Demostración en directo: La plataforma Nozomi Networks en 15 minutos
Ver
Tal vez la mayor diferencia entre la seguridad de TI y la de OT es que en los entornos industriales debemos tener en cuenta tanto el riesgo cibernético como el operativo, incluido el riesgo de proceso. De hecho, las anomalías operativas no relacionadas con una ciberamenaza son mucho más frecuentes.
En los entornos industriales, especialmente en las infraestructuras críticas, los ciberataques a gran escala acaparan titulares, pero son cosas como el mal funcionamiento de los equipos, las desconfiguraciones, los picos de uso de recursos y las desviaciones peligrosas de los procesos las que tienen muchas más probabilidades de amenazar la producción, o algo peor. Por ejemplo, en una planta química, puede saltar una alarma si un sensor de presión detecta valores fuera de los umbrales seguros de funcionamiento, lo que provocaría una parada inmediata para evitar una explosión. Hasta que se investigue, podría indicar que un actor malintencionado ha manipulado el valor, o podría tratarse de un error del operador. En cualquier caso, la amenaza es real. Los operadores y gestores deben ser capaces de detectar tanto las amenazas como las anomalías -intrusiones, comportamientos no deseados y fallos de los equipos- y responder con rapidez.
En términos generales, una anomalía es cualquier cosa que se desvíe del rendimiento o la apariencia de referencia. En la fabricación y otros entornos industriales, puede tratarse de valores de proceso inestables, mediciones de proceso incorrectas y configuraciones erróneas que podrían provocar fallos de funcionamiento o tiempos de inactividad. Por este motivo, una planta farmacéutica suele supervisar la comunicación entre los sistemas de control y los dispositivos de campo para detectar lecturas o comandos anómalos que podrían interrumpir la producción o los protocolos de seguridad y garantizar la calidad de los lotes. Estas anomalías del proceso también pueden indicar una amenaza cibernética.
Para garantizar la seguridad, la fiabilidad y la alta disponibilidad, los entornos industriales necesitan una supervisión exhaustiva de los riesgos que combine la detección de amenazas basada en reglas con la detección de anomalías basada en el comportamiento.
La detección basada en reglas es eficaz para detectar amenazas cuyos indicadores son fácilmente observables e identificables. Este método también puede utilizarse para detectar anomalías conocidas y no maliciosas, como picos en el uso de recursos o un aumento inesperado del tráfico.
La detección basada en firmas, un subconjunto de la detección basada en reglas, es una forma rápida y eficaz de detectar actividades maliciosas o accesos no autorizados en el tráfico de red. Se basa en reglas o condiciones predefinidas para identificar patrones de ataque únicos y conocidos en el tráfico de red -firmas- y compararlos con una base de datos de amenazas conocidas. Cada firma incluye indicadores de compromiso (IOC) como nombres de archivo, hashtags, URL y direcciones IP. Aunque eficaz, la detección basada en firmas sólo funciona con amenazas conocidas (como los CVE documentados) y sólo si los indicadores son fácilmente observables e identificables como una posible coincidencia.
Para identificar el malware conocido, los métodos de detección basados en firmas utilizan reglas YARA y reglas de paquetes para hacer coincidir las firmas de archivos y paquetes, respectivamente, y disparan una alerta cuando se detecta una coincidencia.
Las anomalías operativas -así como las amenazas desconocidas, incluidas las de día cero- no pueden detectarse mediante reglas. La mejor forma de detectarlas es la supervisión continua mediante inspección profunda de paquetes (DPI) para leer protocolos industriales en el tráfico de red y comparar el comportamiento actual con una línea de base.
Las redes ICS son relativamente estáticas en comparación con las redes empresariales, en las que se añaden y eliminan dispositivos constantemente, por lo que establecer líneas de base precisas y reconocer las desviaciones de las mismas es mucho más fácil. Sin embargo, no puede hacerse sin un sofisticado aprendizaje automático para aprender el comportamiento normal de las variables de proceso recogidas del tráfico de red. Una vez establecidas las líneas de base, la detección de anomalías basada en el comportamiento puede utilizarse para señalar patrones de tráfico fuera de los umbrales establecidos, así como lecturas de sensores y parámetros de flujo anormales.
La plataforma Nozomi Networks cuenta con el motor de detección más sofisticado disponible para entornos IoT . Combina técnicas basadas en reglas y en el comportamiento para detectar y limitar el impacto de todas las amenazas de su entorno, desde picos de recursos hasta días cero y técnicas de supervivencia que suelen eludir los enfoques basados en firmas, sin abrumar a los analistas y operadores con falsos positivos.
Para detectar amenazas conocidas, el Nozomi Threat Intelligence proporciona investigación y análisis de amenazas agregados, así como información detallada sobre indicadores de amenazas, incluidas reglas YARA, reglas de paquetes, indicadores STIX, definiciones de amenazas, una base de conocimientos sobre amenazas y firmas de vulnerabilidad. Nuestros sensores y plataforma se actualizan continuamente con el malware emergente más reciente y los IOC específicos para procesos industriales y dispositivos IoT . Esto incluye nuestra propia investigación OTIoT, así como la integración con el catálogo de vulnerabilidades explotadas conocidas de CISA , la matriz ATT&CK® de MITRE para mapeos de ICS y threat intelligence Mandiant.
Para detectar anomalías, la plataforma Nozomi Networks se basa en el aprendizaje automático para aprender los patrones de comunicación de su red industrial y establecer una línea base de comportamiento normal. A continuación, supervisa continuamente su entorno para identificar cualquier cambio en la comunicación o en los valores de las variables de proceso que puedan indicar la presencia de una amenaza cibernética o un riesgo para la fiabilidad.
En concreto, nuestros sensores utilizan DPI para analizar más de 250 protocolos industriales y proporcionar los datos granulares necesarios para un sólido análisis del comportamiento. Gracias a este método, podemos extraer información detallada de los activos, como la marca, el modelo, el número de serie y la versión de firmware/OS de dispositivos como controladores industriales, estaciones de trabajo y servidores. Nuestros sensores pueden detectar:
Tal vez la mayor diferencia entre la seguridad de TI y la de OT es que en los entornos industriales debemos tener en cuenta tanto el riesgo cibernético como el operativo, incluido el riesgo de proceso. De hecho, las anomalías operativas no relacionadas con una ciberamenaza son mucho más frecuentes.
En los entornos industriales, especialmente en las infraestructuras críticas, los ciberataques a gran escala acaparan titulares, pero son cosas como el mal funcionamiento de los equipos, las desconfiguraciones, los picos de uso de recursos y las desviaciones peligrosas de los procesos las que tienen muchas más probabilidades de amenazar la producción, o algo peor. Por ejemplo, en una planta química, puede saltar una alarma si un sensor de presión detecta valores fuera de los umbrales seguros de funcionamiento, lo que provocaría una parada inmediata para evitar una explosión. Hasta que se investigue, podría indicar que un actor malintencionado ha manipulado el valor, o podría tratarse de un error del operador. En cualquier caso, la amenaza es real. Los operadores y gestores deben ser capaces de detectar tanto las amenazas como las anomalías -intrusiones, comportamientos no deseados y fallos de los equipos- y responder con rapidez.
En términos generales, una anomalía es cualquier cosa que se desvíe del rendimiento o la apariencia de referencia. En la fabricación y otros entornos industriales, puede tratarse de valores de proceso inestables, mediciones de proceso incorrectas y configuraciones erróneas que podrían provocar fallos de funcionamiento o tiempos de inactividad. Por este motivo, una planta farmacéutica suele supervisar la comunicación entre los sistemas de control y los dispositivos de campo para detectar lecturas o comandos anómalos que podrían interrumpir la producción o los protocolos de seguridad y garantizar la calidad de los lotes. Estas anomalías del proceso también pueden indicar una amenaza cibernética.
Para garantizar la seguridad, la fiabilidad y la alta disponibilidad, los entornos industriales necesitan una supervisión exhaustiva de los riesgos que combine la detección de amenazas basada en reglas con la detección de anomalías basada en el comportamiento.
La detección basada en reglas es eficaz para detectar amenazas cuyos indicadores son fácilmente observables e identificables. Este método también puede utilizarse para detectar anomalías conocidas y no maliciosas, como picos en el uso de recursos o un aumento inesperado del tráfico.
La detección basada en firmas, un subconjunto de la detección basada en reglas, es una forma rápida y eficaz de detectar actividades maliciosas o accesos no autorizados en el tráfico de red. Se basa en reglas o condiciones predefinidas para identificar patrones de ataque únicos y conocidos en el tráfico de red -firmas- y compararlos con una base de datos de amenazas conocidas. Cada firma incluye indicadores de compromiso (IOC) como nombres de archivo, hashtags, URL y direcciones IP. Aunque eficaz, la detección basada en firmas sólo funciona con amenazas conocidas (como los CVE documentados) y sólo si los indicadores son fácilmente observables e identificables como una posible coincidencia.
Para identificar el malware conocido, los métodos de detección basados en firmas utilizan reglas YARA y reglas de paquetes para hacer coincidir las firmas de archivos y paquetes, respectivamente, y disparan una alerta cuando se detecta una coincidencia.
Las anomalías operativas -así como las amenazas desconocidas, incluidas las de día cero- no pueden detectarse mediante reglas. La mejor forma de detectarlas es la supervisión continua mediante inspección profunda de paquetes (DPI) para leer protocolos industriales en el tráfico de red y comparar el comportamiento actual con una línea de base.
Las redes ICS son relativamente estáticas en comparación con las redes empresariales, en las que se añaden y eliminan dispositivos constantemente, por lo que establecer líneas de base precisas y reconocer las desviaciones de las mismas es mucho más fácil. Sin embargo, no puede hacerse sin un sofisticado aprendizaje automático para aprender el comportamiento normal de las variables de proceso recogidas del tráfico de red. Una vez establecidas las líneas de base, la detección de anomalías basada en el comportamiento puede utilizarse para señalar patrones de tráfico fuera de los umbrales establecidos, así como lecturas de sensores y parámetros de flujo anormales.
La plataforma Nozomi Networks cuenta con el motor de detección más sofisticado disponible para entornos IoT . Combina técnicas basadas en reglas y en el comportamiento para detectar y limitar el impacto de todas las amenazas de su entorno, desde picos de recursos hasta días cero y técnicas de supervivencia que suelen eludir los enfoques basados en firmas, sin abrumar a los analistas y operadores con falsos positivos.
Para detectar amenazas conocidas, el Nozomi Threat Intelligence proporciona investigación y análisis de amenazas agregados, así como información detallada sobre indicadores de amenazas, incluidas reglas YARA, reglas de paquetes, indicadores STIX, definiciones de amenazas, una base de conocimientos sobre amenazas y firmas de vulnerabilidad. Nuestros sensores y plataforma se actualizan continuamente con el malware emergente más reciente y los IOC específicos para procesos industriales y dispositivos IoT . Esto incluye nuestra propia investigación OTIoT, así como la integración con el catálogo de vulnerabilidades explotadas conocidas de CISA , la matriz ATT&CK® de MITRE para mapeos de ICS y threat intelligence Mandiant.
Para detectar anomalías, la plataforma Nozomi Networks se basa en el aprendizaje automático para aprender los patrones de comunicación de su red industrial y establecer una línea base de comportamiento normal. A continuación, supervisa continuamente su entorno para identificar cualquier cambio en la comunicación o en los valores de las variables de proceso que puedan indicar la presencia de una amenaza cibernética o un riesgo para la fiabilidad.
En concreto, nuestros sensores utilizan DPI para analizar más de 250 protocolos industriales y proporcionar los datos granulares necesarios para un sólido análisis del comportamiento. Gracias a este método, podemos extraer información detallada de los activos, como la marca, el modelo, el número de serie y la versión de firmware/OS de dispositivos como controladores industriales, estaciones de trabajo y servidores. Nuestros sensores pueden detectar:
