Gabriele Webber, Item Supervisor, Nozomi Networks, spiega come proteggere più efficacemente i propri sistemi OT e IoT disadvantage un approccio più completo al monitoraggio.
Storicamente, per i sensori di sicurezza che monitorano le reti OT e i sistemi ICS nelle infrastrutture critiche, l’unico approccio consentito all’ utente ending è stato quello passivo. Per ridurre al minimo i rischi, le condizioni delle reti OT impongono che tali dispositivi non possano essere coinvolti attivamente nel monitoraggio.
Il monitoraggio passivo in pace reale fornisce visibilità su queste reti senza interferire disadvantage il traffico né interrompere le operazioni. Sapere cosa viene comunicato, quando e come, è utile ai fini dell’ inventario degli property, la gestione delle vulnerabilità, la visibilità operativa e la difesa dagli attacchi informatici. Tuttavia, in un contesto di minacce informatiche in continua evoluzione, il solo monitoraggio passivo potrebbe non essere sufficiente
Disadvantage un approccio più completo al monitoraggio, che comprenda anche altre tecniche, è possibile proteggere più efficacemente i propri sistemi OT e IoT.
Submit di progetto e integrazioni
Advertisement estensione del monitoraggio passivo, i data di configurazione di progetto del sistema, se disponibili, possono essere importati per arricchire l’inventario degli property. Il data è un’ istantanea di informazioni statiche legate a un sistema specifico. Naturalmente, ci sono delle limitazioni: non sono sempre disponibili poiché alcuni fornitori non condividono queste informazioni e, se le informazioni sono aggiornate, i data devono essere reimportati.
Gli ambienti OT e ICS contengono anche una moltitudine di tecnologie di fornitori esterni. Le integrazioni sono necessarie per consolidare le informazioni sugli property di fornitori terzi disadvantage le informazioni esistenti per mantenere aggiornato l’inventario degli property. Il problema dell’ inserimento di dati esterni è che si basa su tecnologie di terze parti che potrebbero non essere sempre disponibili e le varied fonti potrebbero avere livelli di accuratezza diversi.
Il vantaggio del monitoraggio passivo è che fornisce informazioni proceed della rete basandosi sulla comunicazione esistente. Tuttavia, il monitoraggio passivo presenta delle limitazioni che possono influire sull’ inventario accurato delle risorse, valutazione delle vulnerabilità e visibilità dei dispositivi non comunicanti. Per questi motivi, il monitoraggio attivo compensa alcuni dei limiti del monitoraggio passivo.
Monitoraggio attivo
L’introduzione del monitoraggio attivo negli ambienti OT e IoT ha richiesto un cambiamento culturale. La scansione pura comporta un aumento del throughput e un cattivo utilizzo dei cicli della CPU degli endpoint, con possibili ripercussioni su prestazioni e stabilità di rete.
Alcune soluzioni affrontano il problema adottando il monitoraggio attivo tramite inquiry e il monitoraggio attivo tramite sensore su endpoint.
Monitoraggio attivo tramite inquiry e sensore su endpoint
A differenza della scansione classica, il monitoraggio attivo tramite inquiry mira a interrogare i dispositivi in base alla conoscenza delle loro capacità di protocollo, sfruttando messaggi e istruzioni speciali che sono noti per restituire informazioni utili, minimizzando il throughput e senza influire sulla stabilità del dispositivo. Questa è una buona opzione per i dispositivi ingrained, dove le soluzioni basate su agenti storicamente non potevano essere ospitate.
Il monitoraggio attivo tramite inquiry è adatto quando sono in uso dispositivi ingrained OT/IoT e quando sono in uso soluzioni IT e non è possibile utilizzare un sensore endpoint. Disadvantage il monitoraggio attivo tramite inquiry, si ottengono i seguenti vantaggi:
- Massima visibilità sui dispositivi ingrained
- Maggiore visibilità sui dispositivi Windows/ Linux/ macOS.
- Miglioramento della valutazione delle vulnerabilità. Advertisement esempio, il fornitore, il nome del prodotto e la versione del firmware di una telecamera a circuito chiuso non sono disponibili fool il monitoraggio passivo. Recuperando attivamente queste informazioni, si calcolano le vulnerabilità.
Consideriamo ora il monitoraggio attivo tramite sensore su endpoint La presenza di questo sensore aumenta la visibilità dall’ interno dell’ endpoint stesso, combinando i rilevamenti di rete, come il monitoraggio del traffico, e l’estrazione di informazioni dell’ property. Questo sensore aggiunge funzionalità che non sarebbero possibili se non da installati sulla macchina obiettivo. Il monitoraggio di massa della rete offerto da un monitoraggio passivo viene integrato da un monitoraggio location, che trasforma le macchine obiettivo in sensori, compresa la possibilità di eseguire il monitoraggio attivo tramite inquiry attive– di cui sopra– dall’ endpoint stesso.
Disadvantage il monitoraggio attivo tramite sensore endpoint, si ottengono i seguenti vantaggi:
- Rilevamenti unici basati sull’ host, che garantiscono la massima visibilità sui dispositivi Windows/ Linux/ macOS.
- Miglioramento della valutazione delle vulnerabilità
- Visibilità location completa grazie al monitoraggio del traffico direttamente dal sensore su endpoint, senza affidarsi a button o faucet.
- Visibilità completa per gli property che non comunicano in rete tramite raccolta dati offline.
- Tutti i vantaggi del “monitoraggio attivo tramite inquiry” da posizione privilegiata, in quanto eseguite dall’ endpoint
L’articolo Combinare monitoraggio passivo e attivo in OT e IoT per una migliore cyber resilienza è un contenuto originale di 01factory.
发布者:Dr.Durant,转转请注明出处:https://robotalks.cn/combinare-monitoraggio-passivo-e-attivo-in-ot-e-iot-per-una-migliore-cyber-resilienza/
