce trafic avant de l'envoyer à un capteur Guardian associé pour traitement.
Les capteurs sans fil constituent une autre forme de surveillance passive qui devrait être exploitée dans les environnements industriels, où la technologie sans fil est désormais courante. Il est difficile de détecter les menaces spécifiques à la technologie sans fil, telles que les attaques par force brute, le spoofing et le bluejacking, et encore plus difficile de déterminer l'emplacement des appareils à l'origine des attaques.
Outre les protocoles WiFi et Bluetooth, les réseaux de contrôle des processus reposent sur des protocoles sans fil spécialisés conçus pour faciliter une communication fiable entre les capteurs et les contrôleurs avec une faible consommation d'énergie. Ces protocoles jouent un rôle crucial dans la collecte, la concaténation et la transmission des données qui permettent à la fois le fonctionnement et la surveillance du système. Par exemple, la norme IEEE 802.15.4 est utilisée dans les bâtiments intelligents pour la surveillance en temps réel des systèmes de chauffage, de ventilation et d'éclairage, et dans l'agriculture pour le contrôle sans fil des systèmes d'irrigation afin d'optimiser le rendement des cultures.
Le Guardian Air est le premier capteur de sécurité sans fil de l'industrie conçu spécialement pour les environnements OT et IoT , offrant une visibilité sur les actifs sans fil - des thermostats aux robots en passant par les drones - qui, jusqu'à présent, n'étaient détectés qu'une fois connectés à un réseau câblé. Il surveille en permanence les technologies du spectre sans fil fonctionnant entre 800 MHz et 5895 MHz (WiFi, Bluetooth, IEEE802.15.4, LoRaWAN, Zwave, cellulaires et drones) et détecte et localise les menaces par triangulation pour permettre une réponse plus rapide.
Les capteurs réseau sont des outils de travail cybernétiques. Mais il y aura toujours des dizaines de scénarios où l'ajout d'un capteur de réseau n'est pas possible ou des détails supplémentaires sont nécessaires pour comprendre et dépanner votre environnement. Les environnements industriels d'aujourd'hui peuvent s'appuyer en toute sécurité sur une combinaison de réseaux passifs, de collecte à distance et de surveillance sans fil, ainsi que sur des techniques actives d'interrogation et de sécurité des endpoint . La plateforme de Nozomi Networks offre ce spectre complet de méthodes pour fournir une visibilité continue de tous vos actifs et de leurs niveaux de risque, même lorsqu'ils ne communiquent pas activement.
L'interrogation active est une technique non invasive et sans agent qui peut être utilisée pour recueillir des informations détaillées qui ne sont pas disponibles à partir de capteurs passifs pour des actifs spécifiques d'intérêt, y compris des dispositifs IoT intégrés. Cette technique est connue sous le nom de Smart Polling dans la plateforme de Nozomi Networks , elle interroge les appareils sur la base de la connaissance de leurs protocoles, en tirant parti de messages et d'instructions spéciaux pour renvoyer des informations utiles sans affecter la stabilité de l'appareil.
L'Smart Polling peut être utilisée pour
Dans le domaine de la sécurité informatique, les agents d'endpoint sont omniprésents pour la protection antivirus et l'application de correctifs. Malheureusement, les expériences négatives de déploiement d'agents axés sur les technologies de l'information sur des dispositifs OT ont conduit à une faible adoption de la surveillance des endpoint , qui est pourtant indispensable. Les solutions traditionnelles de surveillance des réseaux ICS surveillent le trafic nord-sud entre les niveaux Purdue ou les pare-feu, mais les communications est-ouest entre les dispositifs au sein d'une zone, en particulier aux niveaux Purdue inférieurs, ont longtemps été un angle mort. En outre, la surveillance des endpoint est le seul moyen de corréler l'activité des utilisateurs et les événements au fur et à mesure qu'ils se produisent.
Dans le domaine des OT, les attaques malveillantes impliquant le vol d'informations d'identification et d'autres comportements malveillants se produisent certainement, mais de nombreuses menaces impliquent des erreurs commises par inadvertance par des employés ou des techniciens tiers autorisés qui vont et viennent, souvent à distance. Sans sécurité des endpoint , il n'y a aucun moyen de savoir qui se connecte, quand et ce qu'ils font jusqu'à ce que leurs commandes aient été exécutées sur le réseau. C'est trop tard.
Parution en 2023, Nozomi Arc est un agent de sécurité sûr et non perturbateur, conçu pour protéger les exigences uniques de haute disponibilité des terminaux OT . Par exemple, il n'opère pas au niveau du noyau du système d'exploitation hôte, ne redémarre jamais vos machines et est très peu gourmand en ressources système.
La surveillance passive des réseaux est la norme pour l'inventaire des actifs ainsi que pour la détection des menaces et des anomalies dans les environnements industriels, notamment en raison de leur nature sensible et de leur criticité. Cette situation est aggravée par une forte dépendance à l'égard des systèmes existants dont les protocoles propriétaires ne sont pas sécurisés et qu'un balayage actif pourrait potentiellement exploiter. Les systèmes OT comprennent souvent des infrastructures critiques, contrôlant des processus qui peuvent avoir un impact sur la sûreté, la sécurité et la fourniture de services essentiels. La surveillance passive permet une visibilité sans interférence, alors que les techniques de balayage et de sondage actives, courantes dans les environnements informatiques, peuvent être perturbatrices et entraîner des défaillances opérationnelles ou des risques pour la sécurité.
Les outils de surveillance passive des réseaux industriels fonctionnent en étant connectés à un port SPAN ou miroir d'un commutateur ou d'un routeur et en observant les communications du réseau. Les outils de surveillance des réseaux industriels passifs Nozomi Guardian observe passivement le trafic du réseau local pour fournir une visibilité et une surveillance complètes des actifs OT et IoT sans utiliser d'agents ou d'interrogations pour identifier les appareils. Il surveille en permanence l'activité pour découvrir de nouveaux actifs communiquant sur le réseau, fournir des visualisations de réseau pour le dépannage et la recherche, identifier les vulnérabilités critiques et détecter les menaces de cybersécurité et les problèmes opérationnels.
Plus précisément, les capteurs Guardian utilisent l'inspection passive des paquets pour découvrir automatiquement, en temps réel, le réseau industriel, y compris ses composants, ses connexions et sa topologie. Sa capacité d'apprentissage avancée établit ensuite des profils spécifiques à chaque ICS et utilise l'analyse comportementale pour surveiller les activités anormales, suspectes et malveillantes. Il en résulte une détection rapide des cyberattaques et des anomalies des processus critiques.
Les collecteurs à distance sont une autre forme de surveillance passive conçue pour couvrir les endroits difficiles d'accès et sans personnel. Il s'agit de petits capteurs à faibles ressources qui fonctionnent en conjonction avec des capteurs de réseau pour capturer des données provenant de zones sauvages, offshore et d'autres lieux éloignés et distribués (tels qu'une sous-station électrique ou une usine plus petite au sein d'un grand campus) où un capteur de réseau n'est pas rentable ou pratique. Lecollecteur à distance de Nozomi Networks capture, déduplique, compresse et crypte ce trafic avant de l'envoyer à un capteur Guardian associé pour traitement.
Les capteurs sans fil constituent une autre forme de surveillance passive qui devrait être exploitée dans les environnements industriels, où la technologie sans fil est désormais courante. Il est difficile de détecter les menaces spécifiques à la technologie sans fil, telles que les attaques par force brute, le spoofing et le bluejacking, et encore plus difficile de déterminer l'emplacement des appareils à l'origine des attaques.
Outre les protocoles WiFi et Bluetooth, les réseaux de contrôle des processus reposent sur des protocoles sans fil spécialisés conçus pour faciliter une communication fiable entre les capteurs et les contrôleurs avec une faible consommation d'énergie. Ces protocoles jouent un rôle crucial dans la collecte, la concaténation et la transmission des données qui permettent à la fois le fonctionnement et la surveillance du système. Par exemple, la norme IEEE 802.15.4 est utilisée dans les bâtiments intelligents pour la surveillance en temps réel des systèmes de chauffage, de ventilation et d'éclairage, et dans l'agriculture pour le contrôle sans fil des systèmes d'irrigation afin d'optimiser le rendement des cultures.
Le Guardian Air est le premier capteur de sécurité sans fil de l'industrie conçu spécialement pour les environnements OT et IoT , offrant une visibilité sur les actifs sans fil - des thermostats aux robots en passant par les drones - qui, jusqu'à présent, n'étaient détectés qu'une fois connectés à un réseau câblé. Il surveille en permanence les technologies du spectre sans fil fonctionnant entre 800 MHz et 5895 MHz (WiFi, Bluetooth, IEEE802.15.4, LoRaWAN, Zwave, cellulaires et drones) et détecte et localise les menaces par triangulation pour permettre une réponse plus rapide.
Les capteurs réseau sont des outils de travail cybernétiques. Mais il y aura toujours des dizaines de scénarios où l'ajout d'un capteur de réseau n'est pas possible ou des détails supplémentaires sont nécessaires pour comprendre et dépanner votre environnement. Les environnements industriels d'aujourd'hui peuvent s'appuyer en toute sécurité sur une combinaison de réseaux passifs, de collecte à distance et de surveillance sans fil, ainsi que sur des techniques actives d'interrogation et de sécurité des endpoint . La plateforme de Nozomi Networks offre ce spectre complet de méthodes pour fournir une visibilité continue de tous vos actifs et de leurs niveaux de risque, même lorsqu'ils ne communiquent pas activement.
L'interrogation active est une technique non invasive et sans agent qui peut être utilisée pour recueillir des informations détaillées qui ne sont pas disponibles à partir de capteurs passifs pour des actifs spécifiques d'intérêt, y compris des dispositifs IoT intégrés. Cette technique est connue sous le nom de Smart Polling dans la plateforme de Nozomi Networks , elle interroge les appareils sur la base de la connaissance de leurs protocoles, en tirant parti de messages et d'instructions spéciaux pour renvoyer des informations utiles sans affecter la stabilité de l'appareil.
L'Smart Polling peut être utilisée pour
Dans le domaine de la sécurité informatique, les agents d'endpoint sont omniprésents pour la protection antivirus et l'application de correctifs. Malheureusement, les expériences négatives de déploiement d'agents axés sur les technologies de l'information sur des dispositifs OT ont conduit à une faible adoption de la surveillance des endpoint , qui est pourtant indispensable. Les solutions traditionnelles de surveillance des réseaux ICS surveillent le trafic nord-sud entre les niveaux Purdue ou les pare-feu, mais les communications est-ouest entre les dispositifs au sein d'une zone, en particulier aux niveaux Purdue inférieurs, ont longtemps été un angle mort. En outre, la surveillance des endpoint est le seul moyen de corréler l'activité des utilisateurs et les événements au fur et à mesure qu'ils se produisent.
Dans le domaine des OT, les attaques malveillantes impliquant le vol d'informations d'identification et d'autres comportements malveillants se produisent certainement, mais de nombreuses menaces impliquent des erreurs commises par inadvertance par des employés ou des techniciens tiers autorisés qui vont et viennent, souvent à distance. Sans sécurité des endpoint , il n'y a aucun moyen de savoir qui se connecte, quand et ce qu'ils font jusqu'à ce que leurs commandes aient été exécutées sur le réseau. C'est trop tard.
Parution en 2023, Nozomi Arc est un agent de sécurité sûr et non perturbateur, conçu pour protéger les exigences uniques de haute disponibilité des terminaux OT . Par exemple, il n'opère pas au niveau du noyau du système d'exploitation hôte, ne redémarre jamais vos machines et est très peu gourmand en ressources système.