FAQ SUR LA CYBERSÉCURITÉ

Pourquoi les agents de sécurité des Endpoint TI ne travaillent-ils pas dans le OT?

FAQ CYBERSECURITE

Pourquoi les agents de sécurité des Endpoint TI ne travaillent-ils pas dans le OT?

Les agents de sécurité des endpoint technologies de l'information ne fonctionnent pas dans le domaine OT technologies de l'information parce qu'ils sont lourds et perturbateurs, ne peuvent pas comprendre les protocoles des OTIoT OTinformation et ne sont pas formés aux environnements OT information, de sorte qu'ils détectent les mauvaises menaces.

Les agents de sécurité des Endpoint sont un élément standard des déploiements de sécurité informatique, non seulement sur les ordinateurs de bureau, les ordinateurs portables et les imprimantes, mais aussi sur l'explosion des appareils IoT et des appareils distants. Ils sont essentiels pour la protection antivirus et les correctifs. Malheureusement, les expériences négatives de déploiement d'agents axés sur l'IT sur les appareils OT ont conduit à une adoption rare de la surveillance des endpoint , pourtant indispensable.

Voici quelques-unes des principales raisons pour lesquelles les agents traditionnels des endpoint ne sont pas à la hauteur dans les environnements industriels :

1. Poids lourd et perturbateur

De nombreux dispositifs et contrôleurs OT disposent d'une puissance de calcul et d'une mémoire limitées, conçues pour effectuer des tâches spécifiques. Même les agents antivirus standard consomment trop de ressources. En outre, les solutions de sécurité informatique pour endpoint nécessitent généralement un redémarrage du système après l'installation, ce qui entraîne des temps d'arrêt.

2. Mauvaises menaces

Les systèmes traditionnels d'analyse des vulnérabilités et de prévention des intrusions sont conçus pour détecter les menaces informatiques à l'aide de modèles heuristiques et d'apprentissage automatique formés sur des environnements informatiques. Ils ne recherchent pas les menaces industrielles, ne comprennent pas les protocoles de communication industriels et ne reconnaissent pas les lignes de base OT . Par exemple, alors que les solutions antivirus offrent une visibilité sur les postes de travail, elles ne peuvent pas fournir d'informations sur les contrôleurs et les actionneurs industriels. Parmi les conséquences, on peut citer la perte de réactivité du matériel d'ingénierie, le signalement comme malveillant de protocoles de sécurité ou de commandes de systèmes de contrôle légitimes, l'arrêt d'un processus ou la suppression d'une application critique qu'il perçoit comme un logiciel malveillant.

3. Accès au niveau du noyau

En provoquant des pannes mondiales massives sur les appareils Windows le 19 juillet 2024, la désormais célèbre mise à jour du contenu défectueux du capteur Falcon endpoint CrowdStrike a rendu les acteurs du OT encore plus réticents à déployer des agents dans les environnements industriels.

Cet incident souligne à quel point il est essentiel de veiller à ce que les agents de sécurité des endpoint conçus pour protéger les exigences uniques de haute disponibilité des environnements OT soient sûrs et ne provoquent pas de perturbations.

Publié en 2023, Nozomi Arc n'opère pas au niveau du noyau du système d'exploitation hôte, ne redémarre jamais vos machines et est très peu gourmand en ressources système.

Sécurité efficace des Endpoint pour les appareils OT

Nozomi Arc est un agent de sécurité sûr et non perturbateur, conçu pour protéger les exigences uniques de haute disponibilité des terminaux OT . Il met en lumière les zones autrefois inaccessibles et non surveillées de votre environnement où les capteurs réseau ne sont pas pratiques ou insuffisants pour détecter le trafic Est-Ouest, les ports USB, les fichiers journaux, le trafic du réseau local et l'activité de l'utilisateur. 

Les avantages comprennent

  • Fournit des données détaillées, notamment le type d'appareil, le fournisseur, la version du système d'exploitation ou du microprogramme, le numéro de série, les adresses IP et Mac, les nœuds, les zones, les protocoles utilisés, les comptes actifs et les activités suspectes des utilisateurs.
  • Détecte les menaces telles que les ordinateurs portables tiers infectés. les erreurs d'opérateurs, les menaces d'initiés malveillants et les informations d'identification volées.
  • Analyse les modèles d'événements dans les fichiers journaux de l'hôte à l'aide des règles SIGMA et repère les événements en cours impliquant des logiciels malveillants, le vol d'informations d'identification, le téléchargement de scripts et bien plus encore. Ce contexte est utile à la fois pour les opérateurs et les analystes de la sécurité.
  • Les opérateurs disposent d'informations de dépannage qu'ils n'ont jamais eues, ce qui contribue grandement à instaurer un climat de confiance. Grâce aux capteurs de endpoint , ils peuvent voir non seulement les changements de configuration et les anomalies, mais aussi qui s'est connecté à un appareil, avec quels autres appareils il communique et quels protocoles il utilise.

Principaux cas d'utilisation des capteurs OT pourEndpoint

1. Déploiement stratégique sur les joyaux de la couronne

Supposons que la surveillance du réseau soit superflue pour votre environnement, mais que vous ayez encore des actifs critiques à protéger. Les capteurs d'Endpoint vous permettent de déployer des agents uniquement sur ces actifs, afin de surveiller ce qui compte le plus. Ils peuvent être installés sur des centaines de terminaux clés en quelques clics et sans redémarrage.

2. Déploiement plus rapide et sans souci

‍Supposonsque vous ayez une sous-station éloignée où les commutateurs ne peuvent être reconfigurés que lors d'une panne annuelle d'une heure - en février prochain. Ou peut-être avez-vous affaire à un commutateur de ligne vieux de 12 ans qui n'a pas de ports libres. Là encore, il suffit d'installer des capteurs de endpoint sans redémarrage.

3. Réseau à faible largeur de bande et à forte latence

Les cargos sont des candidats de choix pour les capteurs d'endpoint . Ils dépendent des satellites pour leur connectivité et il est pratiquement impossible de déployer un câblage.

4. Surveillance ponctuelle ou à court terme

Supposons que vous souhaitiez simplement surveiller ce technicien contractuel lorsqu'il est connecté. Vous pouvez installer un capteur de endpoint pour surveiller la machine à laquelle il est connecté et le configurer pour qu'il s'efface lorsqu'il se déconnecte.

5. Surveillance des dispositifs hors ligne

Nozomi Arc collecte des données localement, même lorsque l'appareil hôte n'envoie pas ou ne reçoit pas de trafic, et les envoie en amont lorsque l'utilisateur se connecte au réseau. C'est un excellent moyen d'obtenir des pistes d'audit détaillées à partir des appareils de terrain et des travailleurs mobiles.

Les agents de sécurité des endpoint technologies de l'information ne fonctionnent pas dans le domaine OT technologies de l'information parce qu'ils sont lourds et perturbateurs, ne peuvent pas comprendre les protocoles des OTIoT OTinformation et ne sont pas formés aux environnements OT information, de sorte qu'ils détectent les mauvaises menaces.

Les agents de sécurité des Endpoint sont un élément standard des déploiements de sécurité informatique, non seulement sur les ordinateurs de bureau, les ordinateurs portables et les imprimantes, mais aussi sur l'explosion des appareils IoT et des appareils distants. Ils sont essentiels pour la protection antivirus et les correctifs. Malheureusement, les expériences négatives de déploiement d'agents axés sur l'IT sur les appareils OT ont conduit à une adoption rare de la surveillance des endpoint , pourtant indispensable.

Voici quelques-unes des principales raisons pour lesquelles les agents traditionnels des endpoint ne sont pas à la hauteur dans les environnements industriels :

1. Poids lourd et perturbateur

De nombreux dispositifs et contrôleurs OT disposent d'une puissance de calcul et d'une mémoire limitées, conçues pour effectuer des tâches spécifiques. Même les agents antivirus standard consomment trop de ressources. En outre, les solutions de sécurité informatique pour endpoint nécessitent généralement un redémarrage du système après l'installation, ce qui entraîne des temps d'arrêt.

2. Mauvaises menaces

Les systèmes traditionnels d'analyse des vulnérabilités et de prévention des intrusions sont conçus pour détecter les menaces informatiques à l'aide de modèles heuristiques et d'apprentissage automatique formés sur des environnements informatiques. Ils ne recherchent pas les menaces industrielles, ne comprennent pas les protocoles de communication industriels et ne reconnaissent pas les lignes de base OT . Par exemple, alors que les solutions antivirus offrent une visibilité sur les postes de travail, elles ne peuvent pas fournir d'informations sur les contrôleurs et les actionneurs industriels. Parmi les conséquences, on peut citer la perte de réactivité du matériel d'ingénierie, le signalement comme malveillant de protocoles de sécurité ou de commandes de systèmes de contrôle légitimes, l'arrêt d'un processus ou la suppression d'une application critique qu'il perçoit comme un logiciel malveillant.

3. Accès au niveau du noyau

En provoquant des pannes mondiales massives sur les appareils Windows le 19 juillet 2024, la désormais célèbre mise à jour du contenu défectueux du capteur Falcon endpoint CrowdStrike a rendu les acteurs du OT encore plus réticents à déployer des agents dans les environnements industriels.

Cet incident souligne à quel point il est essentiel de veiller à ce que les agents de sécurité des endpoint conçus pour protéger les exigences uniques de haute disponibilité des environnements OT soient sûrs et ne provoquent pas de perturbations.

Publié en 2023, Nozomi Arc n'opère pas au niveau du noyau du système d'exploitation hôte, ne redémarre jamais vos machines et est très peu gourmand en ressources système.

Sécurité efficace des Endpoint pour les appareils OT

Nozomi Arc est un agent de sécurité sûr et non perturbateur, conçu pour protéger les exigences uniques de haute disponibilité des terminaux OT . Il met en lumière les zones autrefois inaccessibles et non surveillées de votre environnement où les capteurs réseau ne sont pas pratiques ou insuffisants pour détecter le trafic Est-Ouest, les ports USB, les fichiers journaux, le trafic du réseau local et l'activité de l'utilisateur. 

Les avantages comprennent

  • Fournit des données détaillées, notamment le type d'appareil, le fournisseur, la version du système d'exploitation ou du microprogramme, le numéro de série, les adresses IP et Mac, les nœuds, les zones, les protocoles utilisés, les comptes actifs et les activités suspectes des utilisateurs.
  • Détecte les menaces telles que les ordinateurs portables tiers infectés. les erreurs d'opérateurs, les menaces d'initiés malveillants et les informations d'identification volées.
  • Analyse les modèles d'événements dans les fichiers journaux de l'hôte à l'aide des règles SIGMA et repère les événements en cours impliquant des logiciels malveillants, le vol d'informations d'identification, le téléchargement de scripts et bien plus encore. Ce contexte est utile à la fois pour les opérateurs et les analystes de la sécurité.
  • Les opérateurs disposent d'informations de dépannage qu'ils n'ont jamais eues, ce qui contribue grandement à instaurer un climat de confiance. Grâce aux capteurs de endpoint , ils peuvent voir non seulement les changements de configuration et les anomalies, mais aussi qui s'est connecté à un appareil, avec quels autres appareils il communique et quels protocoles il utilise.

Principaux cas d'utilisation des capteurs OT pourEndpoint

1. Déploiement stratégique sur les joyaux de la couronne

Supposons que la surveillance du réseau soit superflue pour votre environnement, mais que vous ayez encore des actifs critiques à protéger. Les capteurs d'Endpoint vous permettent de déployer des agents uniquement sur ces actifs, afin de surveiller ce qui compte le plus. Ils peuvent être installés sur des centaines de terminaux clés en quelques clics et sans redémarrage.

2. Déploiement plus rapide et sans souci

‍Supposonsque vous ayez une sous-station éloignée où les commutateurs ne peuvent être reconfigurés que lors d'une panne annuelle d'une heure - en février prochain. Ou peut-être avez-vous affaire à un commutateur de ligne vieux de 12 ans qui n'a pas de ports libres. Là encore, il suffit d'installer des capteurs de endpoint sans redémarrage.

3. Réseau à faible largeur de bande et à forte latence

Les cargos sont des candidats de choix pour les capteurs d'endpoint . Ils dépendent des satellites pour leur connectivité et il est pratiquement impossible de déployer un câblage.

4. Surveillance ponctuelle ou à court terme

Supposons que vous souhaitiez simplement surveiller ce technicien contractuel lorsqu'il est connecté. Vous pouvez installer un capteur de endpoint pour surveiller la machine à laquelle il est connecté et le configurer pour qu'il s'efface lorsqu'il se déconnecte.

5. Surveillance des dispositifs hors ligne

Nozomi Arc collecte des données localement, même lorsque l'appareil hôte n'envoie pas ou ne reçoit pas de trafic, et les envoie en amont lorsque l'utilisateur se connecte au réseau. C'est un excellent moyen d'obtenir des pistes d'audit détaillées à partir des appareils de terrain et des travailleurs mobiles.

Retour aux FAQ