Un tempo si pensava che gli ICS utilizzati nei settori manifatturiero, dei trasporti, dei servizi pubblici, dell'energia e delle infrastrutture critiche fossero impermeabili ai cyberattacchi perché i computer utilizzati per farli funzionare non accedevano a Internet ed erano separati dalla rete aziendale. Il rischio di minacce da parte di Stati nazionali, spionaggio ed esposizione interna è in aumento.

Gli amministratori di sistemi e di rete, i fornitori di terze parti, gli sviluppatori e gli integratori di sistemi industriali hanno diversi livelli di accesso a Internet e alla gestione degli ICS. Questo accesso più ampio ha creato involontariamente una via d'accesso per gli aggressori. Ad esempio, un laptop infetto può essere portato da un appaltatore, connettersi alla rete e l'attacco può diffondersi all'ambiente ICS controllato.

La crescente diffusione di dispositivi industriali connessi all'IoT ha aumentato drasticamente la superficie di attacco ICS. Secondo lo studio Project SHINE (SHodan INtelligence Extraction), tra il 2012 e il 2014 più di un milione di dispositivi ICS sono stati accessibili da remoto su Internet.

Oltre ai rischi della connettività Internet, un numero maggiore di dispositivi ICS utilizza sistemi operativi commerciali, esponendo l'ICS a una più ampia varietà di vulnerabilità note.

La connettività e l'integrazione delle tecnologie informatiche tradizionali con le tecnologie operative - la convergenza IT/OT - sta aumentando in modo esponenziale. L'adozione dell'IoT e la convergenza IT/OT sono accelerate da un ambiente aziendale in rapida evoluzione e dall'uso dell'IA per guidare le decisioni e le azioni negli ambienti ICS.

Rafforzare l'infrastruttura di sicurezza esistente con Nozomi e Vectra

Sia che si tratti di fornire l'intelligence per bloccare una nuova classe di minacce con firewall, sicurezza endpoint , NAC e altri punti di applicazione, sia che si tratti di fornire un chiaro punto di partenza per una ricerca più approfondita con SIEM e strumenti forensi, Vectra e Nozomi offrono più valore dalle tecnologie di sicurezza esistenti.

Le robuste API di Cognito e Nozomi automatizzano la risposta e l'applicazione con praticamente qualsiasi soluzione di sicurezza. Entrambi generano messaggi syslog e log CEF per tutti i rilevamenti, nonché punteggi prioritari per gli host. Ciò rende Cognito e Nozomi molto più di una semplice fonte di log e fornisce un innesco ideale per le indagini e i flussi di lavoro all'interno del SIEM.

I principali vantaggi dell'integrazione

Insieme, Nozomi e Vectra riducono i rischi informatici ICS

• Visibilità completa delle minacce lungo tutto il ciclo di vita dell'attacco - L'integrazione tra Cognito e Nozomi fornisce una visione critica delle minacce specifiche e della progressione degli attacchi lungo tutto il ciclo di vita dell'attacco. Questa visibilità consente ai team di sicurezza di distinguere rapidamente i comportamenti opportunistici delle botnet dalle minacce mirate più gravi e di intervenire prima che i dati vengano rubati o danneggiati.
• Individuare gli host con il rischio più elevato per la rete -Cognito e Nozomi associano automaticamente tutti i comportamenti dannosi alla rete fisica e agli host in ambito IT e OT per presentare una visione completa del rischio organizzativo complessivo.
• Mappatura automatica dei rilevamenti Cognito e Nozomi ai SIEM - I rilevamenti Cognito e Nozomi possono essere correlati nel vostro SIEM, consentendo agli analisti della sicurezza di vedere immediatamente gli eventi Cognito e Nozomi. Ora, i team di sicurezza possono correlare e tracciare correttamente tutti i comportamenti e gli eventi dei dispositivi IT e OT.

I produttori, gli operatori dei trasporti, delle utility, dell'energia e delle infrastrutture critiche possono utilizzare Nozomi e Vectra per eliminare i punti ciechi nelle loro reti industriali. Le organizzazioni possono essere all'avanguardia rispetto alle minacce malware in continuo aumento che colpiscono sia i dispositivi IT che quelli OT e mitigare il rischio di interruzione dell'operatività, furto di dati o altri danni dovuti a un attacco informatico.

Mancanza di visibilità sulle minacce

La mancanza di visibilità è un ostacolo primario alla sicurezza degli ICS. Per proteggere con successo le infrastrutture critiche, i team di sicurezza devono avere una conoscenza completa di tutti gli asset connessi e interconnessi, delle configurazioni e dell'integrità delle comunicazioni. Il monitoraggio manuale degli ICS, dei dispositivi di rete e degli amministratori di sistema rappresenta una sfida significativa per le organizzazioni con risorse limitate. Grandi team di analisti della sicurezza devono eseguire analisi manuali che richiedono molto tempo per identificare attacchi o comportamenti non approvati all'interno di un ambiente regolamentato ICS. Un approccio manuale non è semplicemente una soluzione scalabile, efficiente o efficace.

La visibilità all'interno delle reti IT e OT che si adatta alle dinamiche di crescita e cambiamento è fondamentale. Le organizzazioni hanno bisogno di una tecnologia che automatizzi l'analisi in tempo reale delle comunicazioni, dei dispositivi, degli amministratori e dei comportamenti umani su una rete IT/OT convergente per rilevare attacchi intenzionali o conseguenze non intenzionali.

Visibilità in tempo reale e caccia alle minacce per le reti industriali

A causa della natura specialistica degli ICS e delle differenze nel funzionamento delle reti IT e OT, la risposta giusta per una visibilità completa in un ambiente IT/OT è una tecnologia di prim'ordine che comprenda il funzionamento interno di ciascun ambiente, non una soluzione generica che sia adattata per funzionare in entrambi.Insieme, Nozomi e Cognito forniscono informazioni sulle minacce in tempo reale sul comportamento di ogni dispositivo in una rete IT/OT, con la possibilità di raccogliere queste informazioni in un punto centrale, in modo che i comportamenti della rete possano essere correlati per ottenere un quadro completo del ciclo di vita dell'attacco. Un dashboard comune fornisce uno spettro completo di informazioni, consentendo ai team operativi di sicurezza di osservare le informazioni in entrambe le reti IT e OT per rispondere più rapidamente alle minacce.